El Tribunal Supremo acaba de resolver quién responde si te vacían la cuenta con phishing: y no, no eres tú

¿Te imaginas despertarte y descubrir que te han robado más de 80.000 euros de tu cuenta en plena madrugada? Pues eso mismo le ocurrió a un cliente que, tras semanas alertando al banco de movimientos sospechosos, vio cómo su dinero desaparecía en cuestión de horas. Ahora, el Tribunal Supremo ha sentenciado: si no diste tu consentimiento y el banco no actuó con la diligencia debida, la entidad es la responsable y debe devolverte el dinero.

Y eso es precisamente lo que ha ocurrido. El Alto Tribunal ha condenado a una entidad financiera a reembolsar más de 56.000 euros sustraídos en un brutal ataque de phishing y duplicado de tarjeta SIM, dejando claro que no basta con que las operaciones estén autenticadas con doble factor si la supervisión del banco falló.

¿Cómo ocurrió el fraude?

En la noche del 17 al 18 de marzo de 2021, un ciberdelincuente realizó quince transferencias desde la cuenta bancaria de la víctima: diez a través de Bizum y cinco mediante banca electrónica, por un total de 83.692 euros. Todas las operaciones fueron ejecutadas en horas intempestivas y con importes inusuales para el perfil del cliente, sin que el sistema del banco emitiera ni una sola alerta. Lo más grave: tres semanas antes, el cliente ya había avisado de mensajes SMS sospechosos con códigos de verificación que él no había solicitado y cargos no autorizados en su tarjeta.

A pesar de las advertencias, la entidad no bloqueó el acceso ni reforzó la seguridad del cliente. Según el Supremo, este comportamiento vulnera claramente el principio KYC (del inglés, ‘Know Your Client”, “conoce a tu cliente”), que obliga a los bancos a conocer los hábitos de sus usuarios y actuar cuando se detectan comportamientos fuera de lo habitual.

La banca no puede escudarse en el doble factor ni en la letra pequeña

La entidad alegó que todas las transferencias fueron correctamente autenticadas con doble factor (clave de acceso y código SMS) y que, por tanto, no podía ser considerada responsable. El Tribunal Supremo ha desmontado ese argumento, recordando que una operación no es válida si el cliente no dio su consentimiento, aunque técnicamente se haya realizado con sus credenciales.

“La sentencia deja claro que no basta con que la operación haya sido registrada con exactitud y autenticada”, afirma Diego Zapatero, socio de Asoban Abogados, quien ha analizado el fallo para este periódico. “Si el cliente niega haber autorizado la operación y ha avisado al banco previamente de riesgos o accesos sospechosos, el banco tiene que demostrar que no hubo fallo en su sistema ni negligencia por su parte”, añade el abogado especialista en fraudes online.

El Supremo también ha anulado una cláusula contractual que pretendía eximir al banco de responsabilidad si un tercero accedía al sistema del cliente: “No puede entenderse válida en tanto vaya contra el régimen normativo imperativo”, señala la sentencia. Según Zapatero, “este tipo de cláusulas son papel mojado si contradicen la normativa europea de protección del usuario financiero”.

Un precedente que puede afectarte a ti

La importancia de esta sentencia va mucho más allá del caso concreto. Si alguna vez eres víctima de phishing, no estás indefenso. Como afirma Zapatero, “la clave es actuar con rapidez, notificar al banco cualquier movimiento anómalo y dejar constancia. A partir de ahí, es la entidad quien debe probar que no hubo negligencia en su actuación”.

El fallo sienta jurisprudencia: cuando el cliente avisa, no se detectan los patrones anómalos, y el dinero desaparece igualmente, el banco es responsable. “Este caso refuerza la inversión de la carga de la prueba y empodera a los consumidores frente a la banca digital”, remarca el abogado. “Ya no sirve con esconderse tras la tecnología: si no supervisan adecuadamente, tendrán que pagar”.

Así que si alguna vez recibes un SMS raro, notas movimientos extraños o te da la sensación de que alguien ha accedido a tu cuenta, actúa de inmediato. Porque ahora, más que nunca, la ley está de tu lado.