Smishing, spoofing… y un banco “offline"

Publicado: 21/07/2025
Autor

Nertis

La sociedad, la política o la justicia desde el punto de vista de los miembros del despacho Nertis Legal

La Tribuna de Nertis

Los distintos profesionales del despacho Nertis Legal analizan en cada artículo la realidad social

VISITAR BLOG
Rosario Álvarez, abogada en Nertis ETL Global, nos habla de una sentencia pionera en banca y ciberseguridad
Dicen que "al que madruga, Dios le ayuda", pero en esta historia quien madrugó fue el cliente, y no precisamente para ir a trabajar, sino para intentar que no le robasen más. Y mientras él corría a la oficina bancaria con el susto en el cuerpo, el banco seguía dormido en los laureles... o al menos, en su ciberseguridad.

Una reciente sentencia dictada por el Tribunal de Instancia 2 de Guadix (Granada) condena a Unicaja a devolver los 2.122,99 euros sustraídos a su cliente mediante una estafa de smishing y spoofing, y sienta antecedentes con sabor a realidad digital.

Porque una cosa es que el cliente pinche en un enlace pensando que lo ha enviado su banco y otra muy distinta es que la entidad financiera, en pleno siglo XXI, no detecte que le están conectando múltiples dispositivos fantasma en cuestión de media hora. En un mundo donde hasta el frigorífico tiene Wi-Fi, lo mínimo que se le puede pedir a un banco es que vigile su puerta digital.

La resolución judicial, impecable, recuerda que las entidades bancarias no solo tienen que guardar el dinero, sino también las puertas virtuales por las que se cuelan los cacos. Y que, si el usuario no ha sido negligente, es el banco quien debe responder. A ver si se enteran.

La normativa no puede ser más clara: los bancos están obligados a tener -entre otras- medidas robustas de detección, bloqueo y respuesta ante incidentes. No es un consejo, es una obligación ysu cumplimiento tiene que ser probado. Como recoge literalmente la sentencia:“Y en este sentido no se ha aportado por la entidad bancaria sus políticas de gobernanza y control de ciberseguridad, su gestión de riesgos, sus medidas de supervisión continua, medidas de detección rápida de anomalías, las comunicaciones a los clientes en caso de incidente de ciberseguridad…”

Porque no basta con tener apps modernas si no se cumple con la normativa en materia. Y Unicaja no solo no protegió, sino que no ha acreditó haberlo intentado.

Y así, esta sentencia no solo devuelve dinero, devuelve confianza y pone el foco donde debe estar: la ciberseguridad no es postureo, es una responsabilidad real de las entidades. Así que, conviene tomar nota: “Cuando las barbas del vecino veas pelar, pon las tuyas a remojar”. Unicaja no lo vio venir y ahora lo ve en sentencia firme.

© Copyright 2025 Andalucía Información