El Tribunal Supremo ha dictaminado que una entidad bancaria tiene que reintegrar el dinero perdido por un cliente que fue víctima de una estafa de phishing o suplantación de identidad, mediante la cual los delincuentes tomaron el control de su banca digital.
En la sentencia, la Sala de lo civil ha dado la razón al cliente, que perdió más de 83.000 euros en quince transferencias hechas la misma noche.
El Alto Tribunal ha resuelto que los bancos son los responsables de «rectificar y reintegrar inmediatamente» los importes sustraídos en operaciones no autorizadas por los clientes, si no pueden demostrar que el cliente haya cometido una negligencia grave.
En este caso concreto, se trata de una estafa denominada SIM swapping, que consiste a duplicar la tarjeta SIM para acceder a la información confidencial y acceder a la banca digital. Según el texto, el hecho que terceros accedan a la banca digital del usuario «no supone que se haya incurrido en ninguna negligencia».
Además, precisa que las operaciones no autorizadas incluyen, también, aquellas que se han iniciado con las claves de usuario y contraseña necesarias y confirmadas mediante SMS, siempre que el cliente niegue haberlas hecho.
Tendrían que haber saltado las alarmas del banco
La sentencia subraya que el robo o sustracción de las claves de la banca electrónica no suponen una negligencia del usuario y se cuestiona que «un hecho tan inusual» que se realizen quince transferencias de más de 80.000 euros en una noche «no saltaran las alarmas en aquel mismo momento».
Según el Supremo, los adelantos tecnológicos actuales hacen «relativamente sencillo» a las entidades financieras «diseñar sistemas o aplicaciones informáticas idóneas para detectar ciertas anomalías en la prestación de los servicios de pagos».
«No se puede considerar como normal e irrelevante que una persona que no hace nunca operaciones de madrugada, de repente, pase a realizar diecisiete operaciones seguidas y por un importe tan elevado», sentencia.
El relato añade que el proveedor del servicio no ha acreditado qué negligencia pudo cometer el demandante «que permitiera que unos delincuentes le duplicaran la tarjeta SIM».
Tarjeta SIM
El Alto Tribunal ha asegurado que si el usuario comunica inmediatamente que le han robado los datos y denuncia una operación no autorizada, «el proveedor tiene que proceder a su rectificación y reintegrar el importe inmediatamente, salvo que tenga motivos razonables para sospechar de la existencia de fraude y comunique estos motivos por escrito».
Por otro lado, apuntan que el simple hecho de registrarse para hacer un pago «no es suficiente, necesariamente, para demostrar que la operación de pago fue autorizada» por el usuario.
El Tribunal observa una «conducta diligente del titular de la cuenta, que informó inmediatamente y reiteradamente» de la estafa, y, por otro lado, «ante un servicio que el proveedor presta defectuosamente, tanto por no tomar en consideración la información recibida a pesar de su gravedad, como para omitir la adopción de medidas que posibilitan la detección de eventuales maniobras fraudulentas».
En este punto, el Supremo continúa y apunta que el hecho de que la operación fuera registrada por el banco «no es suficiente para eximirlo de responsabilidad».
