El banco no detectó operaciones tras estafa vía mensaje SMS
Obligación de restitución por responsabilidad extracontractual
El Juzgado de Primera Instancia número 2 de Guadix ha dictado una sentencia que obliga a una entidad bancaria a devolver a un cliente la cantidad de 2.122,99 euros, sustraída mediante operaciones no autorizadas tras un ataque de smishing. El fallo estima la demanda interpuesta por el afectado al considerar que el banco incumplió sus deberes de diligencia y prevención en materia de ciberseguridad, configurando una responsabilidad extracontractual conforme al artículo 1.902 del Código Civil.
En el supuesto de hecho, el cliente recibió un mensaje SMS fraudulento que aparentaba proceder de su entidad financiera. Al seguir las instrucciones contenidas en el mismo, los ciberdelincuentes accedieron a su cuenta y realizaron, en un corto periodo, diversas operaciones, entre ellas compras, transferencias, pagos en cajeros y solicitudes de tarjetas prepago. Pese a la rápida actuación del usuario —quien notificó los hechos sin demora e incluso acudió a la sucursal— la entidad no adoptó medidas efectivas que impidieran la materialización del perjuicio económico.
Distribución de la carga probatoria y normativa aplicable
La resolución aplica el marco normativo vigente en materia de servicios de pago, en particular los artículos 45 y 46 del Real Decreto-ley 19/2018, de 23 de noviembre, conforme a los cuales la carga de la prueba sobre la autenticación, ejecución y registro exacto de las operaciones corresponde al proveedor de servicios. Asimismo, establece que en caso de operaciones no autorizadas, el proveedor debe devolver al usuario el importe de forma inmediata, salvo que pueda probar que ha existido fraude o negligencia grave por parte del ordenante.
En este sentido, el juzgado considera que el banco no ha logrado acreditar que las operaciones fueran autorizadas por el cliente, ni que este incurriera en negligencia grave. El fallo subraya que la actuación del cliente fue diligente al comunicar inmediatamente el acceso indebido y al acudir personalmente a la oficina bancaria al no obtener respuesta eficaz por otras vías.
Incumplimiento del deber de seguridad: análisis técnico-normativo
El tribunal entra a valorar las medidas de ciberseguridad de la entidad bancaria, conforme a los principios establecidos en el Reglamento (UE) 2022/2554 (DORA), aplicable a partir del 17 de enero de 2025, y la Directiva (UE) 2022/2555 (NIS2). Estas normas imponen a las entidades financieras la obligación de contar con políticas integrales de gestión del riesgo TIC, mecanismos de respuesta ante incidentes, procesos de autenticación robusta y protocolos de protección criptográfica.
Se señala la ausencia de trazabilidad de la actividad fraudulenta en los sistemas del banco, así como la inexistencia de protocolos de detección rápida de anomalías. En concreto, se detectó la vinculación de hasta cuatro dispositivos distintos y la ejecución de 24 operaciones en un breve lapso, sin que ello activara medidas automáticas de bloqueo ni alertas internas. La entidad tampoco justificó cómo pudo bloquear ciertos cargos por importe de 2.500 euros en esas mismas fechas y, sin embargo, omitió devolver los cargos vinculados a la tarjeta de crédito que originaron el litigio.
Ausencia de cumplimiento de obligaciones preventivas y comunicativas
El juzgado también afea a la entidad su falta de transparencia y diligencia frente a lo que identifica como una campaña masiva de estafas dirigidas contra sus clientes. No consta que la entidad haya comunicado el incidente a los organismos competentes, como los equipos de respuesta ante emergencias informáticas (CERT), ni que haya informado de manera efectiva a los clientes afectados, incumpliendo así los deberes de notificación previstos en la Directiva NIS2.
Igualmente, se evidencia la carencia de documentos que acrediten políticas de gobernanza en ciberseguridad, control de accesos lógicos o físicos, autenticación fuerte, cifrado conforme a estándares aprobados y protocolos de evaluación de riesgos sobre activos TIC. La omisión de estas medidas no solo vulnera la normativa sectorial, sino que compromete la debida protección de los usuarios conforme al principio de confianza legítima y al deber general de diligencia exigido a las entidades financieras.