La responsabilidad es del banco por ofrecer servicios de banca online y no garantizar la seguridad de los mismos
La entidad no dispone de un sistema anti seguridad que garantice las cuentas y depósitos de los clientes, que es la primera obligación del banco, correspondiéndole asumir las consecuencias y no culpabilizar por sistema, como está haciendo, a la clientela víctima de estos fraudes. Además la brecha sigue abierta, provocando indefensión a los clientes, despreciando a los miles de clientes que se sienten doblemente estafados, por una parte por los Ciberdelincuentes y por otra parte por la propia entidad que además de dejarles tirados, les culpabiliza de la estafa.
Unión de Consumidores de Asturias señala que las distintas sentencias ganadas acreditan que la entidad no dispuso de un sistema anti de seguridad que garantizase las cuentas y depósitos de los clientes, que es la primera obligación del banco, y que, por lo tanto, a la entidad corresponde asumir las consecuencias y «no culpabilizar, como está haciendo, a la clientela víctima de estos fraudes».
La Audiencia Provincial de Oviedo ha ratificado una sentencia que responsabiliza a Unicaja por los 6.000 euros que un cliente perdió debido a un ataque de smishing, (una forma de phishing, mediante la cual alguien intenta obtener información privada a través de un mensaje de texto o SMS).
El juzgador explica en la sentencia que el banco, «no solo no ha demostrado que el cliente hubiera incurrido en negligencia grave en el proceso que desembocó en la estafa, sino que todo apunta a un déficit del sistema de seguridad de la propia entidad bancaria para evitar esta clase de ataques informáticos». La actuación del cliente no puede calificarse de temeraria ni gravemente negligente, puesto que fue engañada, es el banco quien debe poner los medios necesarios para evitar el engaño.
El Banco de España se había hecho eco de esta clase de delitos, informando de las nuevas modalidades de smishing y spoofing. Y, sin embargo, UNICAJA, no adoptó las técnicas o medidas de seguridad que fueran suficientes para evitar que se produjeran esta clase de fraudes en su ámbito de actuación, resultando una conducta gravemente negligente en sus interacciones con sus clientes; es a la entidad a quien corresponde implementar todos los medios precisos para anticiparse a esa actividad delictiva, sin que haya prueba alguna de que lo haga.
La Unión de Consumidores de Asturias denuncia que, «Unicaja se está enriqueciendo de forma ilícita porque se está quedando con el dinero de los clientes, cuando tenía que haberlo devuelto al día siguiente de la estafa, como establece la ley y, sin embargo, lo devuelve dos años después y por las condenas judiciales».
El juzgado de primera instancia, partiendo de la normativa establecida en el Real Decreto-Ley 19/2018, de 23 de noviembre, que regula los servicios de pago, estimó la demanda al existir «un incumplimiento contractual por parte del banco, al no haber comprobado la autorización de la orden de pago y no disponer de un adecuado sistema de seguridad que previniera este tipo de órdenes fraudulentas». La entidad bancaria deberá no solo reembolsar la cantidad sustraída, sino también cubrir los intereses legales acumulados desde junio de 2022, así como las costas judiciales.
Este caso pone en relieve las vulnerabilidades de nuevo los sistemas de seguridad bancarios y el deber de su fortalecimiento para proteger a los consumidores. Durante el periodo de fusión de Unicaja con Liberbank, entre mayo y junio de 2022, los ciberdelincuentes se hicieron con decenas de credenciales de usuarios de su banca electrónica. Enviaron mensajes a ordenadores y a teléfonos móviles de clientes, en los que, haciéndose pasar por el banco, pedían que actualizaran los datos de su cuenta bancaria. Estos mensajes imitaban el diseño, apariencia y logos utilizados por la entidad financiera para comunicarse con sus clientes, algunos de los cuales vieron cómo les sacaban de sus cuentas hasta 50.000 euros,
La Unión de Consumidores de Asturias, que representa a más de 350 clientes afectados por estos fraudes, ha estado al frente de la lucha para que se compense a las víctimas de estos delitos informáticos, con reclamaciones que superan los dos millones de euros en total. Según esta organización, la magnitud de los ataques y la cantidad de afectados podría ser mucho mayor, extendiéndose por toda España.
La decisión judicial subraya la responsabilidad de Unicaja en el incidente, indicando que el banco falló en garantizar un sistema de seguridad robusto que protegiera las cuentas y transacciones de sus clientes. El magistrado Francisco Tuero Aller, quien firmó la sentencia, señaló que el cliente actuó de manera lógica ante un mensaje que aparentaba ser una comunicación legítima del banco. La sentencia refuta la argumentación de Unicaja, que intentó atribuir la culpa al cliente por responder al mensaje de smishing, subrayando que la operación fraudulenta fue facilitada por la vinculación de un dispositivo controlado por el ciberdelincuente.
La Audiencia de Oviedo ha desestimado el recurso de apelación interpuesto por la entidad bancaria contra la resolución del Juzgado de Primera Instancia número 3 de Mieres que en diciembre de 2023 estimó íntegramente la demanda presentada por la Unión de Consumidores de Asturias, en representación de este consumidor, y le impuso esta condena.
Este caso no solo evidencia la necesidad de que las entidades bancarias adopten medidas de seguridad más efectivas, sino que también resalta la importancia de la educación en ciberseguridad para los consumidores, enseñándoles a identificar y responder adecuadamente ante intentos de fraude.
La Unión de Consumidores de Asturias ha instado a Unicaja a asumir su responsabilidad y reembolsar proactivamente a todos los clientes afectados, en lugar de esperar a que las sentencias judiciales les obliguen a hacerlo. La organización critica la actitud de la entidad, acusándola de enriquecimiento ilícito a expensas de las víctimas de fraude y de desatender su obligación legal de proteger la seguridad de las cuentas y operaciones de pago de sus clientes.
Este fallo judicial marca un precedente importante en la protección de los derechos de los consumidores frente a los riesgos digitales, subrayando la responsabilidad de las entidades financieras en la prevención de fraudes cibernéticos y la compensación a las víctimas de tales delitos.
