Audiencia Provincial Asturias, Sentencia 285/2023, 12 May. Recurso 787/2022 (LA LEY 180933/2023)
Diario LA LEY, Nº 10425, Sección Sentencias y Resoluciones, 15 de Enero de 2024, LA LEY2 minMERCANTIL
No puede considerarse que los errores gramaticales del mensaje dirigido a la clienta, o la omisión de signos de puntuación, debieron alertarle del carácter fraudulento del mensaje. Tampoco tiene por qué conocer que el servicio de biometría solo se activa si es expresamente solicitado e introdujo el código que el Banco le envió en un SMS por estar interesado en el sistema de seguridad reforzada. No baste para eludir su responsabilidad la realización de campañas por el Banco advirtiendo a sus clientes de los peligros del denominado «phishing».
La demandante, tras bajarse en su móvil la aplicación del Banco para poder acceder a información sobre su cuenta abierta en dicha entidad, recibió un mensaje SMS en el que consta identificado como remitente el propio Banco, en el que se le decía que no podía utilizar su tarjeta y tenía que activar el nuevo sistema de seguridad de la web. El mensaje le remitía a un link de internet, que daba entrada a una página web con el logo y colores del Banco, debiendo identificarse el usuario con su nombre de usuario, NIF y contraseña, datos que facilitó sin sospechar nada. Tras ello, su tarjeta de crédito fue usada de forma fraudulenta por terceras personas desde el extranjero en varias ocasiones.
Cuestionándose quién debe asumir las consecuencias de dicha actuación fraudulenta, la Audiencia Provincial de Asturias confirma la sentencia dictada por el Juzgado de Primera Instancia que declaró responsable a la entidad financiera demandada, condenándola al pago de la indemnización reclamada por su cliente por el perjuicio sufrido.
La Sala no aprecia comportamiento negligente alguno en la actuación de la demandante que exima de responsabilidad al Banco.
A estos efectos declara que la falta de coherencia del mensaje en la persona gramatical en que se dirige al cliente, o la omisión de signos de puntuación e incluso de algunas palabras, no pueden considerarse suficientes para alertar a la actora del carácter fraudulento del mensaje, máxime cuando es una circunstancia usual en este tipo de mensajes telemáticos.
Además, no cabe considerar que un usuario medio sea conocedor de que la página web con una dirección como la indicada en el mensaje donde se le piden las claves tenía dominio de Rusia.
Por lo que respecta a la activación del servicio de biometría por el ciberdelincuente y que la demandante autorizó, esta se limitó a introducir el código que el Banco le envió en un SMS por estar interesada en el sistema de seguridad reforzada. Lo único que pretendía era dar de alta la aplicación del Banco en su teléfono. No tenía por qué conocer que tal mecanismo de seguridad solo se activa si es expresamente solicitado, por lo que pudo pensar que la iniciativa obedecía a la entidad financiera al tratarse de un mecanismo que se está generalizando por los usuarios de este tipo de productos.
Por último, destaca el Tribunal de apelación que no basta para eludir su responsabilidad la realización de campañas por el Banco advirtiendo a sus clientes de los peligros del denominado «phishing», pues a la vista de lo acontecido resulta evidente que el sistema de pagos instaurado por la entidad demandada no era totalmente seguro por cuanto sus sistemas de seguridad no funcionaron en cuanto a las operaciones que son las que determinan la reclamación de la actora.
Por el contrario, será preciso reforzar esos mecanismos de seguridad pues su responsabilidad como proveedora del servicio le obliga a adoptar una serie de medidas de seguridad y dotarse de mecanismos de supervisión que permitan detectar operaciones fraudulentas en la prestación de los servicios de pago, incluyendo la técnica del phishing.