Recientemente la Audiencia Provincial de Pontevedra ha condenada a una entidad bancaria al pago de 4000 euros a uno de sus clientes que fue víctima de una sustracción de la misma cantidad de su cuenta bancaria. La cantidad monetaria fue sustraída de su cuenta bancaria gracias a la utilización de la técnica de phishing. La importancia de esta resolución radica en que pasa por considerar responsable al banco al no ser suficientemente diligente con sus procesos de autenticación para evitar estos posibles riesgos.

En un principio, esta demanda fue desestimada en primera instancia por entenderse que la responsabilidad era exclusiva del cliente. Sin embargo, la Audiencia Provincial de Pontevedra no entiende lo mismo y ha condenado al banco a reintegrar la cantidad al cliente por incumplimiento en los procesos de autenticación de pago. Conforme la sentencia, las cantidades sustraídas fueron ordenadas por un tercero que usó sin consentimiento la tarjeta de débito del cliente a través del engaño.

Dicho tercero, para poder obtener los datos de la demandante, utilizó la llamada técnica de phishing que consiste en enviar un email con apariencia de entidad de garantías (normalmente un banco u otra empresa de importancia) para engañar al receptor (el cual es cliente de la verdadera empresa) creando un formulario que aparenta ser oficial pero que realmente está controlado por el tercero defraudador.

No obstante, la propia resolución también reconoce que si el cliente hubiera realizado una lectura atenta del email habría podido descubrir el contenido inexacto del mensaje, así como los errores en la redacción. Unos detalles que habrían puesto en alerta al cliente y con ello considerar el riesgo de seguir adelante con el proceso.

Pero lo que también es cierto es que los magistrados entienden que el cliente tomó su decisión conforme a las circunstancias de existir un entorno de confianza.  Una confianza creada por técnicas de ingeniería socia que, por ejemplo, en este caso fue utilizar una empresa de garantías como es Correos para confundir al destinatario. Y es que el usuario creyó que el email estaba relacionado con un pedido de mascarillas que había realizado anteriormente a través de la empresa Correos. Por tanto, al recibir el cliente los mensajes de la entidad bancaria con los códigos de confirmación, al introducirlos se ejecutó el pago de los 4000 euros.

Y en este punto es donde nace la omisión del banco y que supone un importante incumplimiento de los deberes de diligencia en la prevención del fraude mediante phishing. Los magistrados entienden que la entidad tenía el deber de conocer el teléfono desde el que se le había solicitado la activación no se encontraba entre los que había registrado a su nombre la clienta en su ficha de cliente.

Por lo anterior, la Audiencia Provincial condenó a la entidad bancaria al no actuar con la suficiente diligencia debida para poder controlar adecuadamente la autenticación de las operaciones de pago realizadas en su plataforma. Una operación que no se habría producido si el banco hubiera implementado un mecanismo que permitiera vincular el proceso de aceptación a un dato externo y propiedad del cliente, en este caso el número del teléfono.

En Type of Legal asesoramos a las empresas a revisar su procesos y garantías para garantizar los niveles necesarios de seguridad exigidos por la ley en materia de privacidad y antifraude.