El Suprem ho confirma: els bancs són responsables de les estafes per ‘phising’ si el client no fa cap negligència greu

El Tribunal Suprem ha establert que els bancs són els responsables de tornar els diners perduts en estafes de 'phishing' o suplantació d'identitat sempre que no es pugui demostrar que el client ha comès una negligència greu. La Sala Civil ha fallat a favor d'una clienta que va perdre més de 83.000 euros en quinze transferències realitzades durant la mateixa nit, segons la sentència feta pública aquest dimecres. L'alt tribunal determina que les entitats bancàries —en aquest cas Ibercaja— han de "rectificar i reintegrar immediatament" els imports sostrets en operacions que els clients no han autoritzat.

La víctima va patir una estafa coneguda com a 'SIM swapping', consistent en la duplicació de la targeta SIM per accedir a informació confidencial i prendre el control de la banca digital. Segons els magistrats, el fet que tercers aconsegueixin accedir al compte digital de l'usuari "no suposa que per si s'hagi incorregut en cap negligència". A més, han precisat que les operacions no autoritzades inclouen també aquelles iniciades amb les claus d'usuari i contrasenya necessàries i confirmades via SMS, sempre que el client negui haver-les realitzat.

Negligència del banc en la detecció d'activitats sospitoses

La sentència posa en relleu que el banc hauria d'haver detectat l'activitat anòmala, ja que es tractava de "quinze transferències de més de 80.000 euros en una nit" que haurien d'haver "fet saltar les alarmes en aquell mateix moment". El Suprem assenyala que amb els avenços tecnològics actuals resulta "relativament senzill" per a les entitats financeres "dissenyar sistemes o aplicacions informàtiques idònies per detectar certes anomalies en la prestació dels serveis de pagaments".

"No es pot considerar com a normal i irrellevant que una persona que mai no efectua operacions de matinada, de sobte, procedeixi a dur a terme fins a disset operacions seguides i per un import tan elevat", afirma el text de la sentència. Els magistrats també destaquen que el proveïdor del servei no ha acreditat "quina negligència va poder cometre el demandant que permetés que uns delinqüents li dupliquessin la targeta SIM".

Obligació de reemborsament immediat

L'alt tribunal ha confirmat que si l'usuari comunica immediatament el robatori de les seves dades i denuncia una operació no autoritzada, "el proveïdor ha de procedir a la seva rectificació i reintegrar l'import immediatament, llevat que tingui motius raonables per sospitar l'existència de frau i comuniqui aquests motius per escrit". També assenyala que "el mer fet del registre pel proveïdor de la utilització de l'instrument de pagament no és suficient, necessàriament, per demostrar que l'operació de pagament va ser autoritzada" per l'usuari.

El Tribunal destaca la "conducta diligent del titular del compte, que va informar, immediatament i reiteradament" de l'estafa, contrastant amb "un servei que el proveïdor presta defectuosament, tant per no prendre en consideració la informació rebuda malgrat la seva gravetat, com per ometre l'adopció de mesures que possibiliten la detecció d'eventuals maniobres fraudulentes". La sentència conclou que el fet que l'operació fos registrada pel banc "no és suficient per eximir-lo de responsabilitat".