Los bancos tendrán que pagar los robos por 'phishing' si no se demuestra que la víctima cometió un descuido

El Tribunal Supremo ha emitido un fallo clave para los afectados por las estafas a través de las cuales les acaban robando dinero de su cuenta del banco. Y es que el tribunal aclara que son las entidades financieras las que deben responder de los fraudes y estafas hechos por medios telemáticos siempre que no puedan demostrar que la víctima cometió una negligencia, dejó expuestas sus contraseñas o no informó inmediatamente de movimientos extraños.

En una sentencia del 9 de abril, la sala de lo civil desestima un recurso presentado por Ibercaja contra un fallo de noviembre de 2022 de la Audiencia Provincial de Zaragoza, que dio la razón a un cliente al que le estafaron más de 80.000 euros.

La víctima sufrió varias retiradas de efectivo y pagos con su tarjeta por importe de 83.692,73 euros, varias de ellas realizadas de madrugada, y sin que las hubiera autorizado. En cuanto recibió el primer aviso y empezó a recibir notificaciones de operaciones aviso a su entidad financiera, la cual solo le consiguió recuperar algo más de 27.000 euros y rechazó hacerse cargo del resto del dinero sustraído.

Ahora, el Tribunal Supremo ratifica el fallo de primera instancia y recuerda que la normativa europea establece que el usuarios solo responde cuando haya incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones.

La legislación europea, recuerda el Supremo, establece que el usuario debe notificar a su entidad cualquier movimiento sospechoso, y es esta la que debe demostrar que el cliente ha actuado con negligencia; y en caso de no poder aportar pruebas de dicha negligencia, es el banco el que debe responder.

La Sala también llama la atención sobre el hecho de que la entidad financiera no considerara anormal que un cliente se pusiera a realizar operaciones de miles de euros a altas horas de la madrugada, cuando eso no había sucedido nunca, algo que permite sospechar que ha habido actividades irregulares. Además, establece que los operadores de servicios de pago, como son los bancos, tienen la obligación de incrementar la seguridad y el control para detectar este tipo de operaciones.

«Los avances de la tecnología actual hacen relativamente sencillo diseñar sistemas o aplicaciones informáticas idóneas para detectar ciertas anomalías en la prestación de los servicios de pago. A este respecto, sería suficiente un control automático de determinados factores, como el número y sucesión de operaciones, el intervalo en que se ejecutan, la hora del día, su importe o entidades de destino, para generar un aviso que reforzara los requisitos de confirmación y minimizara los posibles riesgos», indica la sentencia.

En este caso, no existe ningún elemento del que se deduzca la existencia de un fraude o incumplimiento deliberado. Además, en el caso de haber sido víctima de phishing o suplantación identidad, la víctima se puso en contacto con su banco, que «debía haber reaccionado proporcionando un nuevo número de usuario, clave de acceso y firma electrónica –datos que ya obraban en poder de terceros–».