Unicaja ha vuelto a ser condenada por phishing. Tendrá que devolver 700 euros a un cliente que respondió a un 'sms' y facilitó sus datos. La jurisprudencia que se abre paso en los tribunales establece que si el consumidor ha sido víctima de engaño, facilitar las claves no es negligencia grave, por lo que el banco debe devolver el dinero robado por los estafadores. Esta sentencia estima que responder con tus datos a un 'sms' falso no es negligente, y exonera al consumidor porque hubo engaño previo.

La sentencia se centra en la negligencia grave

Esta nueva sentencia, que condena a Unicaja a devolver 700 euros a un consumidor, pone de nuevo el foco en la negligencia grave a la hora de enjuiciar los casos de phishing y fraudes similares. La Asociación de Usuarios Financieros, Asufin,  destaca a través de un comunicado que la la jueza de la instancia 54 de Madrid establece en su escrito de sentencia que “es jurisprudencia reiterada” que la “negligencia que determina la responsabilidad del cliente” debe darse por “iniciativa del usuario, no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional”. Es decir: si el cliente pincha un link hackeado, por ejemplo, y da sus datos, no ha sido negligente, ha sido engañado.

La jueza admite en su escrito que “es cierto que, de la denuncia presentada, se desprende que el cliente respondió a un sms y facilitó sus datos” pero se vale de la Directiva (UE)2015/2366) sobre normas técnicas de regulación para la autenticación reforzada, y del artículo 1104 del Código Civil, para concluir que no cabe “calificar de negligencia grave la conducta seguida por la hija de los actores en atención al método fraudulento empleado, de una complejidad y grado de perfección difícilmente detectable”.

Este procedimiento, que ha sido defendido para los consumidores afectados por los abogados colaboradores de ASUFIN, Gavín y Linares, se suma a una serie de casos similares en los que los jueces ponen en tela de juicio los argumentos de la banca, que suele eximir toda responsabilidad ante las acciones de un tercero, es decir, los estafadores.

Este caso además forma parte de los muchos que se detectaron en su momento por la brecha de seguridad generada en la fusión de Liberbank por Unicaja, en los que los informes periciales alertaban de la presencia de importantes fallos en el canal online de Univía. 

Desde hace tiempo, Asufin insiste en que el contexto es importante para determinar el nivel de “negligencia” de una víctima de fraude. Los criterios de evaluación para perimetrar la responsabilidad del consumidor deben incluir el nivel de sofisticación (por ejemplo, uso de suplantación de identidad, herramientas de IA), el nivel de personalización (por ejemplo, filtración previa de datos que permita al defraudador personalizar el intento de fraude) y las características individuales del consumidor (por ejemplo, habilidades digitales, edad, etc.).

Fallos de seguridad en la banca

Varias sentencias estén dando la razón al cliente, al eximirle de responsabilidad tras un engaño, y señalar las fallas de seguridad de la banca en estos casos. Son varias de primera instancia que insisten en la idea de que los ciberestafadores engañan al usuario, en un contexto de medidas de seguridad claramente insuficientes por parte de las entidades, que son terreno abonado para el phishing. En concreto, el juzgado de primera instancia 67 de Madrid, sentencia de junio del año pasado, avalaba el informe pericial presentado que acredita la existencia de “una subasta de venta de bases de datos de clientes de Unicaja a través de la plataforma de Telegram”, extremo confirmado por la Unidad Central de Ciberdelincuencia de la Policía. 

A esta se suman otras dos sentencias, que también perdió Unicaja en favor de los clientes, por importes de 2.000 y 3.000 euros, delimitan muy bien lo que tiene que entenderse por responsabilidad del cliente: “La que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia”, en la que hay “iniciativa por parte del cliente”. Y nunca por “engaño al que haya sido inducido por un delincuente profesional”.  Añaden los magistrados de estas primeras instancias que “el método fraudulento empleado - phishing- es de una complejidad y grado de perfección, difícilmente detectable por un cliente de las características del demandante”.