El Tribunal de Instancia de Guadix número 2 ha condenado a una entidad bancaria a devolver el dinero estafado a un cliente a través de ‘Smishing’ o SMS fraudulentos por la falta de medidas adecuadas de ciberseguridad por parte del banco.
El demandante presentó una demanda contra la entidad por cargos no autorizados en tarjeta y cuenta corriente tras recibir el SMS que simulaba ser del banco, lo que permitió a ciberdelincuentes acceder a la cuenta y realizar múltiples operaciones fraudulentas. A pesar de que el cliente notificó sin demora la situación y acudió físicamente a la oficina bancaria, la entidad demoró la respuesta, permitiendo cargos por 2.122,99 € que no fueron devueltos.
El tribunal valoró las pruebas presentadas, incluyendo el testimonio del demandante y la documentación aportada por el banco. Se concluyó que las operaciones no fueron autorizadas por el demandante y que la entidad bancaria no proporcionó pruebas suficientes de que el usuario cometió fraude o negligencia grave. Las pruebas demostraron que se vincularon hasta 4 dispositivos distintos en poco tiempo y se realizaron 24 operaciones fraudulentas, incluyendo compras, transferencias y pagos en efectivo. El banco no explicó por qué pudo bloquear 2.500 € de dos operaciones, pero no devolvió los cargos de tarjeta de crédito por 2.122,99 €. En consecuencia, el usuario tiene derecho a la rectificación de los cargos realizados de manera indebida e ilegítima.
Además, se destaca la falta de medidas adecuadas de ciberseguridad por parte del banco, lo que permitió la realización de múltiples transacciones fraudulentas en un corto periodo de tiempo. Se valora que «no se ha aportado por la entidad bancaria sus políticas de gobernanza y control de ciberseguridad, su gestión de riesgos, sus medidas de supervisión continua, medidas de detección rápida de anomalías, las comunicaciones a los clientes en caso de incidente es de ciberseguridad, y sobre todo las políticas de la entidad bancaria que limiten el acceso físico o lógico a los activos de información y activos de TIC a lo que sea necesario únicamente para funciones y actividades legítimas y aprobadas, o las políticas y protocolos para mecanismos de autenticación fuerte, basados en estándares pertinentes y sistemas de control específicos, y medidas de protección de las claves criptográficas mediante las que se cifran los datos en función de los resultados de los procesos aprobados de clasificación de datos y evaluación de riesgos relacionados con las TIC».
La sentencia establece un precedente importante sobre la responsabilidad bancaria en casos de ciberataques cuando no se implementan medidas de seguridad adecuadas.
