La cliente, como observó que el mensaje aparentemente procedía del banco, pues había llegado a su hilo de mensajes recibidos del banco y, siendo que dicho mensaje contenía un enlace “HTTPS” (es decir, aparentemente seguro), a una página web en cuyo dominio aparecía el nombre del banco (BBVA), confió en este mensaje y accedió a la página web fraudulenta, donde introdujo sus credenciales bancarias. El SMS contenía el siguiente mensaje: “Su cuenta ha sido suspendida. Por seguridad es obligatorio instalar BBVA Protect para prevenir mensajes fraudulentos”, incorporando al final del mensaje un enlace a una URL que aparentemente parecía ser del banco.
Pocos minutos después de introducir sus credenciales bancarias en la página web fraudulenta y, sin que la cliente recibiera ningún SMS alguno procedente del BBVA con la clave de autentificación de doble factor,, se produjeron trece cargos bancarios en la tarjeta de crédito de la cliente, no autorizados por ella, por importe de 2795 euros.
La cliente reclamó al banco y éste se negó a asumir su responsabilidad, alegando negligencia por parte de la cliente, desestimando la reclamación. La cliente también interpuso una reclamación ante el Banco de España. Así las cosas, la cliente demandó al BBVA por responsabilidad de la entidad, ya que el banco habría podido obtener la trazabilidad de las operaciones fraudulentas y habría podido verificar que las mismas no se produjeron desde los dispositivos habituales de la cliente, en este caso, su ordenador personal y su teléfono móvil, verificando que no había podido existir negligencia de la cliente, ya que las claves de seguridad habían sido conservadas diligentemente por ella y no había existido sustracción de la tarjeta ni de la numeración identificativa de tal documento, ya que nunca fue guardada junto a su instrumento de pago. La cliente también culpaba al banco por no haber autentificado adecuadamente la operación.
El banco, por su parte, se oponía a la demanda formulada contra la entidad señalando que la cliente no había cumplido ninguna de sus obligaciones y que la responsabilidad sería de ella por haber revelado los datos de acceso a su banca electrónica, el numero de la tarjeta y el CVV de la misma. El banco también afirmaba que las operaciones fueron autentificadas con los correspondientes mensajes OTP remitidos a su teléfono móvil y, que la entidad, ya había advertido a sus clientes de que tomaran medidas para evitar fraudes.
La sentencia señala que no ha quedado acreditado que la mujer cometiera fraude ni negligencia grave por su parte por la recepción del SMS en las circunstancias descritas, ya que, confiada en que el mensaje había llegado por el mismo canal con el que otras veces se había comunicado con el banco y que la web espejo empleada en la estafa era muy similar a la de la entidad, estaba convencida de que el mensaje provenía realmente del BBVA.
Por su parte, la entidad bancaria sí habría incumplido el contrato, en concreto, la obligación de atender la reclamación ante un cargo no autorizado por el particular, generando daños y perjuicios a su cliente.
El BBVA aportó un informe pericial de un perito informático, afirmando en el mismo que sí se enviaron los mensajes SMS para la autorización de las operaciones a la cliente. Sin embargo, el Juzgado de Primera Instancia número 2 de Alcoy, ha rechazado el valor probatorio de dicho informe y la declaración del perito como prueba, ya que el mismo es empleado del banco, lo que supone causa de tacha. Las causas de tacha están tasadas en el artículo 343 de la Ley de Enjuiciamiento Civil, siendo palmario que estar en situación de dependencia de una de las partes, es causa de tacha.
El juzgado también ha rechazado la alegación del banco de que se venía advirtiendo a los clientes que fueran precavidos con este tipo de estafas. “El hecho de que se hagan anuncios de ciberseguridad en artículos publicados, noticias, videos de YouTube o en redes sociales, o el enlace a consejos de seguridad, no significa que la información necesaria para evitar un fraude estuviera al alcance de la demandante. Cuestión distinta es si cada vez que accediera a la web o la app de banca online apareciese una ventana emergente avisando de que no facilite sus datos personales”, señala la sentencia.
Además, la dirección IP de conexión para la verificación de las operaciones pertenecía al proveedor de servicios Orange y, la demandante, nunca ha tenido contratada ninguna línea con esta compañía. La sentencia indica que de “ninguno de los medios de prueba resulta que la aplicación bancaria emitiera aviso, bloqueando la operación, cuando la conexión se había efectuado a través de una IP no habitual”.
Desde el despacho profesional de este perito informático, se viene trabajando en este tipo de procedimientos de estafa desde hace mucho tiempo, con notables éxitos, como la sentencia civil en la que la pericial informática realizada por este perito informático sirvió para demostrar el fraude bancario (phishing), a que fue sometido una cliente de una entidad bancaria, a la que le fueron sustraídos casi cien mil euros por una organización criminal. La entidad bancaria aportó el informe pericial de un perito informático, que este perito informático rebatió con total solvencia en Sala, mediante careo, tal y como refiere la propia sentencia. Este perito informático demostró que la entidad bancaria no cumplía con la normativa europea aplicable, específicamente, el requisito SCA de la normativa PSD2, dando Su Señoría la razón a la demandante y obligando a la entidad bancaria a devolverle el dinero sustraído por los criminales.