El director general de la Policía, Francisco Pardo, lo dijo recientemente. "Hoy es más probable ser víctima de un fraude de tipo digital que de un atraco en la calle y los pederastas ya no van a los parques sino que aparecen con identidades falsas en las redes". El auge de la ciberdelicuencia ha hecho que este tipo de delitos supongan ya en España el 15% de la criminalidad. Los nuevos delitos están proliferando de tal forma que un juez de Sevilla acaba de dictar una novedosa sentencia en la que ha reconocido el "daño moral" causado a un cliente que fue víctima de un caso de "phishing", una modalidad de estafa en el uso de su tarjeta de crédito, y ha condenado a la entidad bancaria no sólo a devolverle los 5.099,40 euros (más intereses) que le arrebataron de su cuenta mediante seis pagos fraudulentos, sino que además ha tenido que abonarle otros 2.280,60 euros en concepto de "daño moral", por la situación de "zozobra" que padeció y que le llevó a estar 42 días de baja laboral, después de que su cuenta se quedara en números rojos y no pudiera hacer frente a sus gastos ordinarios, incluido el pago de la hipoteca.

El abogado Alfonso Pérez Portero, del bufete Araco y que ha representado a la víctima, destaca precisamente de esta sentencia -que ya es firme- la condena al banco a indemnizar a la clienta por los daños morales causado al "no haber atendido, desde un primer momento, sus reclamaciones". El fallo, explica el letrado, valora el "impacto emocional y el sufrimiento psíquico de la clienta, quien, sin poder hacer nada por evitarlo, vio cómo desaparecía su dinero de la cuenta bancaria, quedando incluso en situación de descubierto" y a pesar de ello, el banco "incumplió sus obligaciones como proveedor de la tarjeta de débito, de acuerdo con lo dispuesto en el Real Decreto Ley 19/2018 de servicios de pago". 

Esta sentencia, señala el letrado, representa una "seria advertencia a las entidades bancarias que se niegan sistemáticamente a retrotraer los cargos realizados mediante compras fraudulentas por parte de ciberdelincuentes a los que rara vez se llega a localizar" y el fallo está en la líneas de las últimas disposiciones europeas, como la directiva 2019/713/UE que, "consciente del daño que causa a la víctima este tipo de delitos, declara incluso que los Estados miembros deben prestarles apoyo psicológico especializado".

Alfonso Pérez comenta que con frecuencia se encuentran en su despacho situaciones paradójicas puesto que a pesar de que resulta evidente que se ha cometido un delito, "el banco atribuye la responsabilidad a su propio cliente, en una especie de doble victimización, como si fuera culpa suya haber sido estafado, lo que genera un daño moral o psíquico que debe ser reparado, como dice esta sentencia".

Los hechos que han motivado la condena que recoge esta sentencia ocurrieron el 17 de enero de 2020 cuando la víctima, una vecina de Sevilla, constató que se habían efectuado tres pagos en su cuenta que no había realizado en comercios de Barcelona y Badalona, por lo que solicitó al banco que se rechazaran dichos cargos y pidió que se "bloqueara la tarjeta", cosa que no se hizo y tres días después se efectuaron otros tres nuevos pagos que tampoco había autorizado, superándose incluso el límite diario de compra de la tarjeta de débito que estaba fijado en 1.200 euros.

A causa de estos cargos, la cuenta quedó al descubierto y se le cargaron cuotas de préstamos con recargo. El banco, por su parte, admitió en el juicio que se efectuaron los cargos y admitió que la clienta fue víctima de una caso de "phishing", pero consideraba que no se le podía imputar ninguna infracción a la entidad bancaria.

La clienta negó responsabilidad en el fraude y sostuvo que alguien tuvo que clonar la tarjeta SIM de su teléfono, pero el banco replicó que las compras habían sido "presenciales" y que se realizaron mediante un teléfono móvil en el cual se había "enrolado su tarjeta y que para ello fue necesario introducir una clave enviada mediante SMS" a su teléfono y conociendo además su número pin, negando que existiera fallo alguno en los sistemas informáticos de la entidad.

El teléfono móvil habría sido hackeado

El informe elaborado por la Guardia Civil corroboró que se trató de un caso de phishing, en el que la persona que realiza el fraude "recibe todos los datos del afectado para poder registrar la tarjeta en Samsung Pay, habiendo tenido los autores de los hechos acceso a todos los datos de su tarjeta bancaria para darla de alta" en ese sistema de pago digital y poder realizar las compras introduciendo la numeración de la tarjeta y confirmando el alta mediante la introducción de un código de un solo uso que la entidad "habría enviado al teléfono móvil dado de alta, el cual los autores habían debido hackear".

La sentencia del juzgado de Primera Instancia número 18 de Sevilla, a la que ha tenido acceso este periódico, recuerda que el artículo 42 del Real Decreto Ley 19/2018, de servicios de pago, establece que "el proveedor de servicios de pago emisor se cerciorará de que las credenciales de seguridad personalizadas del instrumento de pago sólo sean accesibles para el usuario facultado para utilizar dicho instrumento", y el artículo 44 añade que cuando un usuario niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, "corresponderá al proveedor demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra diferencia del servicio prestado por el proveedor de servicios de pago". 

Responsabilidad "cuasi objetiva" del banco

El magistrado Fernando García Campuzano argumenta en el fallo que este caso es un supuesto de "responsabilidad cuasi objetiva que obliga a la entidad titular del servicio de pago a adoptar medidas de seguridad necesarias contra el fraude informático, de tal modo que la entidad debe responder del reintegro de los importes obtenidos de forma fraudulenta salvo que acredite la negligencia grave por parte del usuario, sin que se haya practicado prueba alguna" de ello, pues la clienta incluso se puso en contacto "a la mayor brevedad" con su entidad bancaria e interesó el bloqueo de la tarjeta el mismo día en que se produjo el fraude.

El juez recuerda que esta responsabilidad cuasi objetiva ha sido avalada por varias sentencias de audiencias provinciales de Madrid, Zaragoza o Pontevedra en casos de phishing y que establecen la devolución inmediata del importe de la operación no autorizada, salvo que la misma sea fruto de la "actuación fraudulenta del cliente o del incumplimiento, deliberado o por negligencia grave, de una o varias de sus obligaciones".

En este caso, prosigue el magistrado, se ha acreditado que se sobrepasó el límite diario de disposición establecido en el contrato, que la clienta no autorizó las operaciones y que solicitó el bloqueo de la tarjeta el mismo día en que se produjo la estafa, y recuerda que corresponde a la entidad "la carga de la prueba", es decir, que lo ocurrido se debiera a una actuación de grave negligencia de la usuaria, por lo que condena al banco a la devolución del dinero más los intereses legales.

Además, reconoce que se ha producido un "daño moral" a la clienta que estuvo de baja laboral por un trastorno depresivo mayor durante 42 días, por cuanto el informe sanitario recogía precisamente que había sido víctima de un fraude en su tarjeta de crédito que "había consumido sus ahorros ocasionándole además una deuda con la entidad bancaria, la cual le exigía el pago, a pesar de no ser ella la responsable, encontrándose en una situación de ansiedad generalizada propiciada por la situación adversa que estaba viviendo".

La documental médica acredita la "situación de zozobra que padeció la demandante, que pasó de tener dinero en su cuenta corriente a quedar al descubierto y tener que abonar intereses de préstamos cuando con anterioridad disponía de capital para hacer frente a las cuotas de los mismo, padeciendo un síndrome ansioso-depresivo que consideramos ocasionó un daño moral que debe ser indemnizado", asevera la sentencia.