Obligan a bancos a devolver dinero por estafas aunque se haya dado las claves

Un juzgado de Lleida ha obligado a un banco a restituir 8.600 euros a un cliente que fue víctima de una ciberestafa mediante ‘phishing’. El juez, basándose en una sentencia del Supremo, considera que la entidad fue responsable —pese a que el cliente facilitó las claves a los estafadores— porque no detectó el uso fraudulento de su banca electrónica.

El juzgado de Primera Instancia 3 de Lleida ha dictado una sentencia en la que ordena a ING Bank que restituya los 8.600 euros a un cliente leridano que fue víctima de una ciberestafa phishing. Este fraude consiste en suplantar la identidad de entidades de confianza como bancos para engañar a las víctimas para que revelen información confidencial (contraseñas, datos bancarios, etc.) a través de llamadas falsas, SMS y correos electrónicos para controlar las cuentas y sustraer fondos. En la gran mayoría de sentencias sobre reclamaciones dictadas hasta la fecha, los juzgados fallaban a favor de los bancos y denegaban restituir las cantidades al considerar que la conducta del cliente había sido negligente. Sin embargo, la situación ha cambiado después de que en abril de 2025 el Tribunal Supremo fallara a favor de los clientes al obligar a los bancos a asumir la responsabilidad por operaciones no autorizadas, derivadas de suplantación de identidad, incluso si se utilizaron las credenciales del cliente cuando no logran prevenir operaciones sospechosas. La justicia subraya la importancia de la diligencia bancaria, la validez del consentimiento y la nulidad de cláusulas abusivas.

En este caso, el afectado, que sido representado por el abogado Jaume Oriol, del despacho Cudós Consultors, fue contactado el 31 de agosto de 2023 por teléfono “por un supuesto empleado de la entidad que, bajo la excusas de que tenía bloqueado su acceso al banco por ordenador, le envió unos mensajes de WhatsApp”, según la sentencia. Al día siguiente recibió unos mensajes de una supuesta trabajadora de la entidad, en los que “le facilitaba un enlace al que tenía que acceder y, seguidamente, recibió un código que la misma supuesta trabajadora le requirió”. El día 6 de septiembre, el demandante se encontró un cargo de 4.800 euros por un pago en la página Coinsdrom.com de criptomonedas. El hombre reclamó a la entidad explicando que él no había realizado esta operación y también presentó denuncia ante los Mossos. Posteriormente, en 5 de octubre le hicieron otro cargo a esta web de 3.800 euros.

En la demanda, el banco alegó que el demandante incurrió en una grave negligencia por haber accedido a un enlace ajeno a la web de ING, facilitó el PAN (Personal Account Number), la fecha de caducidad y el CVV y comunicó a los defraudadores varios códigos. En cambio, el afectado alegó que si accedió a un enlace, fue a causa del engaño. El juez analiza el caso y estima la demanda, en base a la jurisprudencia reciente, al determinar que “lo importante es que la entidad bancaria adopte una actitud proactiva en el uso de estas aplicaciones electrónicas, en concreto para que sus aplicaciones informáticas detecten el posible uso fraudulento de su banca electrónica”.

El juez ve “vulnerabilidad tecnológica” de la víctima

“No puede calificarse de negligencia grave el hecho de atender una llamada telefónica, siendo engañado a través de una suplantación de identidad”, explica el juez en la sentencia. Añade que “decían hablar en nombre de ING y llevaron al demandante al error de que accediera a unos enlaces e introdujera un código que le llevó a la pérdida patrimonial objeto de la demanda”. Asimismo, la resolución argumenta que “se trata de una persona mayor, superada por la tecnología y a la que le cuesta entender según qué procesos”, y ve “buena fe y vulnerabilidad tecnológica del demandante”. También argumenta en el fallo que hubo dos cargos en la cuenta y la tarjeta de crédito “por unos importes poco habituales (4.800 y 3.800 euros), hasta el punto de ser superiores al límite de la tarjeta (2.000 euros), consistentes en dos compras de criptomonedas, sin que la demandada haya demostrado que esta clase de compras y gasto con estos importes respondan a un patrón de conducta del demandante, lo que bien podría haber levantado las sospechas de la entidad y la activación de sistemas de seguridad pasiva”.Por su parte, el abogado Jaume Oriol afirma que “se abre la puerta a multitud de reclamaciones contra los bancos de víctimas de estafas de este tipo”.