Un banc haurà de reemborsar un client que va perdre 83.000 euros per culpa del phishing

El Tribunal Suprem ha dictaminat que Ibercaja ha de reintegrar els diners perduts per un client que va ser víctima d'una estafa de phishing o suplantació d'identitat, mitjançant la qual els delinqüents van prendre el control de la seva banca digital.

En una sentència que s'ha donat a conèixer aquest dimecres, la Sala Civil ha donat la raó al client, que va perdre més de 83.000 euros amb quinze transferències fetes la mateixa nit.

L'Alt Tribunal ha resolt que els bancs són els responsables de "rectificar i reintegrar immediatament" els imports sostrets en operacions no autoritzades pels clients, si no poden demostrar que el client hagi comès una negligència greu.

En aquest cas concret, es tracta d'una estafa denominada SIM swapping, que consisteix a duplicar la targeta SIM per accedir a la informació confidencial i accedir a la banca digital. Segons el text, el fet que tercers accedeixin a la banca digital de l'usuari "no suposa que per si s'hagi incorregut en cap negligència".

A més, precisa que les operacions no autoritzades inclouen, també, aquelles que s'han iniciat amb les claus d'usuari i contrasenya necessàries i confirmades mitjançant SMS, sempre que el client negui haver-les fet. 

Haurien d'haver saltat les alarmes del banc

La sentència subratlla que el robatori o sostracció de les claus de la banca electrònica no suposen una negligència de l'usuari i es qüestiona que "un fet tan inusual" com quinze transferències de més de 80.000 euros en una nit "no fes saltar les alarmes en aquell mateix moment". 

Segons el Suprem, els avenços tecnològics actuals fan "relativament senzill" per les entitats financeres "dissenyar sistemes o aplicacions informàtiques idònies per detectar certes anomalies en la prestació dels serveis de pagaments". 

"No es pot considerar com a normal i irrellevant que una persona que no fa mai operacions de matinada, de sobte, passi a der disset operacions seguides i per un import tan elevat", sentencia. 

El relat afegeix que el proveïdor del servei no ha acreditat quina negligència va poder cometre el demandant "que permetés que uns delinqüents li dupliquessin la targeta SIM".

L'Alt Tribunal ha assegurat que si l'usuari comunica immediatament que li han robat les dades i denuncia una operació no autoritzada, "el proveïdor ha de procedir a la seva rectificació i reintegrar l'import immediatament, llevat que tingui motius raonables per sospitar de l'existència de frau i comuniqui aquests motius per escrit".

D'altra banda, apunten que el simple fet de registrar-se per fer un pagament "no és suficient, necessàriament, per demostrar que l'operació de pagament va ser autoritzada" per l'usuari. 

El Tribunal observa una "conducta diligent del titular del compte, que va informar immediatament i reiteradament" de l'estafa, i, d'altra banda, "davant d'un servei que el proveïdor presta defectuosament, tant per no prendre en consideració la informació rebuda malgrat la seva gravetat, com per ometre l'adopció de mesures que possibiliten la detecció d'eventuals maniobres fraudulentes".

En aquest punt, el Suprem continua i apunta que el fet que l'operació fos registrada pel banc "no és suficient per eximir-lo de responsabilitat".