Tal y como publicamos en Diario16, Ibercaja fue demandada por no devolver el dinero sustraído de las cuentas de dos personas mayores de 75 años a través de transferencias no autorizadas por ninguno de los titulares. Además, fuentes cercanas a este caso consultadas por Diario16, señalaron que, tras varias conversaciones con algunos responsables de la sucursal donde se abrieron las cuentas corrientes, se ha tenido conocimiento de que pudiera haber numerosos casos afectados por la posible falta de medidas de seguridad en el servicio de banca a distancia u online (Ibercaja Directo).
El Juzgado de Primera Instancia nº 7 de Zaragoza dictó el pasado 29 de octubre una sentencia, a la que Diario16 ha tenido acceso, en la que se señala que Ibercaja incumplió sus obligaciones contractuales «en el contrato de banca a distancia y contrato de cuenta corriente y/o depósito». Por esta razón, el magistrado Francisco de Paula Puig Blanes, ha condenado a la entidad aragonesa a devolver las cantidades sustraídas en una estafa online a uno de los clientes que demandó al banco.
15 transferencias en pocas horas
Según indica la sentencia, en marzo de 2020 se realizaron 15 transferencias bancarias no autorizadas por los clientes de Ibercaja «accediendo los defraudadores a través de la plataforma de banca electrónica “Ibercaja Directo”», procediendo a sustraer más de 80.000 euros de la cuenta de dicha cuenta y por los que Ibercaja cobró más de 200 euros de comisiones.
«En la demanda se precisa que tanto los datos personales de los beneficiarios, como los importes de las transferencias, resultan del todo inusuales en la operativa regular de la cuenta corriente, evidenciando claros indicios de simulación o fraude. Estas circunstancias se señalan en la demanda que fueron pasadas por alto por parte de Ibercaja, lo que implica que a juicio del actor existió por parte de la misma un incumplimiento de su deber de examinar con especial atención toda operación o pauta de comportamiento compleja, inusual o sin un propósito económico o lícito aparente, tal y como viene obligada por Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales», afirma la sentencia.
La sentencia expone toda la cronología de información, aviso, reclamaciones y respuestas sobre movimientos sospechosos que se produjeron un mes antes de la intrusión.
El día en que se produjeron los mayores cargos, la esposa de uno de los clientes se puso en contacto con su marido para indicarle que «le estaban llamando desde Ibercaja para decirle que no podían contactar con él en su móvil y que tenían que hablar urgentemente de un tema muy importante. Así indica haberlo hecho, hablando con [empleada Ibercaja], la cual le preguntó si durante la noche había hecho transferencias por valor de 83.000 €, a lo que [el cliente] respondió que no. Ante ello señala accedió con las claves de siempre a la banca electrónica “Ibercaja Directo” y pudo verificar que se habían realizado sin su consentimiento quince transferencias, que fueron adeudadas en la cuenta corriente informando [la empleada] que “…ya habían lanzado el aviso para intentar retener las cantidades trasferidas, pero que no sabía cómo proceder ya que era la primera vez que le pasaba algo así”», afirma la sentencia.
El cliente, evidentemente, se dirigió a la comisaría de Policía a interponer denuncia porque había sido víctima de una estafa conocida como SIM Swapping, es decir, duplicado de su tarjeta SIM.
Ibercaja repuso poco más de 27.000 euros a los clientes, lo que, evidentemente, suponía mucho menos que lo que les habían sustraído. Según la entidad, el cliente realizó transferencias en el mes de autos introduciendo su usuario y su contraseña y que, respecto a las transferencias del día en que sufrieron la estafa, se trata de operaciones irrevocables. «Ello supone que una vez ejecutada (correctamente) la operación es preciso para su retrocesión la autorización del titular de la cuenta de destino, salvo mandato legal o judicial. En este caso, atendiendo a la solicitud del actor, y circunstancias del caso, Ibercaja indica haber procedido a la solicitud de devolución a las entidades de destino».
El magistrado, tras hacer una revisión de la jurisprudencia existente y de la legalidad vigente que afecta a los servicios bancarios, señala que el doble mecanismo de control realizado por los bancos para autentificar la identidad de los clientes «puede ser suplantado por defraudadores […] Para intentar combatir este tipo de fraudes, entidades bancarias y grandes compañías de internet han empezado a aplicar alternativas al envío de OTPs vía SMS mediante la opción de enviar dichos códigos a través de notificaciones en Apps propias instaladas en dispositivos móviles verificados. Ello permite que pese al duplicado de la tarjeta SIM, el mensaje con el código a donde llega es no al teléfono como un mensaje normal, sino a la App instalada en el dispositivo original vía Internet, en lugar de un SMS al dispositivo del defraudador».
Ninguna responsabilidad del cliente
El magistrado, respecto a la posible responsabilidad del cliente, afirma en la sentencia que «en este caso ningún elemento existe en autos del que quepa derivar la existencia de un incumplimiento deliberado por el actor de sus obligaciones o fraude (ni nada de ello se le atribuye por la demandada), lo que implica que el análisis se deba llevar a cabo desde la perspectiva de la negligencia grave que cabe considerar como una violación flagrante de un deber legal con respecto a los derechos de los demás. Supone por ello un descuido consciente y voluntario de la necesidad de usar un cuidado razonable. Es una negligencia muy grande, e implica la ausencia de una leve diligencia, o la falta de una atención mínima».
En el caso de Ibercaja, el cliente fue víctima de acciones llevadas a cabo por terceros, lo que puso inmediatamente en conocimiento de la entidad, tal y como se manifestó en el testimonio de una empleada de la sucursal, lo que es considerado en la sentencia como «una actuación que cabe considerar plenamente diligente al haber informado inmediatamente a Ibercaja del problema existente, no habiendo procedido Ibercaja a dar un nuevo número de usuario y clave de acceso, dado que la recepción del SMS denotaba que alguien ya había obtenido sus datos de acceso a la banca online de Ibercaja».
Por tanto, el magistrado califica que no hubo negligencia grave por parte de los clientes.
Responsabilidad de Ibercaja
Sin embargo, respecto a la responsabilidad de Ibercaja, la sentencia es contundente cuando afirma que «es la prestadora de los servicios de pago quien tiene la obligación de facilitar un sistema de banca telemática segura, no correspondiendo a los clientes-usuarios el prevenir ni averiguar las modalidades de riesgos que el sistema conlleva, ni prevenir con un asesoramiento experto los mismos».
Las operaciones realizadas merecen ser, según la sentencia, calificadas «como movimientos que se salen de lo ordinario […] deberían haber sido detectadas por los sistemas técnicos de Ibercaja de forma que se hiciere operativa la cláusula de garantía antes mencionada. Tal detección no se produjo, hasta el punto de que la advertencia de la problemática existente no la tuvo Ibercaja por iniciativa propia, sino por una llamada que recibieron de Banco Santander de la recepción de una transferencia en una cuenta de esta entidad sospechosa».
lo siento, pero no me cuadra, Ibercaja te da una tarjeta d coordenadas para el código, el usuario y contraseña solo es para entrar y ver, no se pueden hacer operaciones.
Pues informarte, de que desde enero del 2021, la tarjeta de coordenadas puede servirte para…exactamente….nada (en la nueva plataforma).
Consulta con tu banco antes de realizar tales comentarios.
Veo Toni que, tras tu comentario en una noticia similar del mismo diario, vuelves a incidir en tus famosas coordenadas…. Esta noticia no habla de futuribles, habla de una sentencia emitida, así que espero te documentes antes de seguir vertiendo opiniones de «barra de bar» sin fundamento alguno.
Como comenta María, las coordenadas para la nueva plataforma ya no hacen falta, e incluyo, además, la siguiente idea para que se le dé una vuelta acerca de las seguridad de esta entidad: Cómo una entidad bancaria tiene dos plataformas de gestión online trabajando a la vez, para las cuales hay requerimientos de seguridad diferentes?
Han salido ya numerosas sentencias en primera instancia dando la razón al cliente.
https://www.economistjurist.es/actualidad-juridica/jurisprudencia/las-primeras-estafas-via-bizum-llegan-a-los-tribunales/
El despacho Axio abogados ya ha ganado varios casos en primera instancia.