Condemnen el BBVA a retornar més de 52.000€ corresponents a un préstec contractat sense autorització


29 de juliol de 2025 , Leotradez, phishing, BBVA, sentència phishing

El Jutjat de Primera Instància núm. 5 de Barcelona declara nul·la a instàncies de Col·lectiu Ronda, la contractació d’un préstec de 50.000 € per manca de consentiment i condemna el BBVA a retornar l’import i indemnitzar el client

....................................

El Jutjat de Primera Instància número 05 de Barcelona ha condemnat el Banco Bilbao Vizcaya Argentaria, S.A. (BBVA) a restituir 52.217,62 euros a un client víctima d’una estafa digital, una persona de 67 anys amb greus problemes físics, incloent 50.000 € del capital d'un préstec declarat nul per manca de consentiment i 2.217,62 € en concepte de danys i perjudicis.

Operació no autoritzada en el context d'una estafa per engany remot

Els fets es van produir a l'agost de 2023, quan el client va ser contactat per una falsa plataforma d'inversió (Leotradez). Després de realitzar una inversió inicial per un import reduït, els falsos inversors, mitjançant engany, van aconseguir instal·lar una aplicació coneguda com Anydesk al telèfon mòbil de la seva víctima. A través d’aquesta aplicació, els ciberdelinqüents van poder accedir a les claus bancàries del client i prendre el control del dispositiu per tal de poder operar de forma remota, tal i com van fer la nit del 17 d’agost, tan sols un dia després d’instal·lar el programari maliciós, contractant sense autorització del client un préstec al seu nom per un import de 50.000 euros que va ser transferit immediatament a un compte bancari suís. Malgrat el client va contactar amb la seva oficina tant presencialment com de forma telefònica el mateix dia 18, tan bon punt va ser conscient de la contractació del préstec i posterior transferència dels fons, el BBVA no va actuar ni anul·lar cap de les operacions, fins el punt que els ciberdelinqüents van seguir transferint diners de la seva víctima a comptes situats a l’estranger durant dies posteriors, quan el seu client ja havia denunciat haver estat víctima d’una estafa i l’existència de moviments que no comptaven amb la seva autorització.

Manca de diligència i responsabilitat «quasiobjectiva»

La sentència considera acreditat que el fet delictiu va ser possible a causa de la "inacurada execució de les obligacions i la mala praxis bancària del banc» en incomplir amb el deure de diligència i custòdia dels fons confiats pel client a l’entitat. La magistrada recorda que és obligació dels bancs verificar que les operacions efectuades han estat realitzades amb el consentiment de la persona així com detectar qualsevol indici de que es pugui estar operant de forma fraudulenta a través dels comptes bancaris. Per contra, la sentència considera que «s'acredita incompliment per part de l'entitat que, advertida per l'actora, el matí del 18 d'agost de 2023 sobre el “phishing” del seu compte, no ha pres les mesures oportunes perquè deixessin de fer-se transferències no consentides per l'actora, i se n'han realitzat diverses els dies 18 i 21 d'agost». Així mateix, retreu al BBVA que «l’entitat no ha procedit a la rectificació de les operacions no autoritzades ni a reintegrar l’import immediatament», tal i com la legislació estableix que han de fer les entitats financeres quan es denuncia una activitat fraudulenta que afecta els nostres comptes i patrimonis. En aquest cas, la sentència constata que la víctima «no va facilitar cap clau, ni es va registrar a cap servei ni va punxar en un link fraudulent, per la qual cosa el frau informàtic va tenir lloc sense la seva intervenció ni negligència, i hauria tingut lloc probablement, encara que el banc hagués advertit degudament de la possibilitat d'aquest tipus de fraus». La magistrada tampoc considera que el fet que existís una relació prèvia entre els ciberdelinqüents i la víctima pot eximir de responsabilitat el banc atès que «és cert que hi va haver una inversió inicial per l'actora, doncs així ho reconeix, però es nega la resta d’operacions que li han estat carregades en compte. No hi ha cap prova de la qual es pugui deduir que d'aquesta inversió inicial se'n deriven les altres operacions fraudulentes realitzades al compte de l'actora». En qualsevol cas, la sentència recorda que la normativa vigent que regula els serveis de pagament estableix amb claredat que és al banc a qui correspon acreditar que tota operació ha estat autenticada i registrada amb exactitud i demostrar que no ha existit cap dèficit en el sistema de seguretat i s’han adoptat mesures proactives de prevenció com ara la detecció de patrons de comportament inusuals o sospitosos per part del seus clients. A banda, el jutjat també constata que el banc no hauria d’haver concedit un préstec derivat d’un mer automatisme, sense realitzar les pertinents comprovacions respecte la solvència i capacitat de pagament del seu client.

La problemàtica creixent dels «falsos inversors»

Òscar Serrano, advocat de Col·lectiu Ronda expert en Dret bancari i casos de phishing i ciberestafes que ha representat el client del BBVA, alerta sobre el nombre creixent d’estafes relacionades amb companyies i persones que, com en aquest cas Leotradez, amaguen sota l’aparença d’empreses inversores la seva activitat delictiva. «Els falsos traders representen un percentatge cada vegada més elevat dels més de 300 casos de ciberestafa que es denuncien cada dia a Catalunya», explica l’advocat. Òscar Serrano denuncia que «ha esdevingut recurrent que ens visitin persones amb un relat dels fets sempre similar: una empresa o un inversor els contacta, sovint a través de les xarxes socials, i els ofereix la possibilitat de realitzar inversions a partir d’imports relativament petits. Aquestes inversions inicials, que en realitat no arriben a fer-se mai, ofereixen un suposat bon resultat i s’anima a la gent a accentuar la seva activitat per obtenir encara millors resultats. És en aquest punt quan amb l’excusa d’instal·lar un programa necessari per a que la gent pugui accedir i controlar el compte amb l’empresa o, fins i tot, per fer formacions en matèria inversora, s’introdueix al sistema un malware com l’anydesk que obre la porta dels nostres comptes als ciberdelinqüents».

L’advocat reconeix que els bancs «defugen la seva responsabilitat indicant invariablement que la instal·lació d’aquests programes és un acte voluntari per part dels clients i, per tant, una negligència, però aquest no és el cas, no és això el que determina la legislació espanyola i europea, atès que es tracta d’un engany curosament orquestrat després de guanyar-se la nostra confiança». En aquest sentit, l’advocat de Col·lectiu Ronda emfatitza que «els bancs són responsables de vetllar per la seguretat de les operacions. Un moviment tan estrany com sol·licitar un préstec i de forma immediata transferir els diners a un compte a Suïssa quan la persona no ha fet mai una transferència a aquest país, no pot deixar de cridar l’atenció dels serveis de seguretat del banc. I encara és més intolerable que després d’advertir-ho al propi banc, aquest es mantingui en la seva actitud passiva i negligent, permetent noves transferències en dies posteriors, quan ja havia estat advertit de la situació pel propi client».

«Com a consumidors de productes financers i serveis bancaris, som vulnerables -conclou l’advocat- però hem de saber que els bancs són responsables, que tenen obligacions i que la llei ens empara si hem estat víctimes de fraus com aquest, sense que existeixi negligència o mala fe per la nostra part»

29 de juliol de 2025

....................................

El Jutjat de Primera Instància número 05 de Barcelona ha condemnat el Banco Bilbao Vizcaya Argentaria, S.A. (BBVA) a restituir 52.217,62 euros a un client víctima d’una estafa digital, una persona de 67 anys amb greus problemes físics, incloent 50.000 € del capital d'un préstec declarat nul per manca de consentiment i 2.217,62 € en concepte de danys i perjudicis.

Operació no autoritzada en el context d'una estafa per engany remot

Els fets es van produir a l'agost de 2023, quan el client va ser contactat per una falsa plataforma d'inversió (Leotradez). Després de realitzar una inversió inicial per un import reduït, els falsos inversors, mitjançant engany, van aconseguir instal·lar una aplicació coneguda com Anydesk al telèfon mòbil de la seva víctima. A través d’aquesta aplicació, els ciberdelinqüents van poder accedir a les claus bancàries del client i prendre el control del dispositiu per tal de poder operar de forma remota, tal i com van fer la nit del 17 d’agost, tan sols un dia després d’instal·lar el programari maliciós, contractant sense autorització del client un préstec al seu nom per un import de 50.000 euros que va ser transferit immediatament a un compte bancari suís. Malgrat el client va contactar amb la seva oficina tant presencialment com de forma telefònica el mateix dia 18, tan bon punt va ser conscient de la contractació del préstec i posterior transferència dels fons, el BBVA no va actuar ni anul·lar cap de les operacions, fins el punt que els ciberdelinqüents van seguir transferint diners de la seva víctima a comptes situats a l’estranger durant dies posteriors, quan el seu client ja havia denunciat haver estat víctima d’una estafa i l’existència de moviments que no comptaven amb la seva autorització.

Manca de diligència i responsabilitat «quasiobjectiva»

La sentència considera acreditat que el fet delictiu va ser possible a causa de la "inacurada execució de les obligacions i la mala praxis bancària del banc» en incomplir amb el deure de diligència i custòdia dels fons confiats pel client a l’entitat. La magistrada recorda que és obligació dels bancs verificar que les operacions efectuades han estat realitzades amb el consentiment de la persona així com detectar qualsevol indici de que es pugui estar operant de forma fraudulenta a través dels comptes bancaris. Per contra, la sentència considera que «s'acredita incompliment per part de l'entitat que, advertida per l'actora, el matí del 18 d'agost de 2023 sobre el “phishing” del seu compte, no ha pres les mesures oportunes perquè deixessin de fer-se transferències no consentides per l'actora, i se n'han realitzat diverses els dies 18 i 21 d'agost». Així mateix, retreu al BBVA que «l’entitat no ha procedit a la rectificació de les operacions no autoritzades ni a reintegrar l’import immediatament», tal i com la legislació estableix que han de fer les entitats financeres quan es denuncia una activitat fraudulenta que afecta els nostres comptes i patrimonis. En aquest cas, la sentència constata que la víctima «no va facilitar cap clau, ni es va registrar a cap servei ni va punxar en un link fraudulent, per la qual cosa el frau informàtic va tenir lloc sense la seva intervenció ni negligència, i hauria tingut lloc probablement, encara que el banc hagués advertit degudament de la possibilitat d'aquest tipus de fraus». La magistrada tampoc considera que el fet que existís una relació prèvia entre els ciberdelinqüents i la víctima pot eximir de responsabilitat el banc atès que «és cert que hi va haver una inversió inicial per l'actora, doncs així ho reconeix, però es nega la resta d’operacions que li han estat carregades en compte. No hi ha cap prova de la qual es pugui deduir que d'aquesta inversió inicial se'n deriven les altres operacions fraudulentes realitzades al compte de l'actora». En qualsevol cas, la sentència recorda que la normativa vigent que regula els serveis de pagament estableix amb claredat que és al banc a qui correspon acreditar que tota operació ha estat autenticada i registrada amb exactitud i demostrar que no ha existit cap dèficit en el sistema de seguretat i s’han adoptat mesures proactives de prevenció com ara la detecció de patrons de comportament inusuals o sospitosos per part del seus clients. A banda, el jutjat també constata que el banc no hauria d’haver concedit un préstec derivat d’un mer automatisme, sense realitzar les pertinents comprovacions respecte la solvència i capacitat de pagament del seu client.

La problemàtica creixent dels «falsos inversors»

Òscar Serrano, advocat de Col·lectiu Ronda expert en Dret bancari i casos de phishing i ciberestafes que ha representat el client del BBVA, alerta sobre el nombre creixent d’estafes relacionades amb companyies i persones que, com en aquest cas Leotradez, amaguen sota l’aparença d’empreses inversores la seva activitat delictiva. «Els falsos traders representen un percentatge cada vegada més elevat dels més de 300 casos de ciberestafa que es denuncien cada dia a Catalunya», explica l’advocat. Òscar Serrano denuncia que «ha esdevingut recurrent que ens visitin persones amb un relat dels fets sempre similar: una empresa o un inversor els contacta, sovint a través de les xarxes socials, i els ofereix la possibilitat de realitzar inversions a partir d’imports relativament petits. Aquestes inversions inicials, que en realitat no arriben a fer-se mai, ofereixen un suposat bon resultat i s’anima a la gent a accentuar la seva activitat per obtenir encara millors resultats. És en aquest punt quan amb l’excusa d’instal·lar un programa necessari per a que la gent pugui accedir i controlar el compte amb l’empresa o, fins i tot, per fer formacions en matèria inversora, s’introdueix al sistema un malware com l’anydesk que obre la porta dels nostres comptes als ciberdelinqüents».

L’advocat reconeix que els bancs «defugen la seva responsabilitat indicant invariablement que la instal·lació d’aquests programes és un acte voluntari per part dels clients i, per tant, una negligència, però aquest no és el cas, no és això el que determina la legislació espanyola i europea, atès que es tracta d’un engany curosament orquestrat després de guanyar-se la nostra confiança». En aquest sentit, l’advocat de Col·lectiu Ronda emfatitza que «els bancs són responsables de vetllar per la seguretat de les operacions. Un moviment tan estrany com sol·licitar un préstec i de forma immediata transferir els diners a un compte a Suïssa quan la persona no ha fet mai una transferència a aquest país, no pot deixar de cridar l’atenció dels serveis de seguretat del banc. I encara és més intolerable que després d’advertir-ho al propi banc, aquest es mantingui en la seva actitud passiva i negligent, permetent noves transferències en dies posteriors, quan ja havia estat advertit de la situació pel propi client».

«Com a consumidors de productes financers i serveis bancaris, som vulnerables -conclou l’advocat- però hem de saber que els bancs són responsables, que tenen obligacions i que la llei ens empara si hem estat víctimes de fraus com aquest, sense que existeixi negligència o mala fe per la nostra part»