Unión de Consumidores de Extremadura recupera casi 23.000 euros en una sentencia en Mérida por estafa de phishing
Cuando se percató de que estaba siendo víctima de una estafa, "contactó inmediatamente con el banco para denunciarlo y solicitar la retrocesión de las transferencias", solicitud que "fue rechazada por la entidad al considerar que todos los protocolos de seguridad habían funcionado, a pesar de lo evidente del engaño"
La Unión de Consumidores de Extremadura (UEx) ha informado de que ha conseguido recuperar casi 23.000 euros en una sentencia dictada en Mérida --que no es firme y puede ser recurrida en apelación ante la Audiencia Provincial de Badajoz-- a favor de un socio que había sido víctima de una estafa de phishing.
En concreto, el socio recibió un mensaje de texto que su teléfono móvil identificó como de su entidad, BBVA, en el que se le informaba de que su cuenta había sido limitada temporalmente y se le invitaba a pulsar un enlace para "actualizar su información".
Al hacerlo, "recibió una llamada de alguien que decía ser trabajador de la entidad y que disponía de todos sus datos, que le advirtió de que alguien estaba intentando entrar en su cuenta y que, para evitarlo, debía darle una serie de códigos que enviaría a su teléfono".
Ante esta situación de emergencia, y "ante la confianza, reafirmada por venir el SMS de su banco y conocer su interlocutor todos sus datos, comenzó a facilitar esos códigos que, en realidad, fueron utilizados para transferir un total de 22.640 euros a una cuenta de la que, en teoría, él mismo era titular".
Cuando se percató de que estaba siendo víctima de una estafa, "contactó inmediatamente con el banco para denunciarlo y solicitar la retrocesión de las transferencias", solicitud que "fue rechazada por la entidad al considerar que todos los protocolos de seguridad habían funcionado, a pesar de lo evidente del engaño", apunta en nota de prensa la Unión de Consumidores de Extremadura.
De hecho, el socio "nunca había ejecutado transferencias por banca online y, en todo caso, nunca de tan alto importe y tan seguidas (22.460 euros en cuatro transferencia en una hora) y el beneficiario de las transferencias realizadas a cuatro cuentas de la propia entidad, era el representado cuando no era titular de ninguna de ellas".
Tras el correspondiente intento de mediación, en el que la entidad achacó "toda la responsabilidad de lo sucedido" al socio, se recurrió al amparo judicial, donde se le ha dado ahora "la razón".
En particular, la jueza afirma --según UCE-- que "la existencia del engaño, evidencia que ésta no había implementado todos las medidas o mecanismos necesarios para proteger a su cliente de tales ataques por ciberdelincuentes, cada vez más frecuentes y por todas las entidades conocidos, lo cual les exige una respuesta de seguridad acorde con la proliferación de este tipo de fraudes informáticos, lo cual comporta el incumpliendo de su obligación de garantizar la seguridad de los servicios de pago efectuados a través de internet o dispositivos móviles", por lo que condena al banco a devolver "todo" lo que la víctima perdió.
En este caso, "como suele suceder, la entidad, al no asumir responsabilidad por el acceso no autorizado del ciberdelincuente, dejó la carga probatoria en manos del cliente, generando un escenario de indefensión".
Sin embargo, la estrategia trazada por la asociación apuntó hacia la obligación del banco de proporcionar los datos pertinentes para esclarecer el caso, y este enfoque resultó "fundamental" para la resolución del caso.
"El banco, que no se quiso hacerse responsable al haber sido realizadas las operaciones reclamadas con las credenciales del cliente, se enfrentaba a una demanda en base a la Ley de Servicios de Pagos que presentó nuestro socio estafado por phishing", explica UCE, que añade que esta Ley establece que "si existe una sustracción de fondos a través de una orden de pago que no ha sido debidamente autorizada es el banco el responsable de llevar a cabo el reintegro del dinero".