La Policía Nacional dio a conocer recientemente los resultados de la Operación Pando contra el cibercrimen en Cádiz. Seis detenidos en Cádiz, dos de ellos en prisión, por cometer 150 ciberestafas por todo el territorio nacional en 15 días y defraudar más de 40.000 euros.

Los arrestados, de entre 19 y 26 años de edad, formaban parte de una banda criminal que estafaba a sus víctimas con sus propios datos bancarios para comprar después artículos electrónicos de alta gama vía online.

Su modus operandi consistía en enviar mensajes de texto tipo sms con enlaces maliciosos para obtener los datos bancarios de los damnificados. También se hacían pasar por operadores de una entidad financiera para solicitar los números de cuenta y las tarjetas y utilizarlos posteriormente en hacer compras fraudulentas por internet, usurpando para ello la identidad de los perjudicados.

Y es que el vishing, el phishing y el smishing son delitos tecnológicos en pleno auge que, tal como afirmó el sudelegado del Gobierno en Cádiz, Pedro Pacheco, son infracciones “del presente, no del futuro”.

Así, a finales del pasado mes de noviembre, la Audiencia de Cádiz, en una resolución pionera, ratificó la sentencia impuesta por el Juzgado de Primera Instancia número 5 de Cádiz que condenaba a un banco a indemnizar con casi 6.000 euros a una pareja que fue víctima de un caso de phishing al considerar que hubo un fallo en el sistema de seguridad de la entidad financiera.

Según consta en la resolución judicial, en octubre de 2021 los demandantes recibieron en su teléfono móvil un sms para actualizar su tarjeta bancaria. El mensaje advertía que no podían utilizar la que tenían sin activar el nuevo sistema de seguridad a través de un enlace web.

Pincharon en ese enlace y les derivó a otro en el que se indicaba que para finalizar el registro biométrico que permitía firmar con huella/face ID las compras por internet, tenían que introducir un código.

En ese momento, prosigue la sentencia, la pareja, que no estaba realizando compra alguna y se sorprendió por el contenido mensaje, cerró la conexión, pues le pareció extraña la petición del código biométrico ya que no lo tenían activado, y también porque no le solicitaron la clave-firma.

A pesar de cerrar la conexión, ese día se hicieron dos cargos en la cuenta de la pareja a través de la banca on line por importe de 2.900 y 3.000 euros, respectivamente, sin su consentimiento.

Al no poder contactar telefónicamente con la entidad bancaria, la pareja interpuso al día siguiente una denuncia ante la Policía y comunicaron por mail al servicio de Atención al Cliente los cargos indebidos, si bien “recibieron una respuesta negativa por parte de la entidad”.

Y es que el banco alegó que la operación fraudulenta por la cual arrebataron a la pareja casi 6.000 euros de su cuenta corriente fue “consecuencia de la injerencia de un tercero que cometió un delito”. Del mismo modo, la entidad argumentó que sus clientes “incumplieron el deber de custodia de los elementos de seguridad” al “autentificar las operaciones”.

Un fallo de seguridad

Sin embargo, la magistrada titular del Juzgado de Primera Instancia número 5 de Cádiz, Ana María Chocarro López, considera que este caso de phishing se llegó a materializar, “sin duda, por un fallo de seguridad de la entidad financiera, que desprotegió por completo al cliente”.

“No basta desde luego el registro y contabilización de la operación, ni siquiera la supuesta autorización para que la entidad financiera, proveedora de los servicios de pago por banca electrónica, enerve su responsabilidad”, valora la magistrada, que añade que el banco pretende “cargar” contra sus clientes por una actuación “negligente”.

“En este caso, continúa su razonamiento la jueza, consta que los demandantes no finalizaron el proceso, se salieron de la web, denunciaron los hechos, contactaron con el banco y se encontraron con que la entidad no procedió como debiera a abonarle el importe de las transacciones ilícitas”.

A modo de conclusión, la sentencia expone que “la entidad financiera queda obligada a indemnizar a sus clientes por los fallos del sistema de seguridad que les han generado una pérdida económica, ya que es la financiera la que ofrece el sistema y es garante del comercio seguro, y en este caso no ha sucedido así, por lo que los demandantes tienen derecho a ser resarcidos en la cantidad reclamada, que es el equivalente al importe de los cargos ilícitos sufridos, comisión incluida, más los intereses legales desde la fecha de cargo en cuenta”.

En esta causa, los demandantes fueron representados por el abogado Jaime Villalba Varela.