No cabe apreciar en la actuación del cliente un comportamiento negligente de gravedad y entidad suficiente para hacerle responsable del quebranto sufrido. Es preciso ser un experto en la materia para poder detectar que la comunicación recibida obedecía a una estafa o fraude
El demandante, que fue víctima de una estafa o fraude a través del método “Caller ID Spoofing”, ha ejercitado frente a la entidad bancaria demandada acción indemnizatoria por los daños y perjuicios sufridos como consecuencia del incumplimiento por dicha entidad de sus obligaciones de seguridad.
Estimada la demanda en primera instancia, la Audiencia Provincial de Cáceres (sentencia 555/2023, de 18 de diciembre) confirma la sentencia recurrida, que declaró la responsabilidad del banco por la transferencia fraudulenta y le condenó a devolver el importe transferido sin autorización, que ascendía a 4.950 euros.
El Tribunal de apelación afirma que no cabe apreciar en el comportamiento seguido por el demandante conducta alguna que pueda ser calificada como negligente, de gravedad y entidad suficiente para hacerle responsable del quebranto sufrido, pese a haber facilitado sus datos personales y/o claves de seguridad a un supuesto empleado de la entidad tras recibir un falso SMS del banco.
Como destaca la sentencia, aun cuando pudiera calificarse el comportamiento del actor como no diligente, para que sea él quien soporte las consecuencias del fraude o de la estafa sufrida es preciso apreciar negligencia, y además que dicha negligencia sea grave, lo que no es el caso, pues el método fraudulento empleado es de una complejidad y grado de perfección difícilmente detectable por un cliente de sus características.
Considera que es preciso ser un experto en la materia para poder detectar que la comunicación obedecía a una estafa o fraude. Recuerda que la llamada telefónica que recibió del supuesto empleado del banco (alertándole de un “movimiento sospechoso” en su cuenta por haberse realizado una transferencia de 4.999 euros negada por el cliente y que el interlocutor se ofreció a “anular”), no proviene de un teléfono oficial de comunicación del banco, sino de un tercero que, a través de una aplicación móvil o desde una web, logra ficcionar tal acción, cambiando el número del remitente a la hora de verlo reflejado en la pantalla del cliente que recibe la llamada, a lo que se suma el posterior SMS recibido, que imita tanto el diseño como la terminología utilizada por su entidad bancaria, por lo que generada la confianza en el usurario de que se trata de su entidad bancaria, no hay capacidad real para detectar el engaño o fraude.
Por último, explica la Sala que a lo expuesto no es obstáculo lo que afirma el banco sobre la inexistencia de brechas de seguridad, pues, aunque el sistema del banco pueda ser genéricamente seguro, no lo fue en este caso concreto. Subraya en este punto que al asumir el banco que el actor fue objeto de un fraude mediante la modalidad conocida como “Caller ID Spoofing”, evidencia que no había implementado todos las medidas o mecanismos necesarios para proteger a su cliente de ataques realizados por ciberdelincuentes, lo que comporta un incumplimiento de su obligación de garantizar la seguridad de los servicios de pago efectuados a través de internet o dispositivos móviles.
Fuente: Noticias Jurídicas