Un vigués que sufrió «smishing» gana al banco pese a que su gestor le avisó de que no pinchase en enlaces

Dado que, en el terreno de las estafas bancarias, el «refinamiento en el desarrollo de la actividad delictiva parece ir un paso por delante de las barreras que se ponen para evitarla», corresponde a las entidades una especial obligación de proteger a sus clientes. Y, en caso de que la estafa se consume y la cuestión se dirima en los juzgados, la carga de la prueba de que el usuario actuó de manera fraudulenta o muy negligente recae sobre los bancos.

Con esas premisas encima de la mesa, la Sección 6ª de la Audiencia Provincial, con sede en Vigo, acaba de confirmar una sentencia de primera instancia en la que se condena a Abanca a devolverle a un cliente 3.530,78 euros más intereses, además de imponerle las costas. Es una parte de los 7.800 que le habían estafado a través de smishing; los casi 4.270 euros restantes sí que se los habían reintegrado.

El timo ocurrió en 2022, cuando el hombre era cliente de Targobank, que luego, entre 2023 y 2024, fue absorbida por la entidad liderada por Juan Carlos Escotet. De acuerdo con el fallo, el usuario recibió varios mensajes del banco en los que se alertaba de alguien había entrado en su cuenta y que debía pinchar en un enlace para evitar que se la bloqueasen. Ante esta situación, contactó con su gestor, que le advirtió por correo electrónico de que no abriese el hipervínculo, ya se trataba de un caso de smishing. Sin embargo, unas 12 horas después del aviso, el hombre picó.

Los magistrados de la Audiencia, al igual que la titular del Juzgado de Primera Instancia n.º 6 de Vigo, consideran que esa advertencia «no puede considerarse como una medida de gestión de riesgos eficaz». Definen como «fácil» que cualquier persona no sepa diferenciar entre la comunicación veraz y la fraudulenta, y esgrimen que el usuario puede pensar que existe una descoordinación entre departamentos de la entidad. Ante el temor de quedarse sin dinero, razonan, es comprensible que el hombre «ya no sepa a quién hacer caso» y decida entrar para comprobar si su dinero sigue en la cuenta.

Pasividad del banco

La sentencia establece que las entidades bancarias, además de asegurarse de que se eliminan los riesgos, deben implantar otras medidas como limitar la operatividad, «fundamental para impedir un acceso no autorizado». «La posición del propietario de los sistemas (la entidad bancaria) no ha sido la de gestionar la amenaza (...) sino la de aplicar total pasividad y no proteger los sistemas de una intrusión no deseada», indica.

Para los magistrados, no hay una negligencia grave en que el hombre pinchase en el enlace, pese al aviso de su gestor: «Podría hacerlo por mera desconfianza o mientras muestra a otra persona el intento de estafa y provoca un acceso mediante un clic involuntario». «Debemos insistir en que la implantación de medidas de seguridad como parte de la gestión de incidentes podría haber evitado la estafa», concluyen.

El fallo, contra el que cabe recurso, finaliza con una cita a otra resolución anterior de esta misma sala, en la que queda fijada la jurisprudencia a aplicar en estos casos: «El usuario procedió como con toda probabilidad habría realizado gran parte de la población, por más que sea usuaria de esos canales tecnológicos, en los que el refinamiento en el desarrollo de la actividad delictiva parece ir un paso por delante de las barreras que se ponen para evitarla, pese a que, sin duda, es a la entidad a quien corresponde implementar todos los medios precisos para anticiparse a esa actividad, que es de lo que, sin embargo, aquí no hay prueba alguna».