Condenan al BBVA por entregar a los estafadores la tarjeta de una clienta vallisoletana

El Juzgado de Primera Instancia nº14 de Valladolid ha condenado a la entidad bancaria BBVA al abono de 8.000 euros más los intereses legales del dinero, con expresa imposición en costas, por su falta de diligencia para abortar un caso de phising o fraude informático, del que fue víctima una vallisoletana. 

La cadena de «fallos de seguridad» del banco es extensa, según el juez, pero le llama la atención que autorizara un cambio de domicilio sin verificación expresa con la interesada ; que remitiera la nueva tarjeta a los delincuentes a la nueva dirección postal, y que comunicara «por un medio no seguro como es un sms», un dato «tan importante y trascendente como es el PIN». Así, entiende que no se pusieron a disposición del usuario medidas de seguridad supletorias y complementarias. 

No exime el magistrado a la demandante de haber puesto de su parte en la consumación del fraude, pero recalca que su negligencia fue en todo caso leve, y no grave , en cuyo caso su reclamación no hubiera prosperado. «En el presente supuesto concurren una serie de hechos y actuaciones poco diligentes imputables al banco que rebajarían o atenuarían el grado de la negligencia en la pretendida actuación de la cliente, que por ello no podría calificarse como grave, única que, conforme a la normativa aplicable que ha sido citada, justificaría la exoneración del proveedor de servicios de pago de responder frente a su cliente», afirma el juez en la sentencia. 

Todo comenzó con un correo electrónico en el que los delincuentes hicieron creer a la víctima que era una comunicación oficial del BBVA . La cliente recibió en fecha 2 de septiembre de 2021 un e-mail en su dispositivo móvil que, haciéndose pasar por su entidad bancaria, le indicaba que se había producido el bloqueo de su cuenta y tarjeta asociada, debido a una ‘actualización de la página web’. Reportaba el correo electrónico que, a fin de proceder al desbloqueo de ambas, debía de introducir nuevamente ciertos datos de carácter personal, entre ellos su nombre, apellidos, DNI y teléfono. 

Pidieron nueva tarjeta

Un día después, personas no autorizadas y desconocidas para la titular, realizaron diversos actos de disposición y contratación de una nueva tarjeta de crédito, además de realizar un cambio de la dirección postal para el envío de la tarjeta, así como el límite de disposición de ésta. Para su autenticación, el BBVA envió tres sms con códigos de un solo uso al teléfono de la titular, al que los defraudadores tenían acceso. 

En relación con lo anterior, su oficina le envió un correo electrónico, donde  le informaba tan solo del nuevo contrato, sin hacer mención del cambio de domicilio. Convencida de que, debido al bloqueo de su cuenta, recibiría una nueva tarjeta llamó al banco, para conocer a través de qué vía  se la harían llegar, pero tan solo le comentaron que efectivamente se había producido una nueva solicitud de tarjeta, y que se enviaría pronto, sin informarle del cambio de dirección ni de la ampliación del límite de la misma. 

4 retiradas de 2.000 euros

A raíz de todo ello, entre los días 10 y 13 de septiembre de 2021, los defraudadores realizaron varias retiradas de efectivo, que sumaban 8.000 euros , la cantidad que debe devolver ahora el BBVA. 

Para llegar al fallo, ha resultado de aplicación el Texto Refundido de la Ley General de Consumidores y Usuarios. En concreto, el juez Gregorio Galindo ha considerado que no resultaba de aplicación el artículo 44 del texto, por el cual, debido a la negligencia grave del usuario, el proveedor no deberá responder del perjuicio causado por el fraude. 

En este caso el magistrado ha entendido que, debido a la apariencia de veracidad de la comunicación recibida por parte de la actora, introdujo sus datos personales de nombre DNI teléfono y que, la autenticación de doble factor proporcionada por el banco supone una actuación «poco diligente»  por su parte, ya que no se pusieron a disposición del usuario «medidas de seguridad supletorias y complementarias» para neutralizar el engaño. 

«Si estamos abocados a la banca ‘online’, deben de extremar la protección»

La vallisoletana que ha ganado el juicio al BBVA ha estado representada por la letrada Dulce Sanz Rojo, del despacho SDS Legal que es asesor jurídico de la Unión de Consumidores de Castilla y León (UCE). El presidente de esta entidad, Prudencio Prieto, señaló al conocer la sentencia, que las entidades financieras, que están abocando a sus clientes al uso de la banca online en detrimento de una atención presencial en las sucursales, deben de extremar mucho más los mecanismos de protección en las operaciones telemáticas, ya que los perdedores en estos casos son los clientes de los bancos.

Según  Prieto, «la sentencia deja claro que los bancos tienen una responsabilidad en la implantación de los modelos digitales y que tienen que extremar todo tipo de medidas para evitar que los clientes sean estafados por delincuentes».

«Para ello», prosigue la UCE, «los controles, tanto de la operativa, como de operaciones extrañas o inhabituales, tienen que llevarse con el máximo rigor y la mayor transparencia, para evitar que la pérdida de los servicios presenciales que estamos viviendo en los últimos años, se convierta en un nicho para los ciberdelincuentes, en los cuales, los principales perjudicados, de nuevo vuelven a ser los consumidores y usuarios de los bancos».

El razonamiento de Prieto se sustenta en que el juez, efectivamente, concluye que hubo «falta de diligencia» por parte del BBVA.

Considera el juez que existieron una serie de fallos de seguridad imputables a la entidad bancaria con «actuaciones y omisiones que manifiestan una falta de diligencia en la protección de los fondos de sus clientes» Además, entiende que las actuaciones realizadas, tanto por su forma de proceder, como por la urgencia de los trámites, resultaban «totalmente anómalas, sospechosas y sorprendentes» teniendo en cuenta «el modo normal de actuación que a lo largo de los años habría realizado la perjudicada, que solo había utilizado la aplicación móvil de su iPhone».

A pesar de ello, el banco, según el juez, no adoptó las medidas pertinentes que podrían haber resultado en la percepción del fraude y su consecuente solución, recoge la sentencia que puede ser recurrida en apelación ante la Audiencia Provincial.