Banc Sabadell condemnat a retornar 22.676 € a un clienta afectada per un ciberfrau

El cas enjudiciat pel tribunal de Martorell s’inicia amb una estafa coneguda com SIM swapping, una tècnica mitjançant la qual els ciberdelinqüents aconsegueixen obtenir un duplicat de la targeta SIM d’un usuari per accedir i controlar la seva línia telefònica. Això els permet rebre els missatges de text (SMS) i els codis d’autenticació de dos factors (2FA) que han de servir per garantir la integritat de les operacions bancàries ordenades en línia.

En aquesta ocasió, el passat 12 de juny de 2023, els ciberdelinqüents van sol·licitar un duplicat de la targeta SIM a l’operadora de telefonia mòbil, que va transferir la línia a una nova targeta. Aquest canvi de SIM va passar inicialment desapercebut per a la víctima fins que, després d’experimentar problemes de connexió amb la seva línia telefònica i rebre diverses alertes de que s’havien produït intents d’accedir al seu correu electrònic, va alertar Banc Sabadell de que podria estar patint un intent de suplantació d’identitat que posava en risc la seguretat dels seus comptes. Malgrat l’advertència traslladada a l’entitat, aquesta no va actuar fins que, transcorregudes tres setmanes des de que la clienta havia avisat de la situació i el possible risc, la víctima va comprovar que en el transcurs d’una sola nit, els ciberdelinqüents havien accedit al seu compte i realitzat un llarg seguit d’operacions sense el seu consentiment per un import de 22.676,66 €, incloent-hi 16 transferències internacionals i diversos enviaments de diners a través de Instant Money i Bizum. Uns moviments que, tal i com ha quedat acreditat, es van realitzar a través de dispositius amb IP diferents a les habituals de la clienta a través dels quals quals els estafadors van poder accedir als codis d’autenticació i realitzar les successives disposicions de diners.

Responsabilitat contractual de Banc Sabadell

La sentència fonamenta l’existència de responsabilitat per part de Banc Sabadell basant-se en les obligacions que la normativa vigent, com el Reial decret llei 19/2018, sobre serveis de pagament, imposa a les entitats financeres a l’hora de garantir la seguretat de les operacions bancàries en línia. Segons l’article 44 d’aquesta norma, el banc ha de garantir la restitució immediata dels imports de les operacions no autoritzades, i tan sols en cas de frau o negligència molt greu per part de la clienta en relació amb la privacitat de les seves dades personals és possible eximir-se de la responsabilitat que la legislació atribueix a les entitats proveïdores de serveis bancaris. En aquest sentit, la sentència recorda que és el banc qui està obligat a «adoptar les mesures de seguretat necessàries per garantir el correcte funcionament del sistema de serveis de pagament, entre les quals destaquen les orientades a detectar automàticament la concurrència d’indicis que pot tractar-se d’una operació anòmala i a generar una alerta o un bloqueig temporal (p. ex., reiteració de transferències sense solució de continuïtat, l’horari en què es produeixen, el seu import, destinataris, antecedents en l’ús del compte, ...), o les dirigides a incrementar el control i la vigilància quan s’han rebut notícies o alertes d’un possible augment del risc».

Considera la magistrada que, en el cas analitzat, els moviments i les operacions ordenades fraudulentament pels delinqüents resultaven tan inusuals i allunyades dels patrons habituals de conducta de la clienta que haurien d’haver despertat immediatament les sospites de Banc Sabadell, paralitzant la seva execució fins a poder comprovar de forma fefaent que era la clienta qui les estava ordenant. Sent així, la sentència valora que «els avenços de la tecnologia actual fan relativament senzill dissenyar sistemes o aplicacions informàtiques idonis per detectar certes anomalies en la prestació dels serveis de pagament. Operacions que, en el cas d’empreses o societats amb un objecte social concret, podrien qualificar-se d’ordinàries, han d’aixecar immediatament sospites i donar lloc a una resposta quan afecten persones físiques alienes a aquestes activitats. En aquest sentit, n’hi hauria prou amb un control automàtic de determinats factors, com el nombre i la successió d’operacions, l’interval en què s’executen, l’hora del dia, el seu import, les entitats de destinació, etc., per generar un avís que reforcés els requisits de confirmació i minimitzés dels possibles riscos». Però tot i així, el jutjat martorellenc subratlla que Banc Sabadell no va implementar els mecanismes adequats per prevenir o detectar operacions fraudulentes, com ara la detecció de transferències elevades cap a destinataris no habituals o l’ús d’adreces IP diferents a les de la clienta. A més, l’entitat no va activar alertes de seguretat ni va prendre mesures per bloquejar les transaccions abans que fossin completades.

La clienta no va ser negligent

Com és habitual, el banc es va intentar defensar de les acusacions d’incompliment del deure de protecció i seguretat atribuint la responsabilitat dels fets a la negligència de la pròpia clienta. Però la sentència descarta de forma contundent que existís un actitud negligent per part de la víctima que permetés que els delinqüents aconseguissin duplicar la targeta SIM del seu mòbil per interceptar els missatges de seguretat i autentificació de l’entitat. «Cal observar que, en contra del que sosté la recurrent, que un tercer hagués pogut accedir a les claus d’accés a la banca digital del demandant no implica per se que aquest hagi incorregut en cap negligència, ja que poden existir múltiples explicacions, moltes de les quals difícilment són atribuïbles a títol de negligència i, menys encara, de negligència greu», afirma la sentència. En sentit contrari a la pretensió de Banc Sabadell, la magistrada observa que «el fet que la filtració o el coneixement de les claus per part del tercer no sigui imputable a l’entitat bancària tampoc l’exonera de l’obligació de respondre ni trasllada a l’usuari l’obligació de suportar les pèrdues, ja que el proveïdor de serveis de pagament, a més de demostrar que el servei es va prestar correctament —cosa que no va succeir—, havia d’acreditar la concurrència de frau o d’incompliment deliberat o greument negligent per part de l’usuari i, pel que fa a aquest extrem, les sentències d’instància i d’apel·lació coincideixen que no s’ha provat cap frau ni cap incompliment dolós o per negligència greu de les obligacions que corresponien al demandant i, en concret, les de prendre totes les mesures raonables per protegir les seves credencials de seguretat personalitzades i de notificar al proveïdor de serveis de pagament la utilització no autoritzada de l’instrument de pagament tan aviat com en va tenir coneixement, cosa que així va fer, comunicant els intents d’accés al seu compte amb una antelació de tres setmanes».

Una normativa protectora

Sentències com aquesta, que condemna Banc Sabadell a retornar a la clienta les quantitats estafades, valorades en 22.676,66 €, són cada vegada més freqüents, explica l’advocat de Col·lectiu Ronda Òscar Serrano, que ha representat la clienta en aquest procediment. «La normativa vigent, tant l’estatal com la comunitària, estableix amb molta claredat que els bancs tenen una responsabilitat quasi-objetiva sobre els casos de cibercrims i fraus informàtics perquè tenen l’obligació de vigilar i garantir la seguretat de les operacions. Són molt poques les sentències que aprecien l’existència de negligència greu per part de les víctimes. Parlem de casos en què el banc pot acreditar que s’ha actuat d’una forma inversemblant, contrària al més elemental sentit comú, però en cap cas se’ns pot fer responsables a nosaltres de caure en els paranys que ens posen els delinqüents informàtics, cada vegada més sofisticats» afirma l’advocat. En canvi, Òscar Serrano lamenta que «els bancs no estiguin fent tot el possible per evitar que cada dia, només a Catalunya, més de 300 persones siguin víctimes de cibercrims». Casos com aquest demostren, a criteri de l’advocat de Col·lectiu Ronda, que són els bancs i no els clients qui estan actuant amb negligència. «Amb els serveis informàtics de què disposen entitats com Banc Sabadell, és evident que és possible detectar i paralitzar operacions que criden tant l’atenció com ara fer 16 transferències bancàries en el decurs d’una sola nit per imports elevats amb destinació a comptes bancaris d’Alemanya i Holanda quan aquesta persona mai de la vida havia enviat diners a aquests països, ni feia transferències de matinada». El deure dels bancs, recorda Òscar Serrano, és «assegurar-se que tota operació està sent veritablement autoritzada pel seu client i davant el més mínim dubte, paralitzar-la per assegurar-se que no hi ha cap activitat delictiva al darrere i, en tot cas, quan el client afirma no haver autoritzat l’operació, restituir immediatament els imports fins poder determinar la causa dels fets. Malauradament, els bancs no acostumen a fer ni una cosa ni l’altra, obligant a la gent a emprendre processos judicials com aquest».