
En caso de phishing bancario en Albacete, Unicaja ha sido condenada en vía civil a reintegrar a dos clientes las cantidades sustraídas con expresa condena en costas. La dirección letrada corrió a cargo del despacho jurídico Albalegal Abogados, con prueba pericial informática realizada por el perito informático colegiado Pedro De La Torre Rodríguez, perito titular de Indalics Peritos Informáticos.
Phishing bancario en Albacete sufrido por clientes de Unicaja
En abril de 2024, desde el despacho Albalegal Abogados, el letrado D. Eduardo Augusto Villena Motilla, insta demanda de juicio ordinario contra Unicaja Banco, en reclamación de 24.850 euros y de 9.500 euros, respectivamente, por dos clientes víctimas de phishing bancario en Albacete, más los intereses legales y costas.
Ataque de phishing bancario en Albacete
Los demandantes interesaron que se condenara a Unicaja Banco, a abonar 34.350 euros, más los intereses legales y costas, como consecuencia de los reintegros fraudulentos realizados en su cuenta corriente sin su consentimiento.
En la demanda se afirmaba que el día 3 de junio de 2022 a las 21:20, el demandante recibió un SMS en su teléfono en el hilo de mensajes de Liberbank, en el que se afirmaba que se había detectado un acceso no autorizado a la banca online, y que se iba a proceder a bloquear sus fondos, para evitarlo pinchara en un enlace adjunto.
Tras pinchar en el enlace, fue redireccionado a una página web idéntica a la de Unicaja introduciendo su usuario y contraseña. A continuación, recibe un sms pidiendo la clave para vincular el dispositivo de Banca digital. Y posteriormente otro en que se comunica que se ha dado de baja el dispositivo y que si no ha realizado esa operación llame al número de teléfono que figura. A continuación, sobre las 02:02 horas recibe un email en el que Unicaja comunica que se ha realizado una transferencia por valor de 9.500 euros desde su cuenta a un tercero.
En ese momento detecta que se habían realizado a las 21:28 del día 3 de junio una transferencia por valor de 8.000, a las 01:10 del día 4 de junio otra por valor de 9.000 euros, a las 01:58 otra por valor de 9.500 y a las 02:10 por valor de 7.850 euros. Se cobra por el banco además una comisión de 47,50 euros.
El demandante, al percatarse de lo ocurrido, llamó a tres teléfonos, dos de ellos de Unicaja Banco, y mandó un email a la entidad bancaria, además, puso la correspondiente denuncia en el CNP a las 09:21 del día 4 de junio, habiendo llamado previamente al 017 y al 091 a las 02:53 y 03:49 horas del mismo día 4 de junio, es decir, momentos después de producirse los hechos.
Todos estos hechos, que no se han puesto en duda por Unicaja Banco, quedando acreditados mediante prueba documental adjunta a la demanda.»
Unicaja alega negligencia de sus clientes
Unicaja Banco no negó en su contestación a la demanda ni la existencia de un fraude, ni que se realizaron las transferencias.
Unicaja alega que no existe quiebra de seguridad en la operativa online de la banca a distancia, sino que existió una negligencia grave en el actuar del demandante, que accedió a un enlace remitido por Liberbank, en un modo de actuar distinto de la operativa de la banca online e introdujo su usuario y contraseña, facilitando las claves de seguridad.
Se afirma por Unicaja Banco que el demandante fue negligente porque el mensaje recibido era de Liberbank y la fusión entre ambas entidades se produjo en julio de 2021 por lo que debía llevar tiempo utilizando la banca online de Unicaja y debió extrañarle que el mensaje y el enlace lo mandara Liberbank, pero lo cierto es que, tal y como se conoce a través de las noticias de internet y por los numerosos procedimientos seguidos en Albacete contra Unicaja por hechos similares, la fase final de integración tecnológica de ambas sociedades se produjo a finales de mayo de 2022, y fue este momento el que aprovecharon los ciberdelincuentes (meses de junio, julio y agosto de 2022) para cometer los delitos similares del que fue víctima el demandante en este procedimiento.
Sentencia contraria a Unicaja del Juzgado de Primera Instancia 3 de Albacete
La Ilma. Sra. María Nieves Saugar Hernández, Magistrada titular del Juzgado de Primera Instancia nº 3 de Albacete, ha fallado contra Unicaja Banco en el Procedimiento Ordinario 614/2024. La parte actora actuó bajo la dirección letrada del despacho Albalegal Abogados. Son muy clarificadores los fundamentos de esta sentencia por phishing bancario en Albacete.
Fundamento de derecho segundo
«En cuanto a la normativa aplicable, se resume en la Sentencia de la Audiencia Provincial de Cuenca de 16 de mayo de 2023, ”La acción ejercitada es la prevista en el Real Decreto Ley 19/2.018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (en adelante, LSP), que establece:
Artículo 41: Obligaciones del usuario de servicios de pago en relación con los instrumentos de pago y las credenciales de seguridad personalizadas. El usuario de servicios de pago habilitado para utilizar un instrumento de pago: a) utilizará el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago que deberán ser objetivas, no discriminatorias y proporcionadas y, en particular, en cuanto reciba un instrumento de pago, tomará todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas.
Artículo 42. Obligaciones del proveedor de servicios de pago en relación con los instrumentos de pago. 1. El proveedor de servicios de pago emisor de un instrumento de pago: a) Se cerciorará de que las credenciales de seguridad personalizadas del instrumento de pago solo sean accesibles para el usuario de servicios de pago facultado para utilizar dicho instrumento, sin perjuicio de las obligaciones que incumben al usuario de servicios de pago con arreglo al artículo 41. b) Se abstendrá de enviar instrumentos de pago que no hayan sido solicitados, salvo en caso de que deba sustituirse un instrumento de pago ya entregado al usuario de servicios de pago. Esta sustitución podrá venir motivada por la incorporación al instrumento de pago de nuevas funcionalidades, no expresamente solicitadas por el usuario, siempre que en el contrato marco se hubiera previsto tal posibilidad y la sustitución se realice con carácter gratuito para el cliente. c) Garantizará que en todo momento estén disponibles medios adecuados y gratuitos que permitan al usuario de servicios de pago efectuar una notificación en virtud del artículo 41.b), o solicitar un desbloqueo con arreglo a lo dispuesto en el artículo 40.4. A este respecto, el proveedor de servicios de pago facilitará, también gratuitamente, al usuario de
dichos servicios, cuando éste se lo requiera, medios tales que le permitan demostrar que ha efectuado dicha comunicación, durante los 18 meses siguientes a la misma. d) Ofrecerá al usuario de servicios de pago la posibilidad de efectuar una notificación
en virtud del artículo 41.b), gratuitamente y cobrar, si acaso, únicamente los costes de
Artículo 42. Obligaciones del proveedor de servicios de pago en relación con los instrumentos de pago. 1. El proveedor de servicios de pago emisor de un instrumento de pago: a) Se cerciorará de que las credenciales de seguridad personalizadas del instrumento de pago solo sean accesibles para el usuario de servicios de pago facultado para utilizar dicho instrumento, sin perjuicio de las obligaciones que incumben al usuario de servicios de pago con arreglo al artículo 41. b) Se abstendrá de enviar instrumentos de pago que no hayan sido solicitados, salvo en caso de que deba sustituirse un instrumento de pago ya entregado al usuario de servicios de pago. Esta sustitución podrá venir motivada por la incorporación al instrumento de pago de nuevas funcionalidades, no expresamente solicitadas por el usuario, siempre que en el contrato marco se hubiera previsto tal posibilidad y la sustitución se realice con carácter gratuito para el cliente. c) Garantizará que en todo momento estén disponibles medios adecuados y gratuitos que permitan al usuario de servicios de pago efectuar una notificación en virtud del artículo 41.b), o solicitar un desbloqueo con arreglo a lo dispuesto en el artículo 40.4. A este respecto, el proveedor de servicios de pago facilitará, también gratuitamente, al usuario de dichos servicios, cuando éste se lo requiera, medios tales que le permitan demostrar que ha efectuado dicha comunicación, durante los 18 meses siguientes a la misma. d) Ofrecerá al usuario de servicios de pago la posibilidad de efectuar una notificación en virtud del artículo 41.b), gratuitamente y cobrar, si acaso, únicamente los costes.
Artículo 43. Notificación y rectificación de operaciones de pago no autorizadas o ejecutadas incorrectamente. 1. El usuario de servicios de pago obtendrá la rectificación por parte del proveedor de servicios de pago de una operación de pago no autorizada o ejecutada incorrectamente únicamente si el usuario de servicios de pago se lo comunica sin demora injustificada, en cuanto tenga conocimiento de cualquiera de dichas operaciones que sea objeto de reclamación, incluso las cubiertas por el artículo 60, y, en todo caso, dentro de un plazo máximo de trece meses contados desde la fecha del adeudo. Los plazos para la notificación establecidos en el párrafo primero no se aplicarán cuando el proveedor de servicios de pago no le haya proporcionado ni puesto a su disposición la información sobre la operación de pago con arreglo a lo establecido en el título II.
Artículo 44. Prueba de la autenticación y ejecución de las operaciones de pago. 1. Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago. Si el usuario de servicios de pago inicia la operación de pago a través de un proveedor de servicios de iniciación de pagos, corresponderá a éste demostrar que, dentro de su ámbito de competencia, la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable. 2. A los efectos de lo establecido en el apartado anterior, el registro por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 41. 3. Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave. 4. El proveedor de servicios de pago conservará la documentación y los registros que le permitan acreditar el cumplimiento de las obligaciones establecidas en este Título y sus disposiciones de desarrollo y las facilitará al usuario en el caso de que así le sea solicitado, durante, al menos, seis años. No obstante, el proveedor de servicios de pago conservará la documentación
relativa al nacimiento, modificación y extinción de la relación jurídica que le une con cada usuario de servicios de pago al menos durante el periodo en que, a tenor de las normas sobre prescripción puedan resultarles conveniente para promover el ejercicio de sus derechos contractuales o sea posible que les llegue a ser exigido el cumplimiento de sus obligaciones contractuales. Lo dispuesto en este apartado se entiende sin perjuicio de lo establecido en la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, así como en otras disposiciones nacionales o de la Unión Europea aplicables.
Artículo 45. Responsabilidad del proveedor de servicios de pago en caso de operaciones de pago no autorizadas. 1. Sin perjuicio del artículo 43 de este real decreto-ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada. La fecha de valor del abono en la cuenta de pago del ordenante no será posterior a la fecha de adeudo del importe devuelto. 2. Cuando la operación de pago se inicie a través de un proveedor de servicios de iniciación de pagos, el proveedor de servicios de pago gestor de cuenta devolverá inmediatamente y, en cualquier caso, a más tardar al final del día hábil siguiente, el importe de la operación de pago no autorizada y, en su caso, restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada. Si el responsable de la operación de pago no autorizada es el proveedor de servicios de iniciación de pagos, deberá resarcir de inmediato al proveedor de servicios de pago gestor de cuenta, a petición de este, por las pérdidas sufridas o las sumas abonadas para efectuar la devolución al ordenante, incluido el importe de la operación de pago no autorizada. De conformidad con el artículo 44.1, corresponderá al proveedor de servicios de iniciación de pagos demostrar que, dentro de su ámbito de competencia, la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable. 3. Podrán determinarse otras indemnizaciones económicas de conformidad con la normativa aplicable al contrato celebrado entre el ordenante y el proveedor de servicios de pago o el contrato celebrado entre el ordenante y el proveedor de servicios de iniciación de pagos, en su caso.
Marco jurisprudencial
Señala la SAP de Madrid /(Sección 10ª) de 13/01/2023 (Recurso: 918/2022): «Sobre la jurisprudencia aplicable, la sentencia de la Audiencia Provincial de Madrid, sección 11ª, de fecha 28 de febrero de 2022 , hace un compendio de la misma y se menciona la sentencia de la Audiencia Provincial de Madrid (Sección 9ª) núm. 178/2015 de 4 mayo de 2015 (JUR 201551311), que se pronuncia en el sentido siguiente: …» Salvo actuación fraudulenta, incumplimiento deliberado o negligencia grave del ordenante (Art. 32), la responsabilidad será del proveedor del servicio de pago, lo que supone que a él le corresponde la carga de la prueba de que la orden de pago » no se vio afectada por un fallo técnico o cualquier otra deficiencia» (art 30).
La responsabilidad contemplada en esta Ley es cuasi-objetiva, es decir, se trata de una responsabilidad de la entidad que presta servicios de pago que sólo permite exonerarse mediante la prueba de la culpa grave del ordenante.
Esta interpretación efectuada de la Ley 16/2009, de 13 de noviembre, de servicios de pago, es absolutamente acorde no sólo con la literalidad de la norma, sino con el espíritu y finalidad de la misma (ex. art. 3 CC ), en función de lo previsto, por tanto, en los artículos 30 y 32 de la mentada Ley 16/2009, de 13 de noviembre , de servicios de pago.
En base a todos estos criterios la sentencia de la Audiencia Provincial de Madrid Sección 9ª 178/2015 de 4 mayo de 2015 (JUR 201551311), condena a la entidad al reembolso de las cantidades, señalando que la Ley de los Servicios de Pago establece un sistema de responsabilidad cuasi objetiva para la entidad financiera, previendo que en caso de disposiciones fraudulentas el proveedor de servicios de pago deberá devolver de inmediato el importe de la operación no autorizada, (art. 31 ), quedando exento de esta obligación solo en el caso de que la operación no autorizada sea fruto de la actuación fraudulenta del cliente o del incumplimiento, deliberado o por negligencia grave, de una o varias de sus obligaciones (art. 32). Además, la Ley prevé una inversión de la carga de la prueba en tanto es el proveedor de los servicios, quien debe probar que la operación fue debidamente autenticada, cuando el usuario de los servicios lo niegue (art. 30).
La SAP Alicante 632/2018 (Sección 8) de 12/03/2018 Nº de Recurso: 622/2017 , es especialmente apropiada para servir de referencia en la presente resolución por su claridad y extensión, aclarando el tema de la carga de la prueba referenciada anteriormente, señalando:
….. » Y es que no es cierto que la carga de la prueba sobre la implementación de medidas de seguridad adecuadas, suficientes, eficientes y actuales al nivel de riesgo modalidades de ataques informáticos en la red bancaria de banca online lo sea a cargo del usuario del sistema, pues el marco de responsabilidad establecido para el caso de operaciones de pagos hechos por proveedores de servicios no autorizadas o ejecutadas incorrectamente, es el de la cuasi-objetividad tal cual se desprende de la regulación específica sobre la materia -a la que seguidamente aludiremos-, sin perjuicio del régimen general de la carga de la prueba. Tres son las razones que abogan la contrariedad del argumento del recurrente, a saber, el contenido del precepto que se dice infringido – art 217 LEC – y, por llamada del mismo, la legislación de consumo y la legislación específica de servicios de pago. Por lo que hace al contenido del art. 217 LEC, hemos de recordar que párrafo séptimo establece que » para la aplicación de lo dispuesto en los apartados anteriores de este artículo el Tribunal deberá tener presente la disponibilidad y facilidad probatoria que corresponde a cada una de las partes del litigio». Para valorar el alcance de esta norma al caso hemos de entender que la regla general aplicable a la prestación de servicios que no tenga adjetivada una especial peligrosidad o requiera de un particular cuidado ha de ser la regla general del art. 217 LEC , de manera que cuando se trata de prestaciones contractuales o no contractuales, del tenor del art. 1101 y 1902 Cc en relación al art. 217.2 LEC se desprenderá que corresponde al perjudicado demandante la carga de la prueba de la culpa del causante del daño demandado. Ahora bien, no es así cuando » una disposición legal expresa» -art 217.6- imponga al demandado la carga de probar que hizo cuanto le era exigible para prevenir el daño; o cuando tal inversión de la carga de la prueba venga reclamada por los principios de » disponibilidad y facilidad probatoria » a los que se refiere el artículo 217.7 LEC , y ello sin perjuicio de que en aplicación de lo dispuesto en el artículo 386 LEC el tribunal pueda imputar la culpa al demandado del resultado dañoso acaecido cuando, por las especiales características de éste y conforme a una máxima de la experiencia, pertenezca a una categoría de resultados que típicamente se produzcan (sean realización de un riesgo creado) por impericia o negligencia, y no proporcione el demandado al tribunal una explicación causal de ese resultado dañoso que, como excepción a aquella máxima, excluya la culpa por su parte. La lógica de la norma de acceso a la fuente de la prueba y facilidad probatoria en lo que hace a la implementación de medidas de seguridad en la prestación de un servicio que se da por las entidades de crédito a sus clientes a través de una oficina virtual que se desenvuelve en redes bien de internet, bien de comunicaciones móviles, se presenta como criterio más que de razonable atención al caso en el que la propia seguridad y debida reserva de la red se contrapone al acceso por parte de un tercero distinto al titular de la misma que asume poner en la red pública un conjunto de comunicaciones para permitir operaciones bancarias que requiere de soluciones tecnológicas muy avanzadas que minimicen las amenazas contra la autenticidad, integridad y la confidencialidad de los datos que circulan a través de la red. Por otro lado el apartado 6 del artículo 217 LEC dispone que las normas contenidas en los apartados precedentes «se aplicarán siempre que una disposición legal expresa no distribuya con criterios especiales la carga de probar los hechos relevantes». (…) Así resulta además del particular régimen jurídico de responsabilidad en la prestación de servicios de pago que, con la llamada del 217.6 LEC, penetra en la configuración de la específica modalidad de responsabilidad que asume este prestador y con ello, la variación del régimen legal del sistema de gravamen probatorio, regulación legal de los servicios de pago que constituye una legislación ad hoc a no ignorar por el hecho de que se haya positivizado en la ley posterior a los hechos que nos ocupa -la Ley 16/2009, de 13 de noviembre, de servicios de pago (en vigor desde el día 4 de diciembre de ese mismo año) porque dicha norma transpone (fuera del plazo dado en la misma) la Directiva 2007/64/CE, del Parlamento Europeo y del Consejo Europeo de 13 de noviembre de 2007 vigente al tiempo de los hechos (hoy derogada por la Directiva 2015/2366, de 25 de
noviembre), donde se establece -art 59 – el siguiente contenido normativo que ha sido traspuesto al art. 30 de la Ley 16/2009 , de servicios de pago: » Los Estados miembros exigirán que, cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que esta se ejecutó de manera incorrecta, corresponda a su proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico o cualquier otra deficiencia..».
Y concluye en relación con la carga de la prueba:
… » En conclusión, la responsabilidad del proveedor de los servicios de banca online, en este caso Barclays, es de riesgo y consecuentemente, es por ley que a la entidad corresponde acreditar que la operación ordenada sí fue auténtica y que no estuvo afectada por un fallo técnico o por otra deficiencia como, por ejemplo, por un ataque informático de naturaleza fraudulenta al sistema bancario que hubiera permitido el acceso a las cuentas de sus clientes y disponer ilícitamente, de las mismas
ordenando operaciones en detrimento de aquellos…».
Respecto del fondo es preciso hacer constar expresamente la descripción que esta audiencia de Alicante señala por su claridad y oportunidad de aplicación al supuesto que estamos resolviendo, a saber:
» Para una mejor respuesta al motivo, y dado que la responsabilidad que se imputa a la entidad, derivada de la ejecución de una transferencia no autorizada por la titular de la cuenta de la cliente demandante realizada a través del sistema de banca online, lo es en tanto prestadora de servicios de pago a través del modelo de banca virtual puesta a disposición de su cliente, concretaremos el régimen legal y contractual en el que se desenvuelve la banca electrónica, cuáles son las obligaciones el prestador y del usuario conforme a la legislación aplicable, el significado jurídico de las órdenes de pago y el marco de responsabilidades que del mismo resulta y la jurisprudencia más señalada al respecto. Pues bien, tales aspectos pueden concretarse en los puntos que seguidamente numeramos. 1.- La transferencia bancaria es un servicio que forma parte del contrato de servicio de caja entre un proveedor de servicios de pago (el banco) y sus clientes y sirve de medio de pago mediante el débito en la cuenta del ordenante y abono en la del beneficiario, tratándose en suma de un procedimiento financiero de movimiento de la moneda. Se trata de un medio de pago consistente en una orden dada al banco (banco emisor) por parte de un cliente (ordenante) a fin de que, con cargo a su cuenta, abone un determinado importe en otra cuenta del mismo o distinto banco (banco destinatario) abierta a nombre de un tercero (beneficiario) o del propio ordenante. 2.- Las transferencias se regulan, trasponiendo la Directiva 2007/64/CE del Parlamento Europeo y del Consejo Europeo, de 13 de noviembre de 2007, sobre servicios de pago en el mercado interior, por la que se modifican las Directivas 97/7/CE, 2005/65/CE y 2006/48/CE y por la que se deroga la Directiva 97/5/CE , en la Ley 16/2009, de 13 de noviembre, de Servicios de Pago (LSP). La Directiva 2007/64/CE ha sido derogada por la Directiva UE 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento UE nº 1093/2010 y se deroga la Directiva 2007/64/CE. 3.- La LSP define la orden de pago como » toda instrucción cursada por un ordenante o beneficiario a su proveedor de servicios de pago por la que se solicite la ejecución de una operación de pago » (art. 2.16 LSP). 4.- Desde un punto de vista contractual toda transferencia constituye una forma de ejecución de obligaciones contractuales previamente asumidas, ejecución obligada cuando se dan las condiciones pactadas. Se entiende que la orden de transferencia constituye una declaración de voluntad o mandato (en el sentido del art. 254 CCo ) en virtud del cual el banco asume la realización de transferencias por cuenta del cliente como parte del contrato de servicio de caja. 5.- Dado el carácter negocial de la orden de pago, ésta puede pactarse que tenga lugar en cualquier forma, incluida la electrónica. En particular, el consentimiento a operaciones de pago por el usuario en el ámbito de la banca electrónica supone que el cliente deba haber firmado un contrato de adhesión a los servicios de banca electrónica.»
Destacar esta conclusión:… «La falsedad de la transferencia (es decir, que el ordenante no sea el titular de la cuenta) es un riesgo a cargo del banco porque, en principio, el deudor sólo se libera pagando al verdadero acreedor por lo que, si el banco cumple una orden falsa, habrá de reintegrar en la cuenta correspondientes las cantidades cargadas. Una excepción a esta distribución de riesgos se produce en el caso de que el titular haya creado o elevado el riesgo de falsificación de forma imputable en el caso concreto (STS 15 de julio de 1988). ….(….) – Los servicios que prestan las entidades de crédito a sus clientes a través de su oficina virtual se desenvuelven en redes TCP/IP (Internet) o WAP (comunicaciones móviles). 11.- Siendo Internet una red pública de comunicaciones, la seguridad de las operaciones bancarias precisa de soluciones tecnologías avanzadas a los efectos de garantizar tanto la autenticidad como la integridad y la confidencialidad de los datos. Por estos motivos las entidades prestadoras del servicio de banca online deben dotarse de medidas suficientes que garanticen al usuario la seguridad de las operaciones. Consecuencia derivada de la omisión, insuficiencia o defectuoso funcionamiento de las adoptadas es que han de ser las entidades bancarias las que asuman las consecuencias derivadas de los fallos de seguridad del sistema. (…..)-La responsabilidad en estos supuestos no puede atribuirse directamente al supuesto ordenante de la transferencia por entenderse ésta autorizada al haberse realizado de acuerdo con los sistemas de autenticación del banco. Los sistemas de autenticación se establecen por los proveedores de servicios de pago y si un banco no ha sido capaz de limitar el acceso al canal de banca electrónica no puede pretender que el presunto ordenante víctima de esta práctica fraudulenta sea el único responsable, pues es el banco quien tiene responsabilidad respecto del buen funcionamiento y la seguridad del mismo».
Argumentación del fallo por phishing bancario en Albacete
La Ilma. Sra. María Nieves Saugar Hernández, Magistrada titular del Juzgado de Primera Instancia nº 3 de Albacete, fundamenta su fallo contrario a Unicaja Banco por phishing bancario en los siguientes razonamientos:
«Alega la parte actora la falta de consentimiento en la realización de la transferencia, y se corrobora con las llamadas inmediatas al servicio de atención al cliente de Unicaja, el email remitido a esta entidad, las llamadas al 017, al 091 y la denuncia presentada en la Comisaría Provincial de Policía Nacional esa misma mañana.
Corresponde a la parte demandada en virtud de las normas de la carga de la prueba expuestas, acreditar no solo una falta de diligencia en la custodia de claves por parte del usuario, sino una negligencia grave.
Es cierto que la operación fue autorizada, pero el medio de autorizarla, tal y como ha alegado la parte actora fue fraudulento. Se acredita a través de la denuncia y de las reclamaciones que el demandante fue víctima de un fraude, con una mecánica usual en este tipo de procedimientos, un aviso por SMS afirmando que se está intentando realizar un acceso fraudulento a la operativa de banca digital, añadiendo en este caso que se va a proceder a bloquear las cuentas y que para evitarlo pinche un enlace.
En el interrogatorio de parte se ha explicado por el afectado que ese mismo día había instalado la app de Unicaja y que pensó que había algún problema, y por eso pinchó en el enlace y rellenó los datos. En cuanto a la autorización para vincular un dispositivo, no pensó que fuera un teléfono distinto al suyo, y no se percató de que se estaban realizando las transferencias. Su testimonio, así como los pantallazos de los mensajes, mensajes recibidos en el mismo hilo de SMS donde se reciben los mensajes del banco, la página de Unicaja idéntica a la real, y el que se aprovechara el momento de fusión de ambas sociedades con la confusión a nivel operativo que esto produjo en los clientes-consumidores, llevan a la conclusión de que el afectado no actuó con negligencia grave, sino que fue víctima de un fraude, y aun acogiendo la tesis de la entidad bancaria demandada, podríamos hablar de imprudencia pero nunca de negligencia grave, que es lo que exige la normativa bancaria para exonerar de responsabilidad al banco.
En cuanto a la calificación de la conducta de quien es sujeto pasivo de un fraude como negligente, en las recientes sentencias de las audiencias provinciales de Cáceres y Asturias se entiende que la conducta negligente tiene que ser activa, para exonerar de responsabilidad a la entidad bancaria, y que quien es víctima de un phishing no puede incurrir en negligencia grave en su actuar.
Establece la SAP de 20 de febrero de 2024 de Cáceres, “En el supuesto enjuiciado la discrepancia se centra, como hemos visto, en si el comportamiento seguido por D. Prudencio debe ser calificado de negligente, pues la parte recurrente continúa manteniendo y defendiendo que el ser víctima de un engaño o fraude no puede llevar aparejado la calificación de conducta negligente, y mucho menos, grave. Pues bien, no discutiéndose -como así se ocupa en resaltar la parte apelante que el demandante fue víctima de un fraude, cualquiera que fuera la modalidad empleada del conocido como phishing, en modo alguno se puede estar de acuerdo con la decisión adoptada por la juzgadora de instancia, pues de ninguna manera cabe apreciar en la actuación seguida por el demandante un comportamiento negligente de la gravedad y entidad suficiente para hacerle responsable del quebranto sufrido.
Con relación a esto debe tenerse en cuenta que es jurisprudencia reiterada en interpretación de la Directiva (UE) 2015/2366, sobre normas técnicas de regulación para la autenticación reforzada, de aplicación al supuesto enjuiciado, que la negligencia que determina la responsabilidad del cliente es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional. Pero, es más, tomando como parámetro del actuar negligente el artículo 1104 del Código Civil, que exige la diligencia asociada a la naturaleza de la obligación y a las circunstancias personales, de tiempo y lugar, tampoco cabría calificar de negligencia grave la conducta seguida por D. Prudencio en atención al método fraudulento empleado, de una complejidad y grado de perfección difícilmente detectable por un cliente de las características del actor, pues, como la propia demandada expone en su escrito de contestación a la demanda (página 4), «Tanto la clonación de páginas web como la suplantación de identidad en dichas web, así como en SMS, o llamadas telefónicas se consigue a través de servicios y estructuras
informáticas totalmente ajenas a la entidad (…)», esto es, que la llamada telefónica no proviene de un teléfono oficial de comunicación del banco, sino que un tercero, a través de una aplicación móvil o desde una web, logra ficcionar tal acción,
cambiando a placer el número del remitente a la hora de verlo reflejado en la pantalla del cliente que recibe la llamada, a lo que (habitualmente) se suma el mensaje recibido, un SMS, que imita tanto el diseño como la terminología utilizada por la entidad bancaria del usuario víctima de la estafa, por lo que generada la confianza en el mismo de que se trata de su entidad bancaria, no hay capacidad real para detectar el engaño o fraude.
En estas circunstancias, ninguna duda hay de que es preciso ser un experto en la materia para poder detectar que la comunicación obedecía a una estafa o fraude. Se podrá discutir, en todo caso, que el comportamiento de D. Prudencio no fue diligente, pero para hacer soportar al demandante las consecuencias del fraude o estafa sufrida es preciso apreciar negligencia, y además que dicha negligencia sea grave.
Como dice la sentencia núm.- 623/2022, de 1 de diciembre, de la Audiencia Provincial de Pontevedra (sección tercera), «Partiendo de que la autorización propiciada por el cliente se funda en comportamiento fraudulento de tercero -extremo admitido por la demandada-, deberá entenderse que la negligencia plasmada en la cesión de datos personales producida se debió al complejo engaño recibido, y no a la iniciativa o acción directa personal del usuario, que, en definitiva, cumple con las obligaciones señaladas en art. 41 LSP , excluyéndose razonablemente la gravedad en el reproche por falta de custodia de claves y, con ello, la responsabilidad con arreglo a art. 46.1 de la Ley y art. 1104 CC , persistiendo el incumplimiento por la prestadora del servicio del deber esencial de facilitar un sistema de banca telemática seguro».
En similar sentido, este tribunal manifestaba en la sentencia citada por la recurrente, núm.- 132/2022, de 16 de febrero, «que el demandante observó toda la diligencia que objetivamente le puede ser exigible cuando comprobó la realización en sus
cuentas bancarias de operaciones que no había realizado ni autorizado y que, indudablemente, eran fraudulentas, como son, fundamentalmente, las siguientes actuaciones: la denuncia de los hechos ante la Guardia Civil y la comunicación de
las disposiciones de efectivo a la entidad bancaria. Luego no le fue imposible evitar, ni la primera disposición, ni las demás, sucedidas -algunas- incluso después de la denuncia de los hechos y de su comunicación a la entidad financiera. Por tanto, la entidad financiera demandada no puede invertir la carga de la prueba exonerándose de la actividad acreditativa que le corresponde al amparo de la alegación de que todas las operaciones habían sido autenticadas, registradas y contabilizadas, en la medida en que, de ser así, lo fueron de forma fraudulenta porque el titular de los contratos no las autorizó y comunicó formalmente el fraude.
A lo dicho no es obstáculo las alegaciones de la demandada sobre la seguridad del sistema y la inexistencia de brechas de seguridad, pues si bien el sistema puede ser genéricamente seguro, no lo fue en el caso concreto.
Así, el propio banco asume en su contestación que el actor fue objeto de un fraude mediante phishing, siendo la asunción de este engaño y/o fraude la constatación evidente de que el banco no había implementado todos las medidas o mecanismos necesarios para proteger a su cliente de ataques realizados por ciberdelincuentes, lo que comporta incumplimiento de su obligación de garantizar la seguridad de los servicios de pago efectuados a través de internet o dispositivos móviles. Responsabilidad de la que tampoco queda exenta con la remisión de avisos o advertencias genéricas a través de la web o en el propio contrato, manifestando en cuanto a esto la sentencia de la Audiencia Provincial de La Rioja de 17 de febrero de 2023 que «es el banco quien ofrece este producto, en principio seguro, y es cierto que remite avisos y advertencias genéricas sobre su utilización; pero conociendo los
distintos riesgos de los que avisa, le corresponde adoptar las medidas de seguridad o control necesarias, que en este caso no consta que se adoptaran. Y no basta con medidas genéricas de protección o avisos estereotipados de cuidado, pues tales avisos ostentarían la calificación de «formulas predispuestas», vacías de contenido. No son los clientes los que deben prevenir ni averiguar las modalidades de riesgos que el sistema conlleva, o estar al tanto de los mismos, ni prevenir con su asesoramiento experto dichos riesgos».
Y la Sentencia de la Audiencia Provincial de Asturias de 30 de enero de 2024, citando asimismo la SAP de Pontevedra, 177/2023, de 23 de marzo establece que «la negligencia que hace responder al cliente es la que se deriva de una conducta
caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional. Como parámetro del actuar negligente también cabrá acudir al art. 1.104 CC, que exige la diligencia asociada a la naturaleza de la obligación y a las circunstancias personales, de tiempo y lugar. Ello destacándose la complejidad y grado de perfección que presenta en la actualidad el método de ‘phishing’ de difícil detección por persona de formación media, así como el deber de la proveedora del servicio de dotarse de tecnología suficiente y adecuada con exigencia de medidas implantadoras activas, sin entenderse suficientes avisos generales o en página web de mero carácter informativo o divulgativo -por todas, SS. AP Pontevedra (Secc. 6ª) 21.12.21 y Madrid (20ª) 20.5.2022, en la línea de lo razonado en SS. AP Valencia (6ª) 13.6.2022, Granada (5ª) 20.6.2022 y Badajoz (3ª) 21.6.2022 -«. Por tanto, la prueba
de la negligencia grave del ordenante requerirá de la acreditación de las circunstancias concurrentes en la operación de pago de las que quepa inferir que la misma pudo realizarse porque aquel obró con una significativa falta de diligencia al usar del instrumento de pago o al proteger sus credenciales, aspectos que no concurre en el caso de autos (SAP de Pontevedra núm. 539/2021, de 21 de diciembre)”.
Por todo ello, y con base en la normativa bancaria antes expuesta, no pudiendo considerar la actuación del demandante como gravemente negligente, al ser víctima de un fraude y no tomar una postura activa, debe la demandada responder de las cantidades defraudadas, tanto por las transferencias realizadas como por la comisión cobrada (a fin de obtener la restitución integral del daño a los demandantes).»
Fallo condenatorio por phishing bancario en Albacete
La Ilma. Srá Magistrada, falla lo siguiente en este caso de phishing bancario en Albacete:
«Deberá la demandada abonar los intereses legales desde la reclamación extrajudicial, según solicita la parte actora, artículos 1.100, 1.101 y 1.108 CC. Al estimar íntegramente la demanda procede imponer a la parte demandada el pago de las costas causadas, de conformidad con el criterio del vencimiento establecido en el artículo 394 de la Ley de Enjuiciamiento Civil.
Se ESTIMA la demanda interpuesta contra UNICAJA BANCO, S.A., CONDENANDO a la demandada a pagar respectivamente la cantidad de 24.850 euros, más los intereses legales desde la reclamación extrajudicial, y la cantidad de 9.500 euros, más los intereses legales desde la reclamación extrajudicial.
Peritaje informático por phishing bancario en Albacete
La dirección letrada de Villena Abogados estimó pertinente aportar prueba pericial informática a este proceso al objeto de establecer cuatro premisas:
- Que Unicaja Banco sufría recurrentemente incidentes de phishing bancario, denotando la inseguridad de sus sistemas.
- Que las personas que sufrieron phishing bancario en Albacete no actuaron de forma negligente
- Que la operativa de pago en la banca electrónica de Unicaja Banco no era lo suficientemente segura para evitar el ciberataque
- Que los correos electrónicos de las personas que sufrieron phishing bancario en Albacete eran auténticos e íntegros, al objeto de acreditar que se alertó al banco y aún así tardaron varios días en atajar la sustracción fraudulenta de dinero.
El peritaje informático corrió a cargo de D. Pedro De La Torre Rodríguez, en calidad de perito informático colegiado.
Previos incidentes de phishing bancario a clientes de Unicaja
Resultó de interés para el peritaje informático por phishing bancario en Albacete el hecho de que resultaba conocido y de dominio público la gran cantidad de incidentes de ciberseguridad sufridos recientemente por Unicaja, y más concretamente por su servicio de banca electrónica.
Así, el diario “El español”, publicó el 11 de Febrero de 2023 noticia con el titular “Así es la estafa del ‘smishing‘: Javi y miles de clientes de Unicaja reclaman hasta 100.000 euros”, accesible en la URL: https://www.elespanol.com/reportajes/20230211/estafa-smishing-javi-miles-clientes-unicaja-reclaman/740426061_0.html
Existen más noticias relativas a estos incidentes de ciberseguridad de Unicaja, según se refirió en el dictamen pericial informático:
- CONFILEGAL: “Unicaja, condenada por fallos en su sistema de seguridad informática” https://confilegal.com/20230720-unicaja-condenada-por-fallos-en-su-sistema-de-seguridad-informatica/
- ELDIARIO.ES: “Una nueva sentencia ordena a Unicaja a devolver otros 5.000 euros a un cliente víctima de ‘phishing’” https://www.eldiario.es/cantabria/ultimas-noticias/nueva-sentencia-ordena-unicaja-devolver-5-000-euros-cliente-victima-phishing_1_10599877.html
- ASUFIN.COM: “Vía de reclamación para los afectados por el phishing de Unicaja por nuestra denuncia a la AEPD” https://www.asufin.com/reclamacion-aepd-phishing-abre-puerta-reclamar/
- ELCONFIDENCIAL.COM: “Ciberestafa masiva a clientes de Unicaja: SMS, ‘phishing’ y llamadas de falsos gestores” https://www.elconfidencial.com/espana/andalucia/2022-08-17/ciberdelincuencia-estafas-unicaja-policia_3476592/
- ELPERIODICODEEXTREMADURA.COM: “Un juzgado de Plasencia condena a Unicaja a devolver 3.010 euros a una víctima de ‘phishing’” https://www.elperiodicoextremadura.com/plasencia/2023/07/14/juzgado-plasencia-condena-unicaja-devolver-89876945.html
El perito informático indicó en el informe pericial que hay multitud de referencias buscando a través de un buscador cualquiera en internet con el término “pishing Unicaja”. Por tanto, el incidente de ciberseguridad sufrido por Unicaja, con afectación a cientos de clientes entre 2022 y 2023 resultaba conocido y de dominio público.
¿Qué es el phishing y el smishing?
Otro punto importante consistió en que el perito informático procediera a describir, para legos en la materia, en qué consiste el phishing y el smishing.
El “phising” consiste en un ataque de ingeniería social al objeto de obtener claves de acceso, teléfonos, mails y diversa información personal haciéndose pasar por una entidad u organismo oficial. El lector puede examinar en mayor detalle esta técnica a través de la web del INCIBE: https://www.incibe.es/aprendeciberseguridad/phishing
Una de las variantes de esta técnica es el “smshing”, para lo que se remite al teléfono de la víctima un sms fraudulento haciéndose pasar por una entidad oficial, solicitando que se pulse sobre un link para introducir una serie de datos personales que realmente van a parar a los ciberdelincuentes. Con estos datos se pueden acceder a correos electrónicos, cuentas bancarias o redes sociales, directamente por el ciberdelincuente o tras vender los datos obtenidos a otras redes de ciberdelincuencia.
Inseguridad de la verificación en dos pasos de transacciones bancarias
El perito informático refirió también por qué resulta inseguro el mecanismo de verificación den dos pasos, a través de sms, de transacciones bancarias. Así, resulta conocido desde 2019 que existe la posibilidad técnica de interceptar los sms remitidos desde distintos servicios online a teléfonos de los usuarios con un código de validación. Esta técnica se conoce como verificación en dos pasos mediante SMS y es manifiestamente insegura. Así se puede ver información al respecto en la web de la agencia de noticias EUROPAPRESS en la URL: https://www.europapress.es/portaltic/ciberseguridad/noticia-cibercriminales-interceptan-codigos-sms-enviados-bancos-vaciar-cuentas-clientes-20190303112933.html
En el interior de la noticia se podía leer:
“El concepto de autenticación de doble factor (2FA) se ha implementado de forma masiva en los últimos dos años, pero todavía queda mucho por hacer en muchos sectores, también el financiero, donde se sigue confiando en los SMS con código, que se han convertido en objetivo de los cibercriminales para acceder a las cuentas bancarias de los usuarios.
El pasado mes de enero, Metro Bank del Reino Unido confirmó a la web Motherboard que algunos de sus clientes habían sido víctimas de un ataque de tipo SS7 por el que interceptaban los mensajes SMS con código que los bancos enviaban a sus clientes para autenticar una transacción.«
Examen del proceso de transferencia en banca electrónica de Unicaja
El perito informático procedió a documentar el proceso de transferencia bancaria desde la banca electrónica de Unicaja Banco. Con ello quedó acreditado que a fecha del informe pericial informático, la banca electrónica de Unicaja era vulnerable al acceso a las cuentas de sus clientes mediante técnicas de phishing y la interceptación de los mensajes SMS de validación para la realización de transferencias bancarias fraudulentas. Así mismo, el nombre de usuario coincide con el DNI de la persona titular, por lo que conocido este dato, se puede superar fácilmente el sistema de control de acceso.
Autenticación de correos electrónicos alertando del ciberataque
Por último, el perito informático procedió al examen de origen, autenticidad e integridad de diversos correos electrónicos que la víctima de phishing bancario en Albacete había remitido a Unicaja Banco alertando del ciberataque sufrido. Con ello se pudo acreditar indubitadamente que la víctima alertó a su banco y éste no actuó por espacio de varios días, sufriendo entre tanto nuevas sustracciones de dinero.
Expertos en peritaciones informáticas sobre phishing bancario

En Indalics Peritos Informáticos somos expertos en la realización de peritajes de phishing bancario. tanto en procesos penales como en procesos civiles para reclamar el reintegro de las cantidades sustraídas a las entidades bancarias. La creciente utilización de medios de pago digital y la escasez de medidas de seguridad adecuadas está provocando que cada vez sea más frecuente el acceso por terceros no autorizados para hacerse con el dinero de la víctima. Para añadir complejidad, existen diversos modus operandi de fraude bancario digital que dificultan una resolución jurídica satisfactoria para la víctima.
Partners técnicos de confianza para letrados

Somos los peritos informáticos de confianza para su despacho jurídico y sus clientes. Aportamos amplios conocimientos técnicos y periciales, pero siempre desde una óptica legal y procesal adaptada al caso concreto. Además, todos nuestros peritos cumplen los requisitos legales para realizar la actividad de perito informático, acreditando su cumplimiento. Le ayudamos en su proceso por defectos de software desde el minuto uno.