Tirón de orejas judicial a los bancos por no adoptar medidas avanzadas contra los fraudes online

El fallo, dictado el 3 de febrero y que es firme, va más allá del fondo de la demanda y recuerda a la entidad bancaria, y por extensión a todas ellas, que «de manera incuestionable se beneficia de la extensión generalizada de este tipo de servicios de banca online evitando los costes asociados a la atención de sus clientes en la red comercial mediante oficinas y personal».

Y por ello incide en que el banco, como proveedor de dichos servicios, está «obligado a realizar una información a sus clientes permanente, fácil, directa y gratuita» sobre niveles de seguridad, restricción de correos no solicitados y filtrado de servicios de Internet no deseados. No solo eso. La magistrada concreta que «la realidad de prácticas delictivas como el 'phising' (envío de un correo electrónico a un usuario simulando ser una entidad legítima para obtener sus datos y realizarle algún cargo) hace exigible aumentar medidas de seguridad exigibles» y añade que «un banco no puede ofrecer un sistema online sin adoptar las medidas de seguridad necesarias».

La sentencia remarca que «no basta con medidas genéricas de protección o avisos estereotipados de cuidado» sino que «la seguridad de las operaciones bancarias precisa de soluciones tecnológicas avanzadas a los efectos de garantizar la autenticidad y confidencialidad de los datos». Los «avisos genéricos» de las entidades en sus web, prosigue, «ostentarían la calificación de fórmulas predispuestas» y no son, en definitiva, suficientes a juicio de la magistrada.

Caixabank, en el caso de la clienta vallisoletana, alegó que la demandante no había acreditado el fraude, que la entidad había cumplido con todas sus obligaciones y que si había ocurrido el fraude fue por un comportamiento gravemente negligente de la clienta. La sentencia tumba una por una sus alegaciones y, en cuanto a la última, quizás la más relevante, advierte a la entidad de que debe ser ella la que pruebe tal negligencia grave en el procedimiento y de que «no puede apreciar esa negligencia por el hecho de hacer constar en la web determinadas advertencias». El fallo, que es firme, recoge que «no puede valorarse como negligencia grave que un cliente reciba un correo y no lo identifique como sospechoso o que acepte determinada operación sin percatarse de que se trata de un hecho fraudulento».

La magistrada, por último, incide en que «las medidas que las entidades bancarias establecen para impedir el fraude no son suficientes para eludir la responsabilidad civil por estos hechos». Y por todo ello condena a Caixabank Payments al pago de los 300 euros a su clienta (por el cargo fraudulento por este importe realizado con su tarjeta en una compra online en un comercio belga el 19 de diciembre de 2021), con los debidos intereses legales, y al pago de las costas procesales.

«El criterio aplicado en la sentencia es extensible a todo tipo de fraudes cometidos por ciberdelincuentes al recoger la magistrada la necesidad de que sea la entidad bancaria la que demuestre que el cliente actuó con negligencia grave», apunta el abogado, Juan Pablo de Castro, del bufete De Castro Abogados, que ejerció como demandante en este caso, quien explica que en los últimos meses están recibiendo «un considerable aumento de casos de fraude mediante estas técnicas» y recuerda que, al margen de esta última sentencia, «las entidades bancarias nunca pedirán datos confidenciales» por vía telefónica o correo.