Unos ciberdelicuentes vacían la cuenta de una vecina de Cangas de Onís y la Audiencia responsabiliza ahora al banco

La Audiencia Provincial de Oviedo ha confirmado en su integridad la sentencia dictada por el Juzgado de Primera Instancia número 1 de Cangas de Onís, que declaró la nulidad de un préstamo de 27.500 euros y de un contrato de tarjeta prepago virtual, ambos suscritos fraudulentamente a nombre de una clienta de Unicaja Banco tras un ataque de "phishing" y "smishing". El tribunal ha considerado que la entidad no pudo demostrar la autorización legítima de las operaciones ni la diligencia debida en la protección de la cuenta.

El caso se remonta a abril de 2022, cuando la clienta, vecina de Cangas de Onís, denunció movimientos sospechosos en su cuenta tras recibir varias llamadas fraudulentas. A pesar de que la afectada no proporcionó datos bancarios, los ciberdelincuentes consiguieron acceder a sus claves y tras vincular un teléfono sin ningún tipo de cortapisa, pasaron a contratar un préstamo instantáneo de 27.500 euros, además de una tarjeta prepago virtual con la que se realizaron múltiples disposiciones de fondos. La contratación se hizo de forma instantánea, por internet y las claves se enviaron al teléfono previamente dado de alta por los ciberdelincuentes sin ningún tipo de cortapisa por la entidad financiera.

Íñigo Serrano, letrado de Sello Legal Abogados y de la víctima declara que la sentencia es "muy clara" al subrayar que las entidades financieras tienen "una responsabilidad reforzada en la protección de los fondos". El juez ha concluido que Unicaja Banco no adoptó las medidas de seguridad exigibles para evitar este fraude y, además," no logró demostrar que las operaciones se hubiesen autorizado legítimamente. Con este pronunciamiento, se da un paso más en la defensa de los usuarios de banca frente a estafas cibernéticas", señala Serrano.

Asimismo, el abogado destacó la importancia de que los clientes conozcan sus derechos y exijan a las entidades bancarias la aplicación de sistemas de seguridad más robustos y protocolos que garanticen la detección temprana de operaciones irregulares: "En un entorno digital cada vez más sofisticado, es esencial que los bancos cumplan de manera rigurosa con su obligación de custodiar los fondos. De lo contrario, como en este caso, cualquier vulneración de la seguridad debe ser asumida por la entidad, no por el cliente", indicó.

Concluye señalando que este caso es particular, por cuanto "los ciberdelincuentes no solo vaciaron la cuenta, sino que lograron contratar sin el consentimiento del cliente un préstamo y una tarjeta prepago que ahora la sentencia anula por 'causa torpe'".

"La justicia ha señalado la falta de un sistema de autenticación reforzada por parte de la entidad, la deficiencia en la detección de operaciones de alto riesgo y el incumplimiento del deber de diligencia al no bloquear ni alertar de estas transacciones sospechosas", añade.

En su resolución, la Audiencia destaca que "el avance tecnológico debe ser acompañado por la protección reforzada de quien se expone a actuaciones fraudulentas, no por un traslado del riesgo hacia el cliente". Bajo este criterio, el fallo obliga a la entidad bancaria a devolver la cuenta al estado previo al fraude y asumir las costas procesales, recalcando que las entidades financieras tienen una responsabilidad "prácticamente objetiva" como garantes de la seguridad de los fondos de sus clientes.

La sentencia sienta un precedente relevante en materia de ciberseguridad y protección del consumidor financiero, al reforzar la idea de que las entidades deben adoptar medidas técnicas y de control adecuadas para evitar la materialización de este tipo de estafas masivas.