El Juzgado de Primera Instancia número 2 de Alcoy, Alicante, ha dictaminado en contra del BBVA, ordenando al banco compensar a una de sus clientes con casi 3.000 euros tras ser víctima de una sofisticada estafa de phishing. Este fallo destaca por su rechazo al informe pericial presentado por la entidad, subrayando el incumplimiento del banco en su obligación de garantizar la seguridad en las operaciones de sus clientes.
El caso se centra en un ataque dirigido a la cliente mediante un SMS fraudulento, aparentemente enviado por BBVA, que la redirigió a una página falsa del banco donde proporcionó sus credenciales de acceso. Este incidente resultó en trece operaciones no autorizadas con su tarjeta de crédito, sumando un total de 2.795 euros en transacciones fraudulentas.
La defensa de la cliente, desafió con éxito la validez del informe pericial del banco durante el juicio. Argumentaron eficazmente la posibilidad de interceptación de los SMS de validación, aportando documentos en los que responsables de información de la Policía Judicial, especialistas en forensía digital, afirman la posibilidad real de interceptación de tales mensajes SMS, contradiciendo la afirmación del banco de que la recepción de estos mensajes implicaba necesariamente su entrega segura al destinatario.
Como es habitual, BBVA se negó a asumir su responsabilidad
El BBVA, por su parte, intentó eludir la responsabilidad, alegando que la cliente había incumplido sus deberes al revelar sus datos de acceso. Sin embargo, el juzgado determinó que no existía prueba de negligencia o fraude por parte de la afectada, quien actuó bajo la creencia de que estaba siguiendo procedimientos de seguridad legítimos instados por su banco.
Ante la negativa del BBVA a reintegrarle el dinero sustraído, la actora demandó al banco, alegando que existiría responsabilidad de la entidad por haber podido disponer de trazabilidad de la aplicación, evidenciando que las conexiones se habrían efectuado desde un dispositivo distinto de los habituales; por no existir negligencia de la cliente al ser que las claves de seguridad fueron conservadas diligentemente y no existir sustracción de la tarjeta ni la numeración identificativa de tal documento, ya que nunca fue guardada junto a su instrumento de pago ni en formato abierto detectable por terceros. Asimismo, también culpaba al banco por no haber autentificado adecuadamente la operación.
Este juicio también puso de manifiesto la falta de medidas preventivas eficaces por parte de BBVA contra este tipo de fraudes, a pesar de las advertencias generales sobre seguridad cibernética proporcionadas por la entidad. La sentencia criticó al banco por no haber implementado alertas adecuadas que pudieran haber bloqueado las operaciones al detectar una conexión a través de una IP no habitual para la cliente.
La decisión de este caso recalca la responsabilidad de las entidades bancarias de proteger a sus clientes contra fraudes electrónicos y de asumir las consecuencias cuando sus sistemas de seguridad fallan. Además, subraya la importancia de que los consumidores reciban información clara y accesible sobre cómo protegerse de los ataques de phishing, más allá de las advertencias generales y consejos de seguridad dispersos.
Este fallo no solo representa una victoria significativa para la cliente afectada, sino que también sirve como un recordatorio para las instituciones financieras sobre la importancia de mantener altos estándares de seguridad y transparencia en la era digital. La entidad bancaria sí que ha incumplido el contrato, en concreto ha incumplido con la obligación de atender la reclamación ante un cargo no autorizado por el particular, generando daños y perjuicios a su cliente, el juzgador concluye que no queda acreditado que la cliente hubiera sido advertida de que debía adoptar la precaución de facilitar en ningún enlace o llamada sus datos de conexión de banca online. Igualmente, tampoco ha quedada acreditada ninguna causa legal de exención de responsabilidad de la que viene obligada la entidad bancaria.
