El Juzgado de Primera Instancia nº 5 de Barcelona declara nula, a instancias de Col·lectiu Ronda, la contratación de un préstamo de 50.000 € por falta de consentimiento y condena al BBVA a devolver el importe e indemnizar al cliente.
.......................................
El Juzgado de Primera Instancia número 5 de Barcelona ha condenado al Banco Bilbao Vizcaya Argentaria, S.A. (BBVA) a restituir 52.217,62 euros a un cliente víctima de una estafa digital, una persona de 67 años con graves problemas físicos, incluyendo 50.000 € del capital de un préstamo declarado nulo por falta de consentimiento y 2.217,62 € en concepto de daños y perjuicios.
Operación no autorizada en el contexto de una estafa por engaño remoto
Los hechos ocurrieron en agosto de 2023, cuando el cliente fue contactado por una falsa plataforma de inversión (Leotradez). Tras realizar una inversión inicial de importe reducido, los falsos inversores, mediante engaño, lograron instalar una aplicación conocida como Anydesk en el teléfono móvil de su víctima. A través de esta aplicación, los ciberdelincuentes accedieron a las claves bancarias del cliente y tomaron el control del dispositivo para operar de forma remota, como hicieron la noche del 17 de agosto, apenas un día después de instalar el software malicioso, contratando sin autorización del cliente un préstamo a su nombre por un importe de 50.000 euros que fue transferido de inmediato a una cuenta bancaria suiza.
Aunque el cliente contactó con su oficina tanto presencialmente como por teléfono ese mismo día 18, en cuanto fue consciente de la contratación del préstamo y de la posterior transferencia de los fondos, el BBVA no actuó ni anuló ninguna de las operaciones. Hasta el punto de que los ciberdelincuentes continuaron transfiriendo dinero de su víctima a cuentas en el extranjero durante días posteriores, cuando el cliente ya había denunciado ser víctima de una estafa y la existencia de movimientos no autorizados.
Falta de diligencia y responsabilidad «cuasiobjetiva»
La sentencia considera acreditado que el hecho delictivo fue posible debido a la «ejecución inexacta de las obligaciones y la mala praxis bancaria del banco» al incumplir su deber de diligencia y custodia de los fondos confiados por el cliente. La magistrada recuerda que es obligación de los bancos verificar que las operaciones efectuadas han sido realizadas con el consentimiento del titular, así como detectar cualquier indicio de que se esté operando fraudulentamente a través de sus cuentas.
Por el contrario, la sentencia considera que «se acredita incumplimiento por parte de la entidad que, advertida por la actora la mañana del 18 de agosto de 2023 sobre el phishing de su cuenta, no tomó las medidas oportunas para que cesaran las transferencias no consentidas, y se realizaron varias los días 18 y 21 de agosto». Asimismo, reprocha al BBVA que «no haya procedido a la rectificación de las operaciones no autorizadas ni al reintegro del importe de forma inmediata», tal como establece la legislación que deben hacer las entidades financieras cuando se denuncia una actividad fraudulenta que afecta a nuestras cuentas y patrimonio.
En este caso, la sentencia constata que la víctima «no facilitó ninguna clave, no se registró en ningún servicio ni pinchó en ningún enlace fraudulento, por lo que el fraude informático se produjo sin su intervención ni negligencia, y probablemente habría ocurrido igualmente aunque el banco hubiera advertido adecuadamente sobre este tipo de fraudes». La magistrada tampoco considera que el hecho de que existiera una relación previa entre los ciberdelincuentes y la víctima exima de responsabilidad al banco, ya que «es cierto que hubo una inversión inicial por parte de la actora, como ella misma reconoce, pero niega el resto de operaciones que se le han cargado en cuenta. No hay ninguna prueba de la que pueda deducirse que de esa inversión inicial se deriven las demás operaciones fraudulentas realizadas en su cuenta».
En todo caso, la sentencia recuerda que la normativa vigente que regula los servicios de pago establece claramente que es el banco quien debe acreditar que toda operación ha sido autenticada y registrada con exactitud, y demostrar que no ha existido ningún fallo en el sistema de seguridad y que se han adoptado medidas proactivas de prevención como la detección de patrones de comportamiento inusuales o sospechosos por parte de sus clientes. Además, el juzgado también constata que el banco no debería haber concedido un préstamo de forma meramente automática, sin realizar las comprobaciones pertinentes sobre la solvencia y capacidad de pago del cliente.
La problemática creciente de los «falsos inversores»
Òscar Serrano, abogado de Col·lectiu Ronda experto en Derecho bancario y casos de phishing y ciberestafas que ha representado al cliente del BBVA, alerta sobre el creciente número de estafas relacionadas con compañías y personas que, como en este caso Leotradez, ocultan bajo la apariencia de empresas de inversión su actividad delictiva. «Los falsos traders representan un porcentaje cada vez más elevado de los más de 300 casos de ciberestafa que se denuncian cada día en Cataluña», explica el abogado.
Òscar Serrano denuncia que «se ha vuelto habitual que nos visiten personas con un relato de los hechos siempre similar: una empresa o un supuesto inversor los contacta, a menudo a través de redes sociales, y les ofrece la posibilidad de realizar inversiones a partir de importes relativamente pequeños. Estas inversiones iniciales, que en realidad nunca se llevan a cabo, aparentan dar buenos resultados y se anima a la persona a incrementar su actividad para obtener todavía mejores beneficios. Es en ese punto cuando, con la excusa de instalar un programa necesario para acceder y controlar la cuenta con la empresa o, incluso, para realizar formaciones sobre inversión, se introduce en el sistema un malware como Anydesk que abre la puerta de nuestras cuentas a los ciberdelincuentes».
El abogado reconoce que los bancos «eluden su responsabilidad indicando invariablemente que la instalación de estos programas es un acto voluntario por parte de los clientes y, por tanto, una negligencia, pero este no es el caso. Eso no es lo que determina la legislación española ni la europea, ya que se trata de un engaño cuidadosamente orquestado tras ganarse nuestra confianza». En este sentido, el abogado de Col·lectiu Ronda enfatiza que «los bancos son responsables de velar por la seguridad de las operaciones. Un movimiento tan extraño como solicitar un préstamo y transferir de forma inmediata el dinero a una cuenta en Suiza cuando la persona nunca ha hecho una transferencia a ese país debería llamar la atención de los servicios de seguridad del banco. Y resulta aún más intolerable que, después de advertirlo al propio banco, este mantenga una actitud pasiva y negligente, permitiendo nuevas transferencias en días posteriores, cuando ya había sido advertido de la situación por el propio cliente».
«Como consumidores de productos financieros y servicios bancarios, somos vulnerables —concluye el abogado—, pero debemos saber que los bancos son responsables, que tienen obligaciones y que la ley nos ampara si hemos sido víctimas de fraudes como este, sin que exista negligencia o mala fe por nuestra parte».
