El Tribunal de Instancia número 2 de Guadix (Granada) ha condenado a una entidad bancaria a la devolución de 2.122,99 euros estafados a un cliente a través del sistema de 'smishing' o SMS fraudulentos en que el remitente simulaba comunicarse en nombre del banco.
Se trata, según han informado desde el Tribunal Superior de Justicia de Andalucía (TSJA) este jueves, de un caso de reclamación de cantidad por responsabilidad extracontractual contra una entidad bancaria, en el que, tras analizar detalladamente las medidas de ciberseguridad conforme al Reglamento de Resiliencia Operativa Digital (DORA), se concluye que ha quedado probada "la falta de medidas adecuadas de ciberseguridad por parte del banco, lo que permitió la realización de múltiples transacciones fraudulentas en un corto periodo de tiempo".
El demandante presentó una demanda contra la entidad por cargos no autorizados en tarjeta y cuenta corriente tras recibir un SMS fraudulento ('smishing') que simulaba ser del banco, lo que permitió a ciberdelincuentes acceder a la cuenta y realizar múltiples operaciones fraudulentas.
El demandante notificó sin demora la situación y acudió a la oficina bancaria para anular la tarjeta, pero la entidad demoró la respuesta, permitiendo que se realizaran cargos por 2.122,99 euros que no fueron devueltos, según hace constar la sentencia, de fecha 4 de julio pasado y contra la que no cabe recurso.
La entidad demandada alegó que las operaciones fueron autorizadas y que no existió negligencia ni responsabilidad, han precisado desde el TSJA con base en dicha sentencia.
El tribunal analiza la normativa aplicable, especialmente el Real Decreto-ley 19/2018 sobre servicios de pago, que establece que el usuario debe "proteger sus credenciales y notificar sin demora cualquier uso no autorizado, y que la carga de la prueba sobre fraude o negligencia grave recae en el proveedor del servicio de pago".
Se concluye que no se ha probado fraude o negligencia grave por parte del usuario y que la entidad no ha demostrado que las operaciones fueran autorizadas, siendo responsable de la devolución de las cantidades.
La sentencia destaca la importancia de las medidas de ciberseguridad en el sector financiero, haciendo referencia al Reglamento (UE) 2022/2554 conocido como DORA, que establece requisitos específicos para la gestión de riesgos de las tecnologías de la información y la comunicación, la notificación de incidentes y la resiliencia operativa digital.
Este reglamento, aplicable desde enero de 2025, exige a las entidades financieras "implementar políticas robustas de ciberseguridad y mecanismos de detección rápida de anomalías". De igual manera, se tiene en cuenta la Directiva NIS2 para mejorar la ciberseguridad en el ámbito de la Unión Europea.
El tribunal valoró las pruebas presentadas, incluyendo el testimonio del demandante y la documentación aportada por el banco. Se concluyó que las operaciones "no fueron autorizadas por el demandante" y que la entidad bancaria "no proporcionó pruebas suficientes de que el usuario cometió fraude o negligencia grave".
El usuario notificó el acceso no autorizado sin demora, llegando incluso a "acudir físicamente a la oficina bancaria puesto que no recibía un trato eficaz o adecuado a su reclamación de manera telefónica". De este modo tiene derecho a la rectificación de los cargos realizados "de manera indebida e ilegítima".
Por la trazabilidad de las operaciones que aporta la demandada puede considerarse probado que las mismas no fueron autorizadas por el ordenante. Así, de su examen se concluye que se vincularon hasta cuatro dispositivos distintos en poco tiempo y que además se realizaron 24 operaciones de compras u otras órdenes bancarias como solicitudes de alta de tarjetas de prepago así como en compras, en transferencias e incluso en pago en efectivo en cajeros.
