Condena a un banco por no garantizar la seguridad de los usuarios defraudados. Smishing.
El Juzgado de Primera Instancia número 2 de Guadix ha dictado una sentencia condenatoria contra una entidad bancaria, obligándola a devolver 2.122,99 euros estafados por smishing. Se trata de un fraude a través de mensajes de texto SMS. La resolución considera probado que el banco incumplió sus obligaciones en materia de ciberseguridad, permitiendo múltiples transacciones no autorizadas en un corto periodo de tiempo.
El origen del litigio fue la demanda interpuesta por un cliente tras sufrir cargos indebidos en su cuenta y tarjeta bancaria, consecuencia del acceso no autorizado que los estafadores obtuvieron tras enviarle un SMS que simulaba provenir de la propia entidad. El cliente denunció de inmediato la situación y acudió a la oficina, pero la entidad demoró la reacción, permitiendo que se consumaran las operaciones fraudulentas.
Normativa aplicable: Reglamento DORA y Directiva NIS2
La sentencia se apoya en diversas normas regulatorias, como el Real Decreto-ley 19/2018 sobre servicios de pago, que obliga a los proveedores de servicios a demostrar que hubo negligencia grave o fraude por parte del usuario. No siendo este el caso, el proveedor debe devolver las cantidades extraídas indebidamente.
El fallo también invoca el Reglamento (UE) 2022/2554 (Reglamento DORA), aplicable a partir de enero de 2025, que establece obligaciones específicas sobre gestión de riesgos TIC y resiliencia operativa. Se exige a las entidades financieras medidas de ciberseguridad robustas, sistemas de detección rápida de incidentes y control sobre accesos a activos de información. Asimismo, se menciona la Directiva NIS2, que refuerza el marco de obligaciones de seguridad digital para los sectores esenciales.
Pruebas y omisiones de la entidad bancaria
La valoración probatoria se centra en la conducta diligente del cliente y la falta de reacción eficaz del banco. A pesar de que el banco argumentó que las operaciones eran autorizadas, no logró acreditar ni el consentimiento del usuario ni que existiera fraude o negligencia grave por su parte.
Se comprobó que en el breve lapso de tiempo en que ocurrió el fraude se vincularon hasta cuatro dispositivos distintos. Además, se realizaron 24 operaciones y se emitieron solicitudes de tarjetas prepago. Estas circunstancias, lejos de activar alertas internas, no provocaron reacción por parte del banco.
Además, no consta que la entidad aportase documentación sobre sus políticas de ciberseguridad, ni sobre mecanismos de autenticación fuerte, protocolos de cifrado, supervisión continua o notificación a clientes y autoridades competentes (CERT) en caso de incidentes. La falta de trazabilidad de sus actuaciones frente a una campaña de estafas masivas refuerza la imputación de responsabilidad.
Falta de actuación frente al incidente detectado
El fallo reprocha especialmente que el banco fue capaz de bloquear parcialmente ciertas operaciones (hasta 2.500 euros), pero no las relativas a la tarjeta de crédito, que fueron ejecutadas y no reembolsadas. Esta contradicción agrava la impresión de descoordinación e insuficiencia de medios de control.
Tampoco se evidenció que la entidad adoptara mejoras posteriores para prevenir nuevas campañas de smishing, como mecanismos de doble autenticación o políticas de restricción de acceso a sistemas críticos
Fuente. CGPJ.
