La afectada recibió un SMS en el que constaba como remitente el propio banco y en el que se le indicaba que, para utilizar la tarjeta, tenía que activar el nuevo sistema de seguridad en la web. Este mensaje le remitía a un link de internet en el que se le solicitaba identificar su usuario, NIF y contraseña. Tras esto, la mujer recibió varios cargos en la cuenta que ella no había autorizado.
“Los mecanismos de seguridad del banco no funcionaron para proteger al cliente. Es necesario reforzarlos a la hora de guardar sus datos, instalar sistemas de doble verificación de firma, combatir que sus canales de mensajes o teléfonos de contacto puedan ser utilizados, así como la duplicación de imágenes de su web”, afirma Diego Cueva Díaz, abogado de la afectada.
La sentencia señala que la falta de coherencia del mensaje cuando se dirige al cliente o la omisión de algunos signos de puntuación no pueden considerarse suficientes para alertar a una persona de que ese mensaje es de carácter fraudulento. Y tampoco puede considerarse que un usuario medio sea conocedor de que la página web a la que accedió era un dominio ruso.
“La existencia de fraude quedó evidenciada con la existencia de transferencias a localidades remotas y personas desconocidas”, comenta Cueva.
Para probarlo, explica el letrado, “solicitamos la aplicación al caso del Real Decreto Ley 19/2.018 de instrumentos de pago por un tercero, que precisa que el cliente soportará las perdidas solo en el caso de que actuara de forma fraudulenta. También este RD determina que el proveedor de servicios de pago actúe de forma diligente en la autenticación de la operación. Y si el error es inducido por un ciberdelincuente, no puede entenderse que exista culpa grave del usuario”.
El tribunal subraya que no bastó la realización de las campañas anti-phishing advirtiendo a sus clientes de los peligros cibernéticos para eludir en este caso la responsabilidad de la entidad bancaria.
No hay comentarios.