Banco Sabadell condenado a devolver 22.676 € a una clienta afectada por un ciberfraude

El caso juzgado por el tribunal de Martorell se inicia con una estafa conocida como SIM swapping, una técnica mediante la cual los ciberdelincuentes consiguen obtener un duplicado de la tarjeta SIM de un usuario para acceder y controlar su línea telefónica. Esto les permite recibir los mensajes de texto (SMS) y los códigos de autenticación de doble factor (2FA) que deben servir para garantizar la integridad de las operaciones bancarias ordenadas en línea.

En este caso, el 12 de junio de 2023, los ciberdelincuentes solicitaron un duplicado de la tarjeta SIM a la operadora de telefonía móvil, que transfirió la línea a una nueva tarjeta. Este cambio de SIM pasó inicialmente desapercibido para la víctima hasta que, tras experimentar problemas de conexión con su línea telefónica y recibir varias alertas de intentos de acceso a su correo electrónico, avisó a Banco Sabadell de que podía estar sufriendo un intento de suplantación de identidad que ponía en riesgo la seguridad de sus cuentas.

A pesar de la advertencia trasladada a la entidad, ésta no actuó hasta que, transcurridas tres semanas desde que la clienta había comunicado la situación y el posible riesgo, la víctima comprobó que, en el transcurso de una sola noche, los ciberdelincuentes habían accedido a su cuenta y realizado una larga serie de operaciones sin su consentimiento por un importe total de 22.676,66 €, incluyendo 16 transferencias internacionales y varios envíos de dinero a través de Instant Money y Bizum.
Unos movimientos que, tal y como ha quedado acreditado, se realizaron desde dispositivos con direcciones IP diferentes a las habituales de la clienta, a través de los cuales los estafadores pudieron acceder a los códigos de autenticación y efectuar las sucesivas disposiciones de dinero.

Responsabilidad contractual de Banco Sabadell

La sentencia fundamenta la existencia de responsabilidad por parte de Banco Sabadell basándose en las obligaciones que la normativa vigente —como el Real Decreto-ley 19/2018 sobre servicios de pago— impone a las entidades financieras a la hora de garantizar la seguridad de las operaciones bancarias en línea.

Según el artículo 44 de esta norma, el banco debe garantizar la restitución inmediata de los importes de las operaciones no autorizadas, y solo en caso de fraude o negligencia muy grave por parte de la clienta en relación con la privacidad de sus datos personales puede eximirse de la responsabilidad que la legislación atribuye a las entidades proveedoras de servicios bancarios.

En este sentido, la sentencia recuerda que es el banco quien está obligado a «adoptar las medidas de seguridad necesarias para garantizar el correcto funcionamiento del sistema de servicios de pago, entre las cuales destacan las orientadas a detectar automáticamente la concurrencia de indicios de que puede tratarse de una operación anómala y generar una alerta o un bloqueo temporal (por ejemplo, reiteración de transferencias sin solución de continuidad, el horario en que se producen, su importe, destinatarios, antecedentes en el uso de la cuenta, etc.), o las dirigidas a incrementar el control y la vigilancia cuando se han recibido noticias o alertas de un posible aumento del riesgo».

La magistrada considera que, en el caso analizado, los movimientos y operaciones ordenados fraudulentamente por los delincuentes resultaban tan inusuales y alejados de los patrones habituales de conducta de la clienta que deberían haber despertado de inmediato las sospechas de Banco Sabadell, paralizando su ejecución hasta poder comprobar fehacientemente que era la clienta quien los estaba ordenando.

En este sentido, la sentencia valora que «los avances de la tecnología actual hacen relativamente sencillo diseñar sistemas o aplicaciones informáticas idóneas para detectar ciertas anomalías en la prestación de los servicios de pago. Operaciones que, en el caso de empresas o sociedades con un objeto social concreto, podrían calificarse de ordinarias, deben levantar inmediatamente sospechas y dar lugar a una respuesta cuando afectan a personas físicas ajenas a dichas actividades. Bastaría un control automático de determinados factores —como el número y la sucesión de operaciones, el intervalo en que se ejecutan, la hora del día, su importe o las entidades de destino— para generar un aviso que reforzara los requisitos de confirmación y minimización de los posibles riesgos».

Aun así, el juzgado de Martorell subraya que Banco Sabadell no implementó los mecanismos adecuados para prevenir o detectar operaciones fraudulentas, como la detección de transferencias elevadas a destinatarios no habituales o el uso de direcciones IP distintas a las de la clienta. Además, la entidad no activó alertas de seguridad ni adoptó medidas para bloquear las transacciones antes de que fueran completadas.

La clienta no fue negligente

Como es habitual, el banco intentó defenderse de las acusaciones de incumplimiento del deber de protección y seguridad atribuyendo la responsabilidad de los hechos a la negligencia de la propia clienta. Pero la sentencia descarta de forma contundente que existiera una actitud negligente por parte de la víctima que permitiera a los delincuentes duplicar la tarjeta SIM de su teléfono móvil e interceptar los mensajes de seguridad y autenticación de la entidad.

«Debe observarse que, en contra de lo que sostiene la parte recurrente, el hecho de que un tercero haya podido acceder a las claves de acceso a la banca digital del demandante no implica por sí mismo que éste haya incurrido en negligencia, ya que pueden existir múltiples explicaciones, muchas de las cuales difícilmente son atribuibles a título de negligencia y, menos aún, de negligencia grave», afirma la sentencia.

En sentido contrario a la pretensión de Banco Sabadell, la magistrada observa que «el hecho de que la filtración o el conocimiento de las claves por parte del tercero no sea imputable a la entidad bancaria tampoco la exonera de la obligación de responder ni traslada al usuario la obligación de soportar las pérdidas, ya que el proveedor de servicios de pago, además de demostrar que el servicio se prestó correctamente —lo que no sucedió—, debía acreditar la concurrencia de fraude o de incumplimiento deliberado o gravemente negligente por parte del usuario y, respecto a este extremo, las sentencias de instancia y de apelación coinciden en que no se ha probado ningún fraude ni ningún incumplimiento doloso o por negligencia grave de las obligaciones que correspondían al demandante y, en concreto, las de tomar todas las medidas razonables para proteger sus credenciales de seguridad personalizadas y notificar al proveedor de servicios de pago la utilización no autorizada del instrumento de pago tan pronto como tuvo conocimiento de ello, cosa que así hizo, comunicando los intentos de acceso a su cuenta con tres semanas de antelación».

Una normativa protectora

Sentencias como ésta, que condena a Banco Sabadell a devolver a la clienta las cantidades estafadas —valoradas en 22.676,66 €—, son cada vez más frecuentes, explica el abogado de Col·lectiu Ronda, Òscar Serrano, quien ha representado a la clienta en este procedimiento.

«La normativa vigente, tanto estatal como comunitaria, establece con mucha claridad que los bancos tienen una responsabilidad cuasi objetiva sobre los casos de cibercrimen y fraudes informáticos, porque tienen la obligación de vigilar y garantizar la seguridad de las operaciones. Son muy pocas las sentencias que aprecian la existencia de negligencia grave por parte de las víctimas. Hablamos de casos en los que el banco puede acreditar que se ha actuado de una forma inverosímil, contraria al más elemental sentido común, pero en ningún caso se nos puede hacer responsables de caer en las trampas que tienden los delincuentes informáticos, cada vez más sofisticados», afirma el abogado.

En cambio, Òscar Serrano lamenta que «los bancos no estén haciendo todo lo posible para evitar que cada día, solo en Cataluña, más de 300 personas sean víctimas de ciberdelitos». Casos como éste demuestran, a juicio del abogado de Col·lectiu Ronda, que son los bancos —y no los clientes— quienes están actuando con negligencia.

«Con los servicios informáticos de que disponen entidades como Banco Sabadell, es evidente que es posible detectar y paralizar operaciones tan llamativas como realizar 16 transferencias bancarias en el transcurso de una sola noche por importes elevados y con destino a cuentas bancarias de Alemania y Holanda, cuando esta persona nunca en su vida había enviado dinero a esos países ni hacía transferencias de madrugada».

El deber de los bancos, recuerda Òscar Serrano, es «asegurarse de que toda operación está siendo realmente autorizada por su cliente y, ante la más mínima duda, paralizarla para garantizar que no hay ninguna actividad delictiva detrás y, en todo caso, cuando el cliente afirma no haber autorizado la operación, restituir de inmediato los importes hasta poder determinar la causa de los hechos. Lamentablemente, los bancos no suelen hacer ni una cosa ni la otra, obligando a la gente a emprender procesos judiciales como éste».