2.362 euros recuperados por Phishing en BBVA

S E N T E N C I A N.º 000164/2023

Magistrado QUE LA DICTA: D./D.ª XXXXXXXXX
Lugar: Bilbao
Fecha: 12 de junio del 2023

PARTE DEMANDANTE: XXXXXXXXX
Abogado/a: D./D.ª IVAN METOLA RODRIGUEZ
Procurador/a: D./D.ª XXXXXXXXX

PARTE DEMANDADA BANCO BILBAO VIZCAYA ARGENTARIA SA BBVA
Abogado/a: D./D.ª
Procurador/a: D./D.ª XXXXXXXXX

OBJETO DEL JUICIO: Obligaciones: otras cuestiones

ANTECEDENTES DE HECHO

ÚNICO. El demandante reclama 2.362,05 euros, importe total de las disposiciones de su cuenta corriente que se realizaron por un tercero no autorizado a través de la banca on line, empleando para ello las claves que obtuvo mediante engaño, pues se le envió un SMS haciéndose pasar por BBVA desde el mismo número que la entidad empleaba habitualmente como medio de comunicación, por lo que no sospechó que estaba siendo víctima de fraude. La parte demandada se opone a la reclamación alegando que estas disposiciones se debieron a la negligencia grave de la actora, quien de manera indebida suministró las claves que le eran enviadas por SMS para autorizar el acceso a sus canales en BBVA y firma biométrica. Las partes ha interesado la celebración de vista que ha tenido lugar el día 29 de mayo, tras lo que han quedado los autos conclusos para sentencia.

FUNDAMENTOS DE DERECHO

PRIMERO. Hechos probados.

1. La actora ha sido víctima de una estafa bajo la modalidad de smishing, de tal forma que se suplanta la identidad de BBVA enviando un SMS a su teléfono móvil en el que se alertaba de “movimientos no autorizados en su cuenta” y se ofrecía un enlace para solucionarlo. Al pinchar el enlace, la demandante accede a una plataforma idéntica a la que habitualmente emplea y comienza a activar sus accesos con huella y firma biométrica, como hacía en general para sus actuaciones on line.

De esta forma los defraudadores toman esas claves y pueden acceder a la plataforma de cliente de la demandante y realizar las operaciones.

2. La obtención de las claves de huella biométrica para acceder a su usuario y de firma biométrica se realizan por el sistema habitual de SMS y se envía un correo electrónico de alerta de seguridad en el que se informa al cliente que se están solicitando sus claves y en caso de no haber sido quien lo ha pedido avise a la entidad. Sin embargo, por el método de estafa empleado, el cliente es quien de hecho está activando esas claves y lo hace en la creencia de que es necesario acceder a su APP de BBVA con ellas, precisamente porque existe un movimiento no autorizado, como se le ha indicado en el SMS. Por lo tanto, son sistemas que permiten al cliente sospechar si no ha sido quien ha introducido las claves y lo hace un tercero, pero no cuando es él mismo quien lo realiza.

3. Los SMS que la demandante recibió solo indicaban los códigos a introducir para verificar que estaba intentando activar la huella biométrica para acceder y la firma biométrica, pero como reconoce el perito de la demandada, no determinan para qué concreta operación se está solicitando. Por ello el cliente puede entender que son simples códigos para acceder a su usuario de APP y no para realizar una operación en concreto. Una vez que se introduce la firma digital ya no se pide más autenticación por lo que se puede realizar cualquier operación de traspaso o compra sobre la que ya no se pide clave de confirmación.

El correo electrónico indica que se debe sospechar de SMS que indican enlaces no habituales o que no indiquen la palabra BBVA.es y deben empezar por https. En este caso el enlace no empezaba por https, pero si contenía la palabra BBVA.

Además, se entiende probado por las manifestaciones de la actora en su interrogatorio que en ese momento no lo leyó porque no tiene activado en su teléfono móvil las notificaciones de correo electrónico.

4. Se realizó una única operación de compra en el extranjero el 19 de noviembre en libras esterlinas y en una compañía de Lituania dedicada a la compraventa de criptomonedas. Se trató de una operación por completo inusual en la operativa de la cuenta de la actora según el listado de movimientos que aporta, tanto por el importe como por el lugar en el que se hace. La demandante dio aviso a la entidad al día siguiente hábil y ésta en un primer momento reintegró la cantidad en la cuenta si bien posteriormente realizó de nuevo el cargo al constatar que se había autorizado con arreglo a sus protocolos.

5. Si bien consta probado por acta notarial que en el mes de marzo de 2022 con carácter previo al acceso a la App BBVA se incluía una alerta de seguridad frente a este tipo de prácticas, no consta probado que a 19 de noviembre de 2021 se hubiera empezado por la entidad la campaña de información.

SEGUNDO. Sobre la negligencia grave de la demandante

El artículo 45 del RDLey 19/2018, sobre la responsabilidad del proveedor de servicios de pago en caso de operaciones de pago no autorizadas, establece en su punto 1º, que «el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada»

De los hechos probados resulta que la operacion discutida no ha sido realizada por la demandante sino por terceros mediante fraude, cuestión que no resulta realmente controvertida. El debate reside en calificar la actuación de la perjudicada como de negligencia grave y con ello eximir a BBVA de la responsabilidad cuasi objetiva que impone la norma.

Sobre este punto existen en la jurisprudencia una variada casuística y la respuesta no es unívoca, sino que depende de cada caso. Resaltando supuestos de operativa similar, cabe citar la SAP Zaragoza sección 2 del 22 de diciembre de 2022 ( ROJ: SAP Z 2262/2022 – ECLI:ES:APZ:2022:2262 ) Sentencia: 407/2022 Recurso: 426/2022 aprecia negligencia grave “por la conexión a través de un link enviado por SMS cuya sola lectura ya hacía sospechar una procedencia fraudulenta, así como la entrada en página web reportada como dañina con la entrega a la misma de todas las credenciales posibles, superando incluso el doble factor de autenticación con introducción de la clave de firma (dos posiciones) y la OTP que se envía por SMS al titular, concluyendo que solo la conducta de la usuaria al actuar de manera negligente conllevó a la defraudación obtenida por terceros”. La SAP A Coruña sección 3 del 25 de enero de 2023 ( ROJ: SAP C 196/2023 – ECLI:ES:APC:2023:196 ) Sentencia: 17/2023 Recurso: 757/2022 que invoca la demandada aprecia tres momentos de negligencia, cuando se pincha en el enlace, que califica de mas o menos comprensible, la de facilitar su usuario y contraseña que entiende grave y la que califica de temeraria como es introducir el código para confirmar la operación a pesar de que se le notifica que se está pidiendo autorización para una transferencia de 9.132 euros y en lugar de leer el SMS con un mínimo detenimiento para así percatarse del engaño, procede a trasladar el código de verificación a su interlocutor.

Frente a ello la SAP La Rioja sección 1 del 17 de febrero de 2023 ( ROJ: SAP LO 50/2023 – ECLI:ES:APLO:2023:50 )Sentencia: 49/2023 Recurso: 11/2023 a pesar de la entrega de credenciales por parte del cliente, ofrece varios argumentos para entender que no cabe la exencion de responsabilidad. Primero indica que es el banco quien debe asumir los riesgos de las suplantaciones a través del teléfono móvil por ser quien se beneficia de la operativa a través de la App. Además entiende que los avisos del banco no son suficientes argumentando que “ es el banco quien ofrece este producto, es en principio seguro, y es cierto que remite avisos y advertencias genéricas sobre su utilización; pero conociendo los distintos riesgos de los que avisa, le corresponde adoptar las medidas de seguridad o control necesarias, que en este caso no consta que se adoptaran. Y no basta con medidas genéricas de protección o avisos estereotipados de cuidado, pues tales avisos ostentarían la calificación de «formulas predispuestas», vacías de contenido. No son los clientes los que deben prevenir ni averiguar las modalidades de riesgos que el sistema conlleva, o estar al tanto de los mismos, ni prevenir con su asesoramiento experto dichos riesgos” Señala que hay otros aspectos reveladores de otras deficiencias en el servicio prestado pues la diligencia que debe prestar el banco no es sólo la reglamentariamente prevista sino “la adecuada a las circunstancias de personas, lugar y tiempo. Entre estas, cobran especial relevancia datos tales como, el perfil del cliente, los movimientos inusuales, los importes dispuestos, la hora en que se hace la operación, etc.”

Esta juzgadora considera que en este caso la demandante ha cometido una negligencia al pinchar en el enlace pero no se considera grave teniendo en cuenta que el SMS procedía de una ubicación habitual de comunicación con su entidad. La introducción de claves de autenticación para acceso a su cuenta puede entenderse como normal una vez se ha creado la apariencia de encontrarse en la interfaz de su usuario de BBVA, al objeto de poder entrar en ella que es precisamente la alerta falsa que se le había indicado por SMS, era verosímil que procediera de la entidad y que fuera necesario autenticarse para entrar y ver si había existido un movimiento fraudulento.

La actora, a diferencia del supuesto de hecho enjuiciado por la AP de A Coruña, no dio autorización para una operación en concreto que de haber leído con detenimiento hubiera comprendido que se estaba haciendo una transacción. Creyó legítimamente que solo estaba tratando de entrar en su propia cuenta de usuario. Es cierto que introdujo su clave de firma y no solo de acceso. Este hecho, si bien pudo haberle generado una alarma y evitado la estafa, no se entiende como temerario o de negligencia inexcusable, no obstante resulta discutible y permite apreciar dudasnde hecho sobre la calificación del acto como constitutivo de negligencia grave.

TERCERO. Costas

Apreciandose dudas sobre la calificacion juridica como grave de la negligencia de la demandante, y existiendo jurisprudencia que califica hechos similares de distinta forma, no se estiman méritos para imponer en este caso las costas del proceso.

FALLO

Estimo íntegramente la demanda presentada por XXXXXXXXX contra BBVA y condeno a la demandada a reintegrar a la actora la cantidad de 2362,05 euros indebidamente detraída de su cuenta por fraude de tercero, más intereses legales desde la demanda, sin expresa imposición de costas.

Contra esta resolución no cabe recurso alguno.

Así por esta sentencia, lo pronuncio, mando y firmo