El juzgado de Primera Instancia número 19 de Málaga ha condenado a un banco a reembolsarle a una cliente los 853,04 euros que le fueron estafados tras haber sido víctima de un fraude por ‘phishing’ cuando pinchó en un enlace fraudulento pensando que correspondía a Correos.

El ‘phishing’ es una técnica que consiste en el envío de un correo electrónico por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima (red social, banco o institución pública, entre otros) con el objetivo de robarle información privada, realizarle un cargo económico o infectar el dispositivo. Para ello, adjuntan archivos infectados o enlaces a páginas fraudulentas en el correo electrónico.

Según recoge la sentencia, los hechos se remontan al 4 de abril de 2022 cuando la demandante recibió un mensaje con la apariencia y el anagrama de la Sociedad Estatal de Correos y Telégrafos. En él se le indicaba que, tras un intento fallido de entrega, tenía que visitar el enlace adjunto para que se le pudiera entregar el pedido, previo abono de una tasa de 1,79 euros. Al estar esperando un paquete, la víctima accedió a pinchar el enlace y fue remitida a una página en la que le pedían los datos de una tarjeta para pagar la tasa requerida. Tras acceder a la solicitud, comprobó como se le hacían varios cargos en su cuenta de distintos importes (dos de 136,04 euros, uno de 63,49 euros, otro de 307,74 euros y un último de 210 euros) por un valor total de 853,04 euros y que no había autorizado.

Ante estas circunstancias, la afectada, representada por Martín Serrano Abogados, denunció los hechos y presentó una reclamación extrajudicial al banco, que fue desestimada. Al no haber obtenido ninguna solución por parte de la entidad bancaria, decidió acudir a la justicia.

Finalmente, el tribunal condenó con sentencia firme al banco, que en un principio declinó cualquier responsabilidad al haber informado a su cliente sobre los peligros de los ciberataques y haber sido la demandante la que voluntariamente pinchó en el enlace. En este sentido, argumentó que los movimientos objeto de reclamación fueron emitidos con consentimiento por parte de la cliente, «que facilitó todos sus datos», y por tanto no incurrió en negligencia alguna, «debiendo imputarse la responsabilidad a la titular de la cuenta». Eximió su responsabilidad señalando que se autorizó la operación «sin que el banco tuviera intervención en las operaciones realizadas a través del sistema Apple Pay, mediante un sistema de autorización reforzada, sin que el servicio prestado por el banco presentase ninguna incidencia operativa imputable a la entidad bancaria».

Sin embargo, la jueza entiende que esa intervención sí existió desde el momento en el que los cargos de las operaciones, las transferencias de dinero a favor de varias empresas beneficiarias por la realización de supuestas compras, se realizan en una cuenta de la entidad demandada que está asociada a la tarjeta de crédito de la demandante. «Los pagos se realizan mediante esa tarjeta y se cargan en esa cuenta, actuaciones que no se pueden llevar a cabo sin la intervención del banco, sea cual sea el sistema de pago que se utilice, tanto si hay autentificación reforzada como si no la hay», recoge la sentencia.

En este sentido, desde Martín Serrano Abogados mantuvieron durante el juicio que hubo una «evidente brecha de seguridad», al no solicitarle en ningún momento el doble código de verificación para autorizar el pago. «De haberlo habido, no habría sido estafada», zanja el abogado Eduardo Martín, quien insiste en que «es evidente que cada diez segundos, que fue el tiempo que transcurría entre cargo y cargo en la tarjeta, no pudo darle tiempo a mi cliente a autorizarlos. Eso, suponiendo que los hubiera visto oportunos, que no era el caso».

FUENTE: Diario Sur (Susana Zamora)