El Tribunal de Instancia de Guadix número 2 ha condenado a una entidad bancaria a la devolución del dinero estafado a un cliente a través del sistema de ‘smishing’ o SMS fraudulentos. Se trata de un caso de reclamación de cantidad por responsabilidad extracontractual contra una entidad bancaria, en el que, tras analizar detalladamente las medidas de ciberseguridad conforme al Reglamento DORA, concluye que ha quedado probado la falta de medidas adecuadas de ciberseguridad por parte del banco, lo que permitió la realización de múltiples transacciones fraudulentas en un corto periodo de tiempo.
El demandante presentó una demanda contra la entidad por cargos no autorizados en tarjeta y cuenta corriente tras recibir un SMS fraudulento (‘smishing’) que simulaba ser del banco, lo que permitió a ciberdelincuentes acceder a la cuenta y realizar múltiples operaciones fraudulentas. El demandante notificó sin demora la situación y acudió a la oficina bancaria para anular la tarjeta, pero la entidad demoró la respuesta, permitiendo que se realizaran cargos por 2.122,99 € que no fueron devueltos. La entidad demandada alegó que las operaciones fueron autorizadas y que no existió negligencia ni responsabilidad.
Análisis de ciberseguridad, Reglamento DORA y Directiva NIS2
El tribunal analiza la normativa aplicable, especialmente el Real Decreto-ley 19/2018 sobre servicios de pago, que establece que el usuario debe proteger sus credenciales y notificar sin demora cualquier uso no autorizado, y que la carga de la prueba sobre fraude o negligencia grave recae en el proveedor del servicio de pago.
Se concluye que no se ha probado fraude o negligencia grave por parte del usuario y que la entidad no ha demostrado que las operaciones fueran autorizadas, siendo responsable de la devolución de las cantidades.
La sentencia destaca la importancia de las medidas de ciberseguridad en el sector financiero, haciendo referencia al Reglamento (UE) 2022/2554, conocido como DORA, que establece requisitos específicos para la gestión de riesgos de las TIC, la notificación de incidentes y la resiliencia operativa digital. Este reglamento, aplicable desde enero de 2025, exige a las entidades financieras implementar políticas robustas de ciberseguridad y mecanismos de detección rápida de anomalías. De igual manera, se tiene en cuenta la Directiva NIS2.
Valoración de las pruebas
El tribunal valoró las pruebas presentadas, incluyendo el testimonio del demandante y la documentación aportada por el banco. Se concluyó que las operaciones no fueron autorizadas por el demandante y que la entidad bancaria no proporcionó pruebas suficientes de que el usuario cometió fraude o negligencia grave. EL usuario notificó el acceso no autorizado sin demora, llegando incluso a acudir físicamente a la oficina bancaria puesto que no recibía un trato eficaz o adecuado a su reclamación de manera telefónica. Y, por lo tanto, el usuario tiene derecho a la rectificación de los cargos realizados de manera indebida e ilegítima.
Pero, es más, la trazabilidad de las operaciones que aporta la demandada puede considerarse probado que las mismas no fueron autorizadas por el ordenante. Así, de su examen se concluye que se vincularon hasta 4 dispositivos distintos en poco tiempo y que además se realizaron 24 operaciones de compras u otras órdenes bancarias como solicitudes de alta de tarjetas de prepago, así como en compras, en transferencias e incluso en pago en efectivo en cajeros.
Que, por lo tanto, en caso de operación de pago no autorizada, el proveedor de servicios de pago devolverá a éste el importe de la operación no autorizada de inmediato, Y lo cierto, es que el banco no explica por qué llegó poder bloquear 2.500 € de dos operaciones adeudadas En la cuenta bancaria los días uno y 2 de junio de 2022, sin embargo, los cargos realizados a través de la tarjeta de crédito los mismos días, no se ha devuelto que suman la cantidad reclamada de 2.122,99 €.
Además, se destaca la falta de medidas adecuadas de ciberseguridad por parte del banco, lo que permitió la realización de múltiples transacciones fraudulentas en un corto periodo de tiempo, sin que nada se haya dicho ni probado sobre los mecanismos de la entidad bancaria para detectar rápidamente las actividades anómalas.
Se valora que no se ha aportado por la entidad bancaria sus políticas de gobernanza y control de ciberseguridad, su gestión de riesgos, sus medidas de supervisión continua, medidas de detección rápida de anomalías, las comunicaciones a los clientes en caso de incidente es de ciberseguridad, y sobre todo las políticas de la entidad bancaria que limiten el acceso físico o lógico a los activos de información y activos de TIC a lo que sea necesario únicamente para funciones y actividades legítimas y aprobadas, o las políticas y protocolos para mecanismos de autenticación fuerte, basados en estándares pertinentes y sistemas de control específicos, y medidas de protección de las claves criptográficas mediante las que se cifran los datos en función de los resultados de los procesos aprobados de clasificación de datos y evaluación de riesgos relacionados con las TIC.
Se reprocha asimismo al banco que respecto a una campaña masiva de estafas consumadas que sufrieron los clientes de esta entidad, cuando se llegó a usurpar la identidad de la propia entidad y no conste la comunicación del ciber incidente a las entidades competentes (CERT) o la comunicación a los clientes, así como las posibles medidas que haya podido adoptar la entidad bancaria con la finalidad de reforzar las políticas y protocolos para mecanismos de autenticación fuerte, basados en estándares pertinentes y sistemas de control específicos, y medidas de protección de las claves criptográficas mediante, de tal manera que en el futuro puedan no repetirse este tipo de incidentes.
