Una estafa con criptomonedas. El juzgado de Primera Instancia número 1 de Valladolid ha obligado a una entidad bancaria a devolver a un socio de Facua Castilla y León los 1.600 euros que le estafaron de su cuenta a través de una operación realizada desde Lituania que sirvió para comprar criptomonedas. Tanto la entidad bancaria como el Banco de España rechazaron la petición de reembolso del dinero al afectado.

Luis M. Z., cliente de la entidad desde hace más de 30 años, recibió el 18 de enero un SMS, aparentemente de su banco, donde le informaban de que un dispositivo no autorizado se había conectado a su cuenta, y le invitaban a pinchar en un enlace si no reconocía este acceso. Clicó pensando que realmente se trataba de su banco.

Apenas cinco minutos después recibió un correo electrónico de su entidad bancaria avisándole de un inicio de sesión de su cuenta desde un dispositivo que no era el suyo. Le informaban de que si no había sido él, podía cambiar su clave de acceso a través de la web o la app del banco, o bien llamar al servicio de atención al cliente en varios teléfonos.

Recibe una llamada desde el teléfono del banco

Un segundo correo electrónico del banco le advertía de que se había detectado una actividad sospechosa y, por seguridad, habían bloqueado de manera temporal su acceso a la banca digital. No había pasado ni una hora cuando recibió una llamada que en su pantalla de su móvil se identificaba como procedente de un número gratuito que ofrece el banco para atender las dudas o consultas de sus clientes.

Una mujer que dijo ser trabajadora de la entidad le indicó que estaban intentando hacer una compra por valor de 1.600 euros con su tarjeta, y que le iba a enviar un código de confirmación para poder revertir la operación. Tras decirle el número recibido por SMS, se cortó la llamada. En ese momento se consumó el fraude. Como concepto de la operación aparecía Binance, una plataforma para la compra y venta de criptomonedas.

"No es la primera vez que me intentan estafar con técnicas de este tipo. Ya lo han intentado otras muchas veces. En este caso estaba todo muy bien preparado, fue una suplantación total de la identidad del banco", explica el afectado.

La entidad y el Banco de España no lo consideraron un fraude

Luis interpuso una denuncia ante la Policía Nacional e inmediatamente contactó con su banco para informar de lo ocurrido y poder cancelar la operación. La entidad, en su respuesta, denegó la petición de reembolso del dinero al asegurar que él había autorizado la operación con el código de confirmación recibido en su móvil.

Tras la negativa, este vecino de Valladolid puso los hechos en conocimiento de Facua Castilla y León, cuyo departamento jurídico hizo llegar en marzo un escrito al Servicio de Reclamaciones del Banco de España denunciando lo ocurrido.

La respuesta de este organismo no llegó hasta el mes de junio, y volvió a ser desfavorable. En su misiva argumentó que se había dado el consentimiento para realizar dicha operación, resultando imposible discernir si fue el propio titular de la cuenta o una tercera persona. Por ello, concluyó que "no concurre una actuación por parte de la entidad financiera reclamada susceptible de ser revisada por esta instancia".

El equipo jurídico de Facua Castilla y León presentó una demanda en representación de Luis al entender que había sido víctima de un fraude en el que el banco tenía responsabilidad. El Juzgado de Primera Instancia número 1 de Valladolid admitió la demanda y se celebró un juicio en el que ambas partes se mostraron firmes en sus posturas. En la sentencia se recoge que si bien el afectado inició de manera involuntaria el procedimiento defraudatorio al clicar en el enlace del SMS, el magistrado argumenta que no se puede decir que existiese "una significativa falta de diligencia" ya que el fraude se llevó a cabo a través de una llamada de teléfono donde se suplantaba el número de atención al cliente del propio banco.

No hay negligencia grave

Además, señala que es la propia entidad bancaria la que ha sido víctima de un ataque informático, hecho que provocó que la llamada se identificase con un número diferente al del teléfono desde el cuál se realizó la llamada para acometer la estafa.

Es por ello que el juez exime a Luis de haber cometido una negligencia grave como argumentaba la entidad bancaria, y ha fallado a favor de éste. Casi un año después de que ocurrieran los hechos, el afectado ha recibido el reembolso de los 1.600 euros que le fueron sutraídos para comprar criptomonedas.

Los bancos, en cuanto facilitadores de medios de pago electrónicos, están obligados a implementar la doble autenticación o autenticación reforzada, como establece el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes.

Este es un mecanismo diseñado para reforzar la verificación de la identidad de usuarios que exige que el servicio de pago utilice al menos dos datos distintos, conocidos como "factores de autenticación". Estos factores se dividen en tres tipos, según el aspecto que se ponga en juego: conocimiento, en que se pregunta algo que solo el cliente sabe, como una contraseña o PIN; posesión, donde se exige usar un objeto, como un teléfono móvil, e inherencia, el menos habitual, en que se usa algo inherente al cliente, como su huella dactilar o su rostro.