El Tribunal Suprem ha dictaminat que els bancs són responsables de reintegrar els diners perduts en estafes de ‘phising’ o de suplantació d’identitat si no poden demostrar que el client ha comès una negligència greu. La Sala Civil ha donat la raó a una clienta que va perdre més de 83.000 euros amb quinze transferències fetes la mateixa nit en una sentència que s’ha donat a conèixer aquest dimecres. L’alt tribunal ha resolt que els bancs -en aquest cas Ibercaja- són els responsables de “rectificar i reintegrar immediatament” els imports sostrets en operacions no autoritzades pels clients.
La clienta va patir una estafa denominada ‘SIM swapping’ que consisteix a duplicar la targeta SIM per accedir a la informació confidencial i prendre el control de la banca digital. Segons el text, el fet que tercers accedeixin a la banca digital de l’usuari “no suposa que per si s’hagi incorregut en cap negligència”.
A més, el magistrat ha precisat que les operacions no autoritzades inclouen, també, aquelles que s’han iniciat amb les claus d’usuari i contrasenya necessàries i confirmades mitjançant SMS, sempre que el client negui haver-les fet.
La sentència subratlla que el robatori o sostracció de les claus no suposen una negligència de l’usuari i es qüestiona que “un fet tan inusual” com quinze transferències de més de 80.000 euros en una nit “no fes saltar les alarmes en aquell mateix moment”.
Segons el Suprem, els avenços tecnològics actuals fan “relativament senzill” per les entitats financeres “dissenyar sistemes o aplicacions informàtiques idònies per detectar certes anomalies en la prestació dels serveis de pagaments”. “No es pot considerar com a normal i irrellevant que una persona que mai no efectua operacions de matinada, de sobte, procedeixi a dur a terme fins a disset operacions seguides i per un import tan elevat”, sentencia.
El relat del magistrat afegeix que el proveïdor del servei no ha acreditat “quina negligència va poder cometre el demandant que permetés que uns delinqüents li dupliquessin la targeta SIM”.
L’alt tribunal ha assegurat que si l’usuari comunica que li han robat les dades de forma immediata, i denuncia una operació no autoritzada, “el proveïdor ha de procedir a la seva rectificació i reintegrar l’import immediatament, llevat que tingui motius raonables per sospitar l’existència de frau i comuniqui aquests motius per escrit”. D’altra banda, apunten que “el mer fet del registre pel proveïdor de la utilització de l’instrument de pagament no és suficient, necessàriament, per demostrar que l’operació de pagament va ser autoritzada” per l’usuari.
El Tribunal observa una “conducta diligent del titular del compte, que va informar, immediatament i reiteradament” de l’estafa, i, d’altra banda, “davant d’un servei que el proveïdor presta defectuosament, tant per no prendre en consideració la informació rebuda malgrat la seva gravetat, com per ometre l’adopció de mesures que possibiliten la detecció d’eventuals maniobres fraudulentes”. En aquest punt, el Suprem continua i apunta que el fet que l’operació fos registrada pel banc “no és suficient per eximir-lo de responsabilitat”.