L’Audiència considera que la seguretat de l’entitat financera va fallar, i per això li ordena que pagui als seus clients gairebé 6.000 euros, el diners que els ciberdelinqüents li van extreure del seu compte.

La Policia Nacional espanyola va donar a conèixer recentment els resultats de l’Operació Pando contra la ciberdelinqüència a Cadis. Sis detinguts a Cadis, dos d’ells a la presó, per cometre 150 ciberestafes per tot el territori nacional espanyol en 15 dies i defraudar més de 40.000 euros.

Els arrestats, d’entre 19 i 26 anys, formaven part d’una banda criminal que estafava les víctimes amb les seves pròpies dades bancàries per comprar després articles electrònics d’alta gamma en línia.

El seu modus operandi consistia a enviar missatges de text tipus SMS amb enllaços maliciosos per obtenir les dades bancàries dels damnificats. També es feien passar per operadors d’una entitat financera per sol·licitar els números de compte i les targetes i fer-los servir posteriorment per fer compres fraudulentes per Internet, mitjançant la usurpació de la identitat dels perjudicats. 

I és que el vishing (pesca per veu), el pishing (pesca informàtica) i l’smishing (pesca per SMS) són delictes tecnològics en ple auge que, tal com va afirmar el subdelegat del Govern espanyol a Cadis, Pedro Pacheco, són infraccions «del present, no del futur».

Així, a finals del novembre passat, l’Audiència de Cadis, en una resolució pionera, va ratificar la sentència imposada pel Jutjat de Primera Instància número 5 de Cadis que condemnava a un banc a indemnitzar amb gairebé 6.000 euros a una parella que va ser víctima d’un cas de pesca informàtica en considerar que hi va haver una fallada en el sistema de seguretat de l’entitat financera.

Segons consta a la resolució judicial, l’octubre de 2021, els demandants van rebre al seu telèfon mòbil un SMS per actualitzar la seva targeta bancària. El missatge advertia que no podien fer servir la que tenien sense activar el sistema de seguretat nou a través d’un enllaç web.

Van fer clic a l’enllaç que els va derivar a un altre en què s’indicava que per acabar el registre biomètric que permetia signar amb l’empremta/Face ID les compres per Internet, havien d’introduir un codi.

En aquell moment, continua la sentència, la parella, que no estava fent cap compra, es va sorprendre pel contingut del missatge, va tancar la connexió, perquè els va semblar estrany que els demanessin el codi biomètric perquè no el tenien activat, i també perquè no li van sol·licitar la clau-signatura.

Malgrat tancar la connexió, aquell dia es van fer dos càrrecs a compte de la parella a través de la banca en línia per un import de 2.900 i 3.000 euros, respectivament, sense el seu consentiment.

Com que no va poder posar-se en contacte amb l’entitat bancària, l’endemà la parella va interposar una denúncia davant la Policia i van comunicar per correu electrònic al servei d’Atenció al Client els càrrecs indeguts, si bé «van rebre una resposta negativa per part de l’entitat.»

I és que el banc va al·legar que l’operació fraudulenta per la qual van arrabassar a la parella gairebé 6.000 euros del seu compte corrent va ser «conseqüència de la ingerència d’un tercer que va cometre un delicte». De la mateixa manera, l’entitat va argumentar que els seus clients «van incomplir el deure de custòdia dels elements de seguretat» en «autenticar les operacions».

Una fallada de seguretat

Tanmateix, la magistrada titular del Jutjat de Primera Instància número 5 de Cadis, Ana María Chocarro López, considera que aquest cas de pesca informàtica es va arribar a materialitzar, «sens dubte, per una fallada de seguretat de l’entitat financera, que va desprotegir per complet el client.»

«No n’hi ha prou, sens dubte, amb el registre i la comptabilització de l’operació, ni tan sols amb l’autorització suposada per tal que l’entitat financera, proveïdora dels serveis de pagament per banca electrònica, enervi la seva responsabilitat», valora la magistrada, que afegeix que el banc pretén «carregar» contra els seus clients per una actuació «negligent».

«En aquest cas, continua el seu raonament la jutgessa, consta que els demandants no van finalitzar el procés, van sortir del web, van denunciar els fets, es van posar en contacte amb el banc i es van trobar que l’entitat no va procedir, com hauria d’haver fet, a abonar-li l’import de les transaccions il·lícites.» 

A manera de conclusió, la sentència exposa que «l’entitat financera queda obligada a indemnitzar els seus clients per les fallades del sistema de seguretat que els han generat una pèrdua econòmica, atès que és l’entitat financera la que ofereix el sistema i és garant del comerç segur, i en aquest cas no ha succeït, per la qual cosa els demandants tenen dret a ser rescabalats de la quantitat reclamada, que és l’equivalent a l’import dels càrrecs il·lícits patits, comissió inclosa, més els interessos legals des de la data del càrrec en compte.»

En aquesta causa, els demandants van ser representats per l’advocat Jaime Villalba Varela.