Condenan a un banco a devolver a un cliente de Guadix más de 2.000 euros estafados a través de SMS

Sentencia pionera en Granada. El Tribunal de Instancia número 2 de Guadix ha condenado a una entidad bancaria a la devolución de 2.122,99 euros estafados a un cliente de la localidad a través de un sistema de mensajería SMS fraudulenta, en que el remitente simulaba comunicarse en nombre del banco. Se trata de un caso de reclamación de cantidad por responsabilidad extracontractual contra esta entidad, en el que, tras analizar detalladamente las medidas de ciberseguridad, ha quedado probada "la falta de medidas adecuadas de ciberseguridad por parte del banco", lo que permitió la realización de estas transacciones fraudulentas.

Según ha informado este jueves el Tribunal Superior de Justicia de Andalucía (TSJA), con sede en Granada, el demandante presentó una denuncia contra la entidad por cargos no autorizados en tarjeta y cuenta corriente tras recibir un SMS fraudulento (smishing en su término en inglés) que simulaba ser del banco, lo que permitió a ciberdelincuentes acceder a la cuenta y realizar múltiples operaciones fraudulentas.

El demandante notificó sin demora la situación y acudió a la oficina bancaria para anular la tarjeta, pero la entidad demoró la respuesta, permitiendo que se realizaran cargos por 2.122,99 euros que no fueron devueltos, según hace constar la sentencia, de fecha 4 de julio pasado y contra la que no cabe recurso. La entidad demandada alegó que las operaciones fueron autorizadas y que no existió negligencia ni responsabilidad.

El tribunal, analizando la normativa aplicable, especialmente el Real Decreto-ley 19/2018 sobre servicios de pago, que establece que el usuario debe "proteger sus credenciales y notificar sin demora cualquier uso no autorizado, y que la carga de la prueba sobre fraude o negligencia grave recae en el proveedor del servicio de pago"; concluye que no se ha probado fraude o negligencia grave por parte del usuario y que la entidad no ha demostrado que las operaciones fueran autorizadas, siendo responsable de la devolución de las cantidades.

La sentencia destaca la importancia de las medidas de ciberseguridad en el sector financiero, haciendo referencia al Reglamento (UE) 2022/2554, conocido como DORA, que establece requisitos específicos para la gestión de riesgos de las tecnologías de la información y la comunicación, la notificación de incidentes y la resiliencia operativa digital. Este reglamento, aplicable desde enero de 2025, exige a las entidades financieras "implementar políticas robustas de ciberseguridad y mecanismos de detección rápida de anomalías". De igual manera, se tiene en cuenta la Directiva NIS2 para mejorar la ciberseguridad en el ámbito de la Unión Europea.

El tribunal valoró las pruebas presentadas, incluyendo el testimonio del demandante y la documentación aportada por el banco, y concluyó que las operaciones "no fueron autorizadas por el demandante" y que la entidad bancaria "no proporcionó pruebas suficientes de que el usuario cometió fraude o negligencia grave". El usuario notificó el acceso no autorizado sin demora, llegando incluso a "acudir físicamente a la oficina bancaria puesto que no recibía un trato eficaz o adecuado a su reclamación de manera telefónica". De este modo tiene derecho a la rectificación de los cargos realizados "de manera indebida e ilegítima".

Por la trazabilidad de las operaciones que aporta la demandada puede considerarse probado que las mismas no fueron autorizadas por el ordenante. Así, de su examen se concluye que se vincularon hasta cuatro dispositivos distintos en poco tiempo y que además se realizaron 24 operaciones de compras u otras órdenes bancarias como solicitudes de alta de tarjetas de prepago así como en compras, en transferencias e incluso en pago en efectivo en cajeros.