Un reciente fallo del Juzgado de Primera Instancia número 2 de Guadix ha sentado la responsabilidad de las entidades bancarias en casos de fraudes cibernéticos. La sentencia obliga a un banco a reembolsar 2.122,99 euros a un cliente que fue víctima de un fraude conocido como smishing, el cual utiliza mensajes de texto SMS para engañar a los usuarios y obtener acceso a sus cuentas.

Detalles del caso

El litigio se inició tras la demanda de un cliente que detectó cargos no autorizados en su cuenta y tarjeta bancaria. Los estafadores accedieron a su información personal mediante un SMS que simulaba ser enviado por la propia entidad bancaria. A pesar de que el cliente informó de inmediato sobre la situación y se presentó en la oficina del banco, la entidad tardó en actuar, lo que permitió que se realizaran las transacciones fraudulentas.

Normativa aplicable

La sentencia se basa en diversas normativas, entre ellas el Real Decreto-ley 19/2018 sobre servicios de pago, que establece que los proveedores de servicios deben demostrar que hubo negligencia grave o fraude por parte del usuario para eludir su responsabilidad. Dado que no se probó tal negligencia en este caso, el banco tiene la obligación de reembolsar las cantidades que fueron retiradas indebidamente.

Asimismo, se menciona el Reglamento (UE) 2022/2554 (Reglamento DORA), que entrará en vigor en enero de 2025, el cual impone obligaciones sobre la gestión de riesgos tecnológicos y la resiliencia operativa. Este reglamento exige a las entidades financieras implementar medidas sólidas de ciberseguridad, sistemas de detección de incidentes y controles sobre el acceso a la información. También se hace referencia a la Directiva NIS2, que refuerza las obligaciones de seguridad digital en sectores esenciales.

Evaluación de pruebas y responsabilidad del Banco

La evaluación de las pruebas se centró en la diligencia del cliente y la ineficacia de la respuesta del banco. Aunque la entidad argumentó que las operaciones eran autorizadas, no logró demostrar el consentimiento del usuario ni que existiera fraude o negligencia grave por parte del mismo.

Se constató que en el breve periodo en que ocurrió el fraude, se conectaron hasta cuatro dispositivos diferentes, se realizaron 24 transacciones y se solicitaron tarjetas prepago. Estas circunstancias, en lugar de activar alertas internas, no generaron una respuesta adecuada por parte del banco.

Además, la entidad no presentó documentación que respaldara sus políticas de ciberseguridad, ni mecanismos de autenticación robusta, protocolos de cifrado, supervisión continua o notificaciones a clientes y autoridades competentes (CERT) en caso de incidentes. La falta de trazabilidad en sus acciones ante una campaña de estafas masivas refuerza la imputación de responsabilidad.

Inacción frente al incidente

El fallo subraya que, aunque el banco pudo bloquear parcialmente ciertas operaciones (hasta 2.500 euros), no tomó medidas para detener las transacciones relacionadas con la tarjeta de crédito, las cuales se ejecutaron sin reembolso. Esta contradicción sugiere una falta de coordinación y de recursos adecuados para el control de seguridad.

Asimismo, no se evidenció que la entidad hubiera implementado mejoras posteriores para prevenir futuros incidentes de smishing, como la adopción de mecanismos de doble autenticación o políticas de restricción de acceso a sistemas críticos.