El juez no ve negligencia del titular de una cuenta vaciada por ciberdelincuentes a través de «phishing» mediante el timo del falso operador de Microsoft
07 ene 2025 . Actualizado a las 05:00 h.La Justicia ha confirmado en una sentencia del 17 de octubre del 2024 una indemnización de 5.079 euros para un cliente de banca que fue víctima de una estafa de phishing cuya cuenta fue saqueada por unos piratas informáticos que hicieron compras con su tarjeta desde Dublín, en Irlanda, y Tallín, en Estonia. El banco culpó al perjudicado por actuar con una negligencia grave al haber enviado información confidencial a unos estafadores pero la Audiencia le replica que no está probado, que el cliente sufrió un daño por un acceso no consentido por él y que la entidad no habilitó las medidas de seguridad suficientes.
Todo empezó en agosto del 2022, cuando el cliente estaba en la web del banco, la página falló varias veces y saltó una ventana de Microsoft que le pedía pinchar en un enlace para solucionar el problema. Entonces se le puso la pantalla en azul y recibió una llamada al móvil de un supuesto técnico de Microsoft, que le cobró 15 euros y la abonó mediante una tarjeta que era de otro banco distinto. Entonces, el afectado vio que la flecha del ratón se movía sola y, al sospechar, apagó el ordenador y su móvil y desconectó su rúter.
Desde su banco le recomendaron bloquear las tarjetas y cuentas para que no entrasen cargos. En su oficina le comunicaron que habían detectado 26 movimientos, todos ellos por mil euros, menos tres, realizados desde Tallín y Dublín. Le pidió a la subdirectora de la sucursal que no los cargase en su cuenta porque no habían sido autorizados por él pero la directiva le contestó que no podía hacer nada. Finalmente, los ciberdelincuentes le efectuaron siete cargos y un abono por valor de 5.079 euros.
En el 2023, un juez de Vigo dio la razón al cliente porque este no había sido negligente al custodiar datos sensibles de su cuenta bancaria, tarjeta y claves, en contra de lo que decía el banco. El magistrado del Juzgado de Primera Instancia número 4 de Vigo añadió que la entidad no había demostrado que hubiesen funcionado los sistemas antifraude, que era inusual que el cliente operase desde Tallín y Dublín y tampoco probó que el perjudicado hubiese proporcionado los datos y que, en lugar de ello, los piratas informáticos se hubiesen metido en su ordenador, pese a tener un antivirus, y se apropiaron de sus claves.
El banco apeló a la sexta sección de la Audiencia de Pontevedra, con sede en Vigo, y argumentó que no quedó acreditado el fraude ni el jaqueo a la entidad, que funcionaron con «total normalidad». La responsabilidad sería de Microsoft o de un tercero, alguien ajeno. Añadió que los registros demuestran que las operaciones se realizaron desde la misma dirección de internet (IP) y que las claves fueron enviadas a su teléfono móvil.
El cliente replicó que una resolución del Banco de España no aclaró si las claves proporcionadas para los cargos en su cuenta fueran auténticas, sino que no es posible discernir si las proporcionó un titular o un tercero. Da igual que las operaciones las hubiesen hecho desde su IP si es que el ordenador estaba siendo manejado en remoto, sustrajeron sus fotografías personales y su DNI. Tampoco está probado que le hubieran enviado un SMS para la creación de tarjetas virtuales y, aún así, tampoco sería suficiente.
Finalmente, la Audiencia asume las tesis del juez de Vigo y da la razón al cliente.