La Audiencia Provincial de Oviedo ha condenado a Unicaja a pagar 6.000 euros a un usuario que fue víctima de una estafa de suplantación de identidad conocida como SMS spoofing. La sentencia sienta un precedente sobre la responsabilidad de los bancos en los casos de fraudes cibernéticos.
El afectado recibió un SMS aparentemente legítimo que decía: “AVISO: un acceso no autorizado está conectado a su cuenta online. Si no reconoce este acceso verifique inmediatamente: https:/is.gd/Clientes_Unicaja”. Siguiendo las indicaciones del mensaje, el usuario pinchó en el enlace y poco después recibió otro mensaje que indicaba: “Unicaja Banco: Introduce la clave de seguridad NUM000 para finalizar con la vinculación de dispositivo de Banca Digital”. Acto seguido, a la víctima se le notificó que se había realizado una transferencia de 6.000 euros desde su cuenta, una operación que ella no había autorizado. Un tercero, que había obtenido sus datos bancarios, había utilizado la información para realizar la transferencia fraudulenta.
Unicaja aceptó ante el tribunal que el primer paso dado por el cliente, al proporcionar sus claves de usuario y contraseña, no podría ser considerado como negligencia grave. No obstante, argumentaron que el error crítico se produjo cuando el usuario permitió la vinculación de un nuevo dispositivo, acción que permitió al estafador llevar a cabo la transferencia. Este punto, según el banco, constituía una conducta que facilitó la operación fraudulenta.
El magistrado, en su resolución, destacó que el informe policial describía el fraude como una modalidad avanzada de SMS spoofing. Este mecanismo permite al estafador manipular el ID de los SMS para que parezca que el mensaje proviene del banco, lo que dificulta su reconocimiento como fraudulento por parte de la víctima. Esta sofisticada técnica de engaño ha ganado notoriedad en los últimos años debido a su efectividad.
Necesidad de una “autenticación reforzada”
El fallo recalca que la responsabilidad del proveedor de servicios financieros se incrementa considerablemente cuando no se implementa una “autenticación reforzada del cliente”. En estos casos, se indica que el cliente solo respondería si hubiera actuado de manera fraudulenta. Dado que no se demostró una conducta “gravemente negligente” por parte del usuario, el tribunal señaló un fallo en los sistemas de seguridad del propio banco como el principal factor que permitió la ejecución del fraude.
A lo largo de la dimensión legal del caso, se discutió ampliamente sobre el nivel de seguridad que las entidades bancarias deben ofrecer para proteger a sus clientes de fraudes cibernéticos. En definitiva, el magistrado concluyó que la conducta del usuario no podía considerarse temeraria ni imprudente. La sentencia subraya que no se puede esperar del cliente una precaución mayor que la que debía implementar el banco para prevenir este tipo de ataques.
En el contexto de la creciente digitalización de los servicios financieros, esta sentencia destaca la importancia de la seguridad y la responsabilidad de las entidades bancarias. El veredicto de la Audiencia Provincial de Oviedo establece un precedente relevante para otros casos de fraudes similares y podría llevar a las entidades a revisar sus protocolos de seguridad y a implementar medidas más estrictas para evitar que sus clientes sean víctimas de estos fraudes.