Condemnat un banc a tornar a un client 19.000 euros sostrets per un atac de phishing

L’Audiència Provincial de Saragossa ha confirmat la condemna a Ibercaja que li obliga a tornar 19.000 euros a un client víctima d’un atac de phishing. La sentència, dictada el 4 de març de 2025 pel ponent Antonio Angós Ullate, ratifica el fallo del jutjat de primera instància i estableix un important precedent en la protecció dels usuaris davant fraus bancaris electrònics.

Els fets es remunten al 13 de gener de 2021, quan el demandant va accedir a la banca electrònica d’Ibercaja des del seu ordinador personal introduint les seues credencials habituals. Després d’accedir al web, va aparèixer una finestra addicional sol·licitant codis de verificació que li van ser remesos al seu telèfon mòbil. En completar aquest pas, el client va descobrir que segons abans s’havia realitzat una transferència no autoritzada de 19.000€ a un compte bancari a Itàlia, el titular de la qual era una persona estrangera.

La sentència determina que la responsabilitat recau sobre l’entitat bancària en no haver implementat prou mesures de seguretat per prevenir aquest tipus de fraus. El tribunal considera que l’usuari va actuar de forma raonable en seguir les pautes que li mostrava l’aparent plataforma d’Ibercaja Directo, sense incórrer en negligència greu.

Què és el phishing bancari i com funciona?

El phishing, terme que deriva de la contracció de "password harvesting fishing" (collita i pesca de contrasenyes), és una tècnica fraudulenta que busca obtenir les dades confidencials dels usuaris bancaris. Els ciberdelinqüents suplanten la identitat digital de les entitats financeres per enganyar els clients i aconseguir les seues credencials, permetent-los realitzar transferències no autoritzades.

En el cas jutjat, encara que no es detalla completament el modus operandi utilitzat, s’esmenta que el frau va ser més enllà d’un simple SMS fraudulent, permetent als estafadors accedir al compte bancari i realitzar la transferència. La sofisticació d’aquests atacs fa que fins i tot usuaris previnguts puguin caure en la trampa, en trobar-se amb interfícies pràcticament idèntiques a les llegítimes.

Marc legal que protegeix els usuaris de serveis bancaris

La sentència es fonamenta en el Reial Decret-llei 19/2018, de 23 de novembre, sobre Serveis de Pagament, que trasllada diverses directives europees (UE 2015/2366, 2015/2392). Aquesta normativa estableix una responsabilitat gairebé-objectiva o per risc per a les entitats financeres, assignant-los la càrrega de la seguretat en les transaccions electròniques.

Segons aquest marc legal, correspon al proveïdor del servei, no al client, assumir el risc de frau en operacions electròniques. A més, en casos de suplantació fraudulenta d’identitat digital, recau sobre el banc la càrrega de provar que l’operació va ser correctament autenticada i que no va existir fallo tècnic, o bé demostrar que l’usuari va actuar amb frau o negligència greu.

La sentència subratlla que Ibercaja no va aconseguir demostrar cap deficiència tècnica que pogués exonerar-lo de responsabilitat, ni va poder provar negligència greu per part del client, que simplement va seguir els procediments que aparentment li sol·licitava la plataforma.

Precedents judicials en casos de frau bancari electrònic

Aquesta resolució se suma a una creixent jurisprudència a Espanya que afavoreix la protecció dels consumidors davant fraus electrònics. Els tribunals espanyols han anat consolidant una doctrina que obliga les entitats financeres a reforçar els seus sistemes de seguretat i a respondre econòmicament quan aquests fallen.

En els últims anys, diverses Audiències Provincials han dictat sentències similars que reconeixen la posició de vulnerabilitat dels usuaris davant tècniques de ciberdelinqüència cada vegada més sofisticades. El Tribunal Suprem també ha avalat aquesta interpretació en diverses ocasions, establint que el deute de seguretat correspon primordialment a les entitats financeres.

Quines mesures han d’implementar els bancs segons la normativa?

El Reial Decret-llei 19/2018 obliga els proveïdors de serveis de pagament a implementar mesures de seguretat efectives als canals de comunicació per prevenir manipulacions. Això inclou sistemes d’autenticació reforçada, monitoratge constant de transaccions sospitoses i mecanismes d’alerta primerenca.

La normativa exigeix a les entitats financeres aplicar una autenticació de dos factors per a operacions de risc, combinant elements que només l’usuari coneix (contrasenyes), posseeix (dispositius mòbils) o característiques inherents (dades biomètriques). Tanmateix, com demostra aquest cas, els ciberdelinqüents han desenvolupat tècniques per superar fins i tot aquests sistemes de doble verificació.

Recomanacions per a usuaris de banca electrònica

Encara que la responsabilitat principal recaigui sobre les entitats bancàries, els usuaris poden prendre mesures addicionals per protegir-se. Els experts en ciberseguretat recomanen verificar sempre l’autenticitat de les pàgines web bancàries, desconfiar de comunicacions no sol·licitades, mantenir actualitzats els dispositius i utilitzar connexions segures.

Davant de qualsevol sospita de frau, és fonamental contactar immediatament amb l’entitat bancària i denunciar els fets. Com demostra aquest cas, l’actuació ràpida i la documentació detallada de l’ocorregut poden ser determinants per recuperar els diners sostrets.