1.950 € recuperados por Phishing en BBVA
Importe conseguido 1950€
Reclamación contra BBVA
Fecha 10/10/2024
Juzgado Juzgado de Primera Instancia nº10 de Bilbao
Compartimos un nuevo caso de éxito conseguido por Indemniza.me en Bilbao. En este procedimiento judicial ejercimos la defensa de un consumidor que se vio afectado por un caso de phishing en su cuenta bancaria gestionada por el BBVA.
Los hechos que motivaron este enjuiciamiento se produjeron el 10 de noviembre de 2022 sobre las 13 horas. En ese día y en ese momento, nuestro cliente recibió una comunicación vía SMS aparentemente remitida por su entidad bancaria, BBVA. En ese mensaje se le informaba de que se habían detectado movimientos sospechosos en su tarjeta de crédito y se le instaba a acceder desde un enlace con carácter urgente a su banca online para solucionarlo.
Este SMS, pese a recibirse como el último de la misma cadena de mensajes que habitualmente le enviaba el BBVA, se trataba de una trampa para extraer sus datos de acceso. Días después, el 20 de noviembre de 2022, nuestro cliente consultó el extracto de cargos de su tarjeta y se percató de que habían detraído de su cuenta 1.995 euros en una compra en un establecimiento llamado BINANCE en Lituania.
En los días siguientes, esta persona se puso en contacto con BBVA tratando de encontrar una solución y obtuvo por parte de la entidad una respuesta negativa al entender que su usuario obró de manera imprudente al facilitar sus datos personales y bancarios a un tercero desconocido.
Al conocer la postura del banco, se puso en contacto con nosotros para que le ayudásemos a recuperar el dinero perdido.
Conseguimos 1.950 euros más los intereses legales devengados
Después de mantener una reunión con esta persona y lograr toda la documentación necesaria para acreditar la pérdida patrimonial sufrida, presentamos una reclamación de cantidad a BBVA al entender que nuestro cliente había sido víctima de un caso de phishing.
Nuestra dilatada experiencia en procesos de este tipo, así como la jurisprudencia vigente nos hacía estar convencidos de que la resolución sería favorable para nuestros intereses.
El 10 de octubre de 2024 la jueza del Juzgado de Primera Instancia nº10 de Bilbao condenó a «Banco Bilbao Vizcaya Argentaria S. A. (BBVA)» a abonar a nuestro cliente 1.950 euros, más las costas, más los intereses legales oportunos.
Con este desenlace, conseguimos que nuestro cliente recuperase el dinero que le habían extraído fraudulentamente de su cuenta bancaria.
S E N T E N C I A N.º 000372/2024
Magistrado QUE LA DICTA: D./D.ª XXXXXXXXXXXX
Lugar: Bilbao
Fecha: 10 de octubre del 2024
PARTE DEMANDANTE: XXXXXXXXXXXX
Abogado/a: D./D.ª IVAN METOLA RODRIGUEZ
Procurador/a: D./D.ª
PARTE DEMANDADA BANCO BILBAO VIZCAYA ARGENTARIA SA
Abogado/a: D./D.ª XXXXXXXXXXXX
Procurador/a: D./D.ª XXXXXXXXXXXX
OBJETO DEL JUICIO: Obligaciones
ANTECEDENTES DE HECHO
Primero.- El 3 de febrero de 2023 D. XXXXXXXXXXXX presentó demanda de juicio verbal contra BBVA, S.A. Alegaba, en síntesis, que el actor es cliente de la demandada, contando con un contrato de cuenta, una tarjeta VISA y un contrato multicanal. Alegaba, en síntesis, que el 10 de noviembre de 2.022 sobre las 13h el actor recibió una comunicación mediante SMS, aparentemente remitida por BBVA, en la que se le informaba de que se habían detectado movimientos sospechosos realizados con su tarjeta de crédito y se le instaba a acceder con carácter urgente a un enlace web para solucionarlo. El SMS fue recibido como el último de la misma cadena de mensajes provenientes de BBVA, por lo que todo parecía indicar que el remitente era, efectivamente, el banco. Dicho enlace le redirigió a una plataforma web de idénticas características a la de su entidad, en la cual se le requería para que a su vez pulsase en un apartado, con el fin de que el banco se pusiera en contacto telefónico con él. Así lo hizo; inmediatamente recibió, efectivamente, una llamada desde el número fijo XXXXXXXXXXXX, número que la propia demandada promocionaba como teléfono de atención 24 horas de BBVA. En el transcurso de esa llamada, alguien que se identificó como gestor del banco, le solicitó el número de tarjeta para bloquearla, puesto que se habían detectado movimientos sospechosos en su cuenta. No disponiendo de la misma en ese momento, no la facilitó, y solicitó que se le llamara un rato más tarde. No volvió a recibir llamada alguna de esta persona ni a tener noticias sobre este particular. El día 20 de noviembre, al consultar el extracto de cargos de su tarjeta, comprobó que se habían detraído de su cuenta 1.995 euros en una compra en un establecimiento llamado BINANCE situado en Lituania
Aducía los Fundamentos de Derecho que estimaba de aplicación, y terminaba solicitando que se dictase sentencia por la que se condene a la demandada a pagar al actor 1995 euros, más los intereses legales de dicha cantidad desde la fecha de su cargo en cuenta, y todo ello con condena a la demandada al pago de las costas causadas con expresión de temeridad.
Segundo.- La demanda se admitió a trámite por Decreto de 15 de marzo de 2022, en el que se acordó emplazar a la demandada. El 5 de abril de 2023 el Procurador D. XXXXXXXXXXXX presentó, en nombre y representación de BBVA. S.A escrito de contestación a la demanda.
Alegaba, en resumen, que las operaciones objeto de este procedimiento se realizaron a consecuencia de la actuación negligente del Sr. XXXXXXXXXXXX, que facilitó sus datos personales y bancarios a un tercero, incumpliendo el deber de custodia de éstos. Las operaciones en cuestión fueron realizadas a través de comercio electrónico seguro, siendo necesario introducir los datos de la tarjeta de crédito mediante la que se realizó la compra (los 16 dígitos, fecha de caducidad y CVV), y la autenticación mediante segundo factor de seguridad, realizada en este caso a través de firma biométrica (como método de firma de operaciones). Asimismo, para activar el acceso y la firma biométrica fue necesario acceder a la banca online de BBVA con el usuario y clave del Sr. XXXXXX y, además, desvelar el código OTP remitido al teléfono móvil del demandante. Además, debemos advertir que BBVA ha realizado diversas campañas de concienciación de todos sus clientes para evitar que sean víctimas de ciberataques
Aducía los Fundamentos de Derecho que estimaba de aplicación, y terminaba solicitando que se dictase sentencia por la que se desestime la demanda con expresa condena en costas.
Tercero.- El juicio se celebró el 3 de octubre de 2024. Se propusieron y admitieron los siguientes medios de prueba: por la actora, documental; por la demandada, documental, interrogatorio y pericial. Tras su práctica, quedaron los autos conclusos para dictar sentencia
FUNDAMENTOS DE DERECHO
Primero.- La actora ejercita una acción de responsabilidad contractual contra la demandada. Entiende que el 10 de noviembre de 2021 se produjo una operación no autorizado en su cuenta corriente.
Recordemos los preceptos más relevantes en relación al supuesto que nos ocupa:
Artículo 41. Obligaciones del usuario de servicios de pago en relación con los instrumentos de pago y las credenciales de seguridad personalizadas.
“El usuario de servicios de pago habilitado para utilizar un
instrumento de pago:
a) utilizará el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago que deberán ser objetivas, no discriminatorias y proporcionadas y, en particular, en cuanto reciba un instrumento de pago, tomará todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas;
b) en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, lo notificará al proveedor de servicios de pago o a la entidad que este designe, sin demora indebida en cuanto tenga conocimiento de ello.”
Artículo 44. Prueba de la autenticación y ejecución de las operaciones de pago.
“1. Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago.
[…]
3. Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave.”
Artículo 45. Responsabilidad del proveedor de servicios de pago en caso de operaciones de pago no autorizadas.
“1. Sin perjuicio del artículo 43 de este real decreto-ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada.”
Artículo 46. Responsabilidad del ordenante en caso de operaciones de pago no autorizadas.
“1. No obstante lo dispuesto en el artículo 45, el ordenante podrá quedar obligado a soportar, hasta un máximo de 50 euros, las pérdidas derivadas de operaciones de pago no autorizadas resultantes de la utilización de un instrumento de pago extraviado, sustraído o apropiado indebidamente por un tercero, salvo que:
a) al ordenante no le resultara posible detectar la pérdida, la sustracción o la apropiación indebida de un instrumento de pago antes de un pago, salvo cuando el propio ordenante haya actuado fraudulentamente, o
b) la pérdida se debiera a la acción o inacción de empleados o de cualquier agente, sucursal o entidad de un proveedor de servicios de pago al que se hayan externalizado actividades.
El ordenante soportará todas las pérdidas derivadas de operaciones de pago no autorizadas si el ordenante ha incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41.
En esos casos, no será de aplicación el importe máximo contemplado en el párrafo primero.
En todo caso, el ordenante quedará exento de toda responsabilidad en caso de sustracción, extravío o apropiación indebida de un instrumento de pago cuando las operaciones se hayan efectuado de forma no presencial utilizando únicamente los datos de pago impresos en el propio instrumento, siempre que no se haya producido fraude o negligencia grave por su parte en el cumplimiento de sus obligaciones de custodia del instrumento de pago y las credenciales de seguridad y haya notificado dicha circunstancia sin demora.
2. Si el proveedor de servicios de pago del ordenante no exige autenticación reforzada de cliente, el ordenante solo soportará las posibles consecuencias económicas en caso de haber actuado de forma fraudulenta. En el supuesto de que el beneficiario o el proveedor de servicios de pago del beneficiario no acepten la autenticación reforzada del cliente, deberán reembolsar el importe del perjuicio financiero causado al proveedor de servicios de pago del ordenante.”
Segundo.- Alega la demandada que no puede atender la reclamación del actor en la medida que la operación cuestionada fue correctamente ejecutada por la entidad. Considera que la operación se realizó a consecuencia de la actuación negligente del Sr. XXXXXX, que facilitó sus datos personales y bancarios a un tercero, incumpliendo el deber de custodia de éstos. Aduce que para realizar la operación fue necesario introducir los datos de la tarjeta de crédito mediante la que se realizó la compra (los 16 dígitos, fecha de caducidad y CVV), y la autenticación mediante segundo factor de seguridad, realizada en este caso a través de firma biométrica (como método de firma de operaciones). Asimismo, para activar el acceso y la firma biométrica fue necesario acceder a la banca online de BBVA con el usuario y clave del Sr. XXXXXXX y, además, desvelar el código OTP remitido al teléfono móvil del demandante.
No obstante, no se estima acreditada por la parte demandada la negligencia grave que imputa al actor. El demandante reconoció en su declaración que recibió un SMS (en la cadena de mensajes de BBVA de su teléfono) que le avistaba de movimientos sospechosos en su tarjeta y le proporcionaba un link. Pinchó y accedió a la aplicación de BBVA (donde introdujo su clave o su huella); pinchó en un enlace para que le llamaran por teléfono, y a continuación recibió una llamada de un número de BBVA; le solicitaron los datos de su tarjeta pero no llegó a facilitarlos.
Esto es, lo único que queda probado es que pinchó en un enlace que le redirigía a la app de BBVA, donde entró con sus claves. No queda probado que introdujese los datos de su tarjeta de crédito, ni que desvelase un código OTP remitido a su teléfono móvil.
BBVA ha aportado un informe de trazabilidad elaborado por el equipo eDiscovery (Global Forensics); no obstante, el autor del informe que declaró en la vista reconoció ser empleado de BBVA. Por lo que dicho informe carece de la debida imparcialidad y de rigor probatorio, y no puede ser valorado sino como un simple documento interno de parte. Como señala la SAP Bizkaia, sección 4, de 4 de marzo de 2024, en relación también con in informe de Global Forensics: “Las alegaciones de empleados del propio banco, adopten forma de testimonio, pericial o de certificación, no son eficaces para ese fin, en tanto se trata de manifestaciones de personas al servicio de la propia parte demandada. Como dijo la SAP Cádiz, Secc. 2ª, 473/2023, de 23 noviembre, rec. 542/2023, ECLI:ES:APCA:2023:1986, una certificación de la propia entidad no es más que un documento privado creado por una de las partes litigantes, que carece de la eficacia probatoria de un dictamen pericial.”
A mayor abundamiento, y aún dando por buenas las conclusiones de dicho informe de trazabilidad, el mismo tampoco acredita una negligencia grave por parte del demandante. Puesto que según se indica en sus conclusiones, el acceso a la banca a distancia y la consulta de los datos de seguridad de la tarjeta se produjeron a través de una IP asociada al proveedor Lycamobile. Y en la fecha de los hechos, el número de teléfono del demandante (el 0605713136) tenía contrato con MAS MOVIL, tal y como consta en la factura aportada por la parte actora en la vista.
Tampoco cabe entender que el actor incurrió en negligencia grave porque BBVA realizase diversas campañas de concienciación de todos sus clientes para evitar que sean víctimas de ciberataques. Es más, el acta notarial aportada para acreditar este extremo se refiere a la situación existente en abril de 2022, meses después de suceder los hechos de la demanda.
Como señala la SAP Málaga, sección 4, de 30 de noviembre de 2021:«la aplicación del concepto de negligencia grave a la estafa por el sistema de «phishing» eximiría de responsabilidad siempre a la emisora de la tarjeta, puesto que, siendo necesaria para su comisión la colaboración de la víctima, si ésta no proporciona las claves, la estafa no se produce; y si las entrega bajo engaño, siembre acabará siendo por su culpa. Por lo tanto, la «negligencia grave» a la que se refiere la norma debe reservarse para donde la conducta de la víctima roza lo inexcusable, como falta o retraso en la comunicación de la estafa, o casos de imitaciones burdas y groseras, o requerimientos ilógicos o absurdos para obtener las claves de la víctima conforme a su formación y conocimientos».
Y la SAP Bizkaia antes citada, de 4 de marzo de 2024, entiende que no es negligencia grave “contestar una llamada telefónica, clickar un enlace o atender un mensaje instantáneo”
En base a lo anterior, y puesto que la demandada no ha cumplido con la carga de la prueba que le impone el mencionado artículo 44, la demanda debe ser íntegramente estimada.
Tercero.- En materia de intereses, la demandada estará obligada a restituir el interés legal desde la fecha del cargo indebido (art 45 y 62 de la Ley de Servicios de Pago)
Cuarto.- En cuanto a las costas, y de conformidad con el criterio objetivo del vencimiento, se imponen a la parte demandada (artículo 394.1 LEC)
FALLO
Que, estimando la demanda presentada por D. XXXXXXXXXXXX contra BBVA, S.A, acuerdo:
PRIMERO.- Condenar a la demandada a abonar 1950 euros actor. Dicha cantidad devengará el interés legal desde el 10 de noviembre de 2021; y desde la fecha de esta sentencia el interés legal más dos puntos .
SEGUNDO.- Condenar a la demandada al pago de las costas causadas en esta instancia.
Contra esta resolución no cabe recurso alguno.
Así por esta sentencia, lo pronuncio, mando y firmo.