La Audiencia Provincial de Pontevedra condena a una entidad bancaria a abonar 4.000 euros a una clienta, que le fueron sustraídos de su cuenta bancaria, a través de la tarjeta de débito, mediante la técnica del phishing. Los magistrados consideran responsable al Banco por no ser diligente en el control de este tipo de operaciones bancarias.

La demanda fue desestimada en primera instancia por apreciarse una actuación negligente únicamente imputable a la cliente demandante. Sin embargo, la Audiencia Provincial de Pontevedra revoca la sentencia del Juzgado y declara la responsabilidad de la entidad bancaria condenándola a reintegrar la cantidad, que incumplió sus deberes de diligencia a la hora de proceder a la autenticación de las operaciones de pago.

Según el fallo, las cantidades que le fueron detraídas de su cuenta bancaria respondieron a órdenes de pago realizadas por un tercero que usó de manera fraudulenta los datos de su tarjeta de débito.

Phishing

Para hacerse con las credenciales de la demandante, el tercero defraudador utilizó la técnica del «phishing», la cual consiste en el envío de un correo electrónico con la apariencia de ser remitido por una entidad con la que el receptor puede tener alguna relación de servicios. Dicho correo tiene un enlace a una página que aparenta ser del sitio oficial de la entidad bancaria emisora de la tarjeta pero que, en realidad, pertenece a un dominio bajo el control del phisher.

Negligencia del cliente

El Tribunal reconoce que la lectura atenta del correo electrónico hubiera permitido a la cliente percatarse tanto de su contenido impreciso, al no identificar el pedido al que se refería, como de las dos faltas de ortografía. Datos relevantes para adoptar su decisión de aceptar o no el pago electrónico que se le solicitaba, por lo que la falta de lectura reflexiva habría de considerarse una falta de diligencia por parte de la cliente.

Engaño

Sin embargo, los magistrados consideran que deben tenerse en cuenta las circunstancias en las que tal decisión se adoptó, ya que existió un engaño premeditado de un tercero para ganarse su confianza, lo que impide que pueda apreciarse una negligencia grave en la omisión de la lectura atenta del correo electrónico.

En el phising se usan técnicas de ingeniería social para ganarse la confianza del usuario del instrumento de pago y aprovecharse así de una interpretación errónea en la toma de decisiones. En este caso se habría concretado en la simulación del envío a nombre de una entidad de confianza para la usuaria (Correos y Telégrafos), y en el aprovechamiento de la falta de confirmación.

Según la resolución, la cliente explicó que estaba esperando un pedido de mascarillas y creyó que a él se refería la entrega del paquete que se le anunciaba en el correo electrónico. En este sentido, los mensajes que la entidad bancaria envió a la clienta comunicándole el código que había de utilizar para instalar su tarjeta en la aplicación de pago, y el que le envío después de su activación no proporcionaban información sobre el número del terminal telefónico en el que se había solicitado y después activado la citada aplicación de pago.

Negligencia del Banco

Tal omisión, afirma la sentencia, supone un incumplimiento de los deberes de diligencia en la prevención del fraude mediante «phishing«. Los magistrados entienden que la entidad debía conocer que el teléfono desde el que se le había solicitado la activación no se encontraba entre los que había registrado a su nombre la clienta en su ficha de cliente.

Por todo ello, la Audiencia Provincial condena a la entidad bancaria ya que no actuó con la diligencia exigible en la autenticación de las operaciones de pago, pues ni habría probado haber implementado un mecanismo antiphising de protección de los usuarios, ni habría puesto en conocimiento del usuario los datos necesarios para que este conociera que se trataba de instalar su tarjeta en una aplicación de pago del terminal telefónico de un tercero.

FUENTE: NOTICIASJURIDICAS.COM