Noticias legislación

Un reciente fallo del Juzgado de Primera Instancia número 2 de Guadix ha establecido la responsabilidad de las entidades bancarias en relación con los fraudes cibernéticos. La sentencia condena a un banco a reembolsar 2.122,99 euros a un cliente que fue víctima de un fraude conocido como smishing, que implica el uso de mensajes de texto SMS para engañar a los usuarios y obtener acceso a sus cuentas.

Detalles del caso

El litigio se originó a raíz de una demanda presentada por un cliente que experimentó cargos no autorizados en su cuenta y tarjeta bancaria. Los estafadores lograron acceder a su información personal tras enviar un SMS que aparentaba ser de la propia entidad bancaria. A pesar de que el cliente notificó de inmediato la situación y se presentó en la oficina del banco, la entidad tardó en reaccionar, lo que permitió que las transacciones fraudulentas se llevaran a cabo.

Normativa aplicable

La sentencia se fundamenta en varias normativas, incluyendo el Real Decreto-ley 19/2018 sobre servicios de pago, que establece que los proveedores de servicios deben demostrar que hubo negligencia grave o fraude por parte del usuario para eludir su responsabilidad. Dado que no se probó tal negligencia en este caso, el banco está obligado a devolver las cantidades que fueron extraídas de manera indebida.

Además, se hace referencia al Reglamento (UE) 2022/2554 (Reglamento DORA), que entrará en vigor en enero de 2025, y que impone obligaciones sobre la gestión de riesgos tecnológicos y la resiliencia operativa. Este reglamento exige a las entidades financieras implementar medidas robustas de ciberseguridad, sistemas de detección de incidentes y controles sobre el acceso a la información. También se menciona la Directiva NIS2, que refuerza las obligaciones de seguridad digital en sectores esenciales.

Evaluación de pruebas y responsabilidad del banco

La valoración de las pruebas se centró en la diligencia del cliente y la ineficacia de la respuesta del banco. Aunque la entidad argumentó que las operaciones eran autorizadas, no pudo demostrar el consentimiento del usuario ni que existiera fraude o negligencia grave por su parte.

Se constató que en el corto período en que se produjo el fraude, se conectaron hasta cuatro dispositivos diferentes, se realizaron 24 transacciones y se solicitaron tarjetas prepago. Estas circunstancias, en lugar de activar alertas internas, no generaron una respuesta adecuada por parte del banco.

Adicionalmente, la entidad no presentó documentación que respaldara sus políticas de ciberseguridad, ni mecanismos de autenticación fuerte, protocolos de cifrado, supervisión continua o notificaciones a clientes y autoridades competentes (CERT) en caso de incidentes. La falta de trazabilidad en sus acciones ante una campaña de estafas masivas refuerza la imputación de responsabilidad.

Inacción frente al incidente

El fallo destaca que, aunque el banco pudo bloquear parcialmente ciertas operaciones (hasta 2.500 euros), no tomó medidas para detener las transacciones relacionadas con la tarjeta de crédito, las cuales fueron ejecutadas sin reembolso. Esta contradicción sugiere una falta de coordinación y de recursos adecuados para el control de seguridad.

Asimismo, no se evidenció que la entidad hubiera implementado mejoras posteriores para prevenir futuros incidentes de smishing, como la adopción de mecanismos de doble autenticación o políticas de restricción de acceso a sistemas críticos.