El banco no detectó operaciones tras estafa vía mensaje SMS
El banco, obligado a devolver el importe defraudado
El Juzgado de Primera Instancia número 2 de Guadix ha condenado a una entidad bancaria a devolver 2.122,99 euros a un cliente víctima de una estafa cometida mediante smishing, técnica que consiste en el envío de mensajes SMS fraudulentos simulando provenir del banco. La sentencia considera que la entidad no adoptó medidas adecuadas de ciberseguridad, lo que permitió que se realizaran múltiples operaciones no autorizadas en un breve periodo de tiempo.
El cliente, tras recibir el mensaje fraudulento, facilitó involuntariamente el acceso a su cuenta, desde la que se realizaron compras, transferencias y solicitudes de tarjetas. Pese a notificar de inmediato la situación y acudir físicamente a la oficina bancaria, la entidad no actuó con la debida diligencia, permitiendo la ejecución de operaciones no autorizadas que no fueron reembolsadas.
Marco normativo aplicable y carga probatoria
El tribunal aplica el Real Decreto-ley 19/2018 sobre servicios de pago, el cual establece que, salvo prueba en contrario, cuando se produce una operación de pago no autorizada, el proveedor de servicios debe devolver inmediatamente el importe correspondiente. También dispone que corresponde a la entidad bancaria acreditar que el usuario actuó con negligencia grave o cometió fraude.
En este caso, el juzgado concluye que el cliente actuó con la diligencia exigible, al comunicar el incidente sin demora, y que no hay indicios de conducta negligente o fraudulenta. Por el contrario, se destaca que el banco no ha demostrado que las operaciones fueran autorizadas ni ha aportado pruebas suficientes de que el cliente incumpliera sus obligaciones de seguridad.
Deficiencias en las medidas de ciberseguridad del banco
La sentencia incide en la falta de mecanismos eficaces por parte de la entidad para detectar y frenar actividades anómalas. Se registró la vinculación de hasta cuatro dispositivos distintos en corto tiempo, así como la realización de 24 operaciones diversas. A pesar de ello, el sistema de seguridad del banco no reaccionó con agilidad, permitiendo la consumación del fraude.
Además, se resalta que la entidad no ha aportado información sobre sus políticas de ciberseguridad ni sobre los sistemas de detección, autenticación o control de accesos que debían estar implantados, en cumplimiento de la normativa vigente y del futuro Reglamento (UE) 2022/2554 (Reglamento DORA), aplicable desde enero de 2025. También se menciona la Directiva NIS2, que establece requisitos de seguridad para entidades esenciales, como los bancos.
Valoración probatoria y omisiones relevantes
El tribunal valoró especialmente la actuación diligente del cliente, que acudió personalmente a la sucursal al no recibir atención eficaz por vía telefónica. A su vez, criticó que la entidad no haya justificado por qué pudo bloquear ciertas operaciones pero no las realizadas mediante tarjeta de crédito, precisamente las que integran la cantidad reclamada.
Se señala, además, que el banco no ha acreditado la existencia de mecanismos internos de prevención de fraude ni ha demostrado haber informado a sus clientes o a las autoridades competentes (CERT) sobre el incidente, a pesar de tratarse de una campaña masiva de suplantación de identidad.