El Tribunal Supremo ha lanzado un aviso a los bancos en una sentencia reciente: si un cliente pierde sus ahorros mediante una estafa de phishing y no hay pruebas de que la culpa sea de la víctima, la entidad tendrá que hacerse cargo del dinero, al menos hasta que el criminal sea encontrado y condenado.

En una de estas estafas, el ladrón consigue los datos bancarias de su víctima: número de cuenta o de tarjeta pero también las claves de acceso. Lo hace, habitualmente, haciéndose pasar por el banco o cualquier otra entidad y conseguir así que el cliente le entregue sus datos. Mensajes alertando de falsas alertas de seguridad, de inexistentes envíos postales o haciéndose pasar por familiares que, muchas veces, terminan con la víctima entregando sus claves, sin saberlo, a un estafador que empieza entonces a sacar el dinero de sus cuentas.

Plataformas como Europol alertan, desde hace años, de los miles de casos que se registran anualmente en el contiente. En España, la Fiscalía llama la atención en sus informes del “imparable desarrollo tecnológico” en la criminalidad y el aumento anual de este tipo de estafas. Pero antes de sentar al estafador en el banquillo siempre hay un primer paso: cuando el cliente llama al banco y, mientras la Policía busca al ladrón, reclama su dinero.

En este caso el demandante, que llevó al banco por la vía civil para reclamar el dinero perdido, empezó a recibir primero avisos de Google sobre accesos no autorizados a su cuenta de correo y, después, mensajes SMS para materializar transferencias que no había ordenado, de los que avisó al banco. Lo siguiente, un mes después, fue levantarse de la cama y encontrar unos cargos en su cuenta y hasta 83.000 euros en 'bizums'. El dinero salió de su banco y llegó a cuentas de “delincuentes conocidos por la Policía”, realizado gracias a una tarjeta SIM de su esposa duplicada en Murcia. La víctima vivía en Zaragoza.

El afectado, a través de Ibercaja, consiguió recuperar unos 27.000 euros pero acudió a los tribunales para exigir que la entidad le devolviera el resto del dinero estafado. El banco alegaba que no había incurrido en ningún incumplimiento y aunque reconocía que “posiblemente” había sido víctima de “una suplantación de identidad o phishing”, todas las operaciones fueron autorizadas “al haber cumplido el doble factor de autenticación”. No es trabajo del banco, añadía Ibercaja en sus alegaciones, saber si esas transferencias “las autentificó un cliente o un tercero”.

Los tribunales aragoneses entendieron que esas transferencias “fueron realizadas por delincuentes, que duplicaron la tarjeta SIM de la esposa del perjudicado” , accediendo así a la “información confidencial” y “tomando el control de su banca digital”. La estafa conocida como “SIM swapping”. El resultado, confirma ahora el Tribunal Supremo, es que el banco debe pagar los más de 50.000 euros que todavía tenía pendientes de recuperar. No sólo el cliente no fue negligente: incluso advirtió con antelación de los mensajes que estaba recibiendo y el banco no tomó ninguna medida preventiva de seguridad.

La Sala de lo Civil del Supremo reconoce que el cliente tiene la obligación de ser cuidadoso con sus datos bancarios. “Debe adoptar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas”, explica. Y si detecta alguna operación sospecha, “sin demora” debe comunicárselo a la entidad. A partir de ahí, añade, es responsabilidad del banco tomar las medidas necesarias: “El proveedor debe proceder a su rectificación y reintegrar el importe de inmediato, salvo que tenga motivos razonables para sospechar la existencia de fraude”.

Si un cliente, como sucede habitualmente en casos de 'phishing' o suplantaciones bancarias, denuncia que no ha realizado esa transferencia sospechosa, es trabajo de la entidad demostrar que todo se hizo correctamente y que no existió ni un falló técnico “u otra deficiencia del servicio”. Que la operación esté registrada no sirve para demostrar que fue autorizada o que el afectado es culpable y “ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave”.

El banco no se puede limitar a probar que la salida sospecha de dinero, en este caso unas 15 transferencias en una sola noche, fue “autenticada, registrada con exactitud y contabilizada”. Eso, dicen los jueces, “no es suficiente para eximirle de responsabilidad”. Tiene que probar que el cliente no incurrió en “fraude, incumplimiento deliberado o negligencia grave”.

En este caso el Supremo no tiene dudas de que el cliente fue víctima de una estafa y que el banco no hizo nada. “Alguien había conseguido acceder a las cuentas, y, por ende, disponía de sus claves de usuario y contraseña, lo que hubiera debido motivar una reacción inmediata, que pasaba cuando menos por la modificación de las claves y/o códigos. Nada se hizo”, reprochan los jueces.

Llama incluso el Supremo a los bancos a usar la tecnología para evitar estas estafas, sobre todo cuando son tan sospechosas como que un usuario transfiera 83.000 euros de madrugada: “No puede considerarse como normal e irrelevante que una persona que jamás efectúa operaciones de madrugada, de repente, proceda a llevar a cabo hasta diecisiete operaciones seguidas y por un importe tan elevado”.