BANCARIO. PHISHING EN UNICAJA: Unicaja, condenada a devolver casi 72.000 euros sustraídos a unos clientes mediante ‘phishing’.
El Juzgado de Primera Instancia e Instrucción número 7 de Avilés (Asturias) ha condenado a Unicaja a devolver a unos clientes los 71.824 euros que les fueron sustraídos mediante phishing. «Es la estafa de mayor cuantía que se conoce por fallos de este banco en su sistema de seguridad cuando estaba negociando la fusión con Liberbank, la media suele estar en 6.000 euros».
Aprovechando el proceso de fusión, entre mayo y junio de 2022 ciberdelincuentes se hicieron con decenas de credenciales de usuarios de su banca electrónica. En este caso, los afectados son una mujer, sus tres hijos menores y su padre, a quienes les fueron retirados 30.000 euros en una transferencia; 41.000 en otra, que a su vez provocó una comisión de 205 euros, y se les hizo un cargo de 825 euros en una tarjeta de crédito.
El juez Joaquín Colubi Mier ha estimado la demanda presentada por esta mujer y el banco tendrá que devolverles dicha cantidad por los daños y perjuicios sufridos, a la que se sumarán los intereses legales desde que se efectuó la primera reclamación extrajudicial, en junio de 2022, cuando ocurrieron los hechos.
«Figuraban como ordenantes, manejando sus cuentas, personas de Estonia, pero el banco no se dio cuenta», destaca la abogada de la familia. Asimismo, señala que Unicaja «no reconoce tener fallos de seguridad para no devolver el dinero, pese a que así lo acreditan las múltiples sentencias condenatorias».
Según informa, en este caso, el banco intentó extrajudicialmente llegar a un acuerdo por la mitad del importe de la deuda, pero luego judicialmente no la reconoció.
La demandante comenzó a recibir mensajes en su teléfono móvil del tipo: «Alguien está intentando entrar en su cuenta» y «Alguien está intentando vincular un dispositivo a su cuenta». Los ignoró, al igual que una llamada recibida de un número desconocido desde Málaga y que luego, tras buscar en Google, supo que era una de la central de Unicaja en esa ciudad.
Después, recibió una llamada procedente de su oficina, un número que reconoció porque tenía grabado, y sí respondió. Una supuesta empleada le comunicó que le estaban haciendo una transferencia de 15.000 euros, lo que pudo comprobar en su banca online, y le indicó que para que no se hiciera efectiva debía dar una clave que estaba recibiendo y que la víctima facilitó.
Tras varias llamadas, en las que la supuesta empleada le estaba pidiendo claves para anular transferencias, facilitó diversas claves que recibía. Como consecuencia de ello, aquel día, desde la cuenta de su hija se transfirieron 15.000 euros a la cuenta de su abuelo, padre de la denunciante. Acto seguido, desde la del hombre salió una transferencia internacional a una cuenta de Estonia por importe de 29.999 euros, en la que figuraba como beneficiaria Bitstamp Europe S.A., empresa inversora en criptomonedas, y como ordenante Vitaly Soloveyev, constando como identificación el DNI del padre de la demandante. En la cuenta de la pequeña quedaron 24,80 euros y en la de su abuelo 192.03 euros.
Posteriormente, desde la cuenta de otra hija de la denunciante, se transfirieron 15.000 euros a la de su hermano, hijo de la denunciante, y poco después, desde la cuenta del chico salió una transferencia internacional a la de la citada empresa de Estonia por importe de 41.000 euros, y en la que figura como ordenante Serhii Ilchenko, constando como identificación el DNI del menor. Esta transferencia supuso una comisión bancaria de 205 euros y que la niña quedara con 24,80 euros en la cuenta y su hermano con 88,61.
También contrataron una tarjeta virtual que los estafadores habían dado de alta con 2.000 euros aquel mismo día, realizando una compra por importe de 825 euros a las en la tienda virtual Tutiendadevideojuegos.com.
La demandante, al darse cuenta de la estafa, presentó una denuncia.
Unicaja se defendía de la demanda alegando que esta clienta incurrió en «una grave negligencia» por el hecho de que accedió al enlace y facilitó en la aplicación tanto los datos de su tarjeta como sus credenciales para autenticar, cuando la aplicación oficial del banco nunca reclama estos elementos a sus usuarios».
Sin embargo, el juez concluye que la actuación de Unicaja en la gestión del fraude sufrido por esta clienta supone un incumplimiento de sus obligaciones contractuales y extracontractuales.
El juzgador explica que, siendo un sistema de pagos a distancia, Unicaja «no ha desplegado toda la cautela y protección en esta operación». «En primer lugar, quien debe poner los medios necesarios para garantizar ante posibles estafas que no se use fraudulentamente la banca online por terceros, y asumir esa realidad es la entidad y no transmitir la responsabilidad en los clientes «, subraya.
Añade que, siendo el banco conocedor de dichos comportamientos delictivos, es quien ha de adoptar «medidas de no facilitar aumentos de límite de disposición, cambios de vinculación de dispositivos, de números de teléfonos a quien remitir claves, etc.», así como ser «más explícito en sms de vincular un nuevo dispositivo».
Sobre esto último, apunta que detecta «una ambigüedad que en los distintos juicios ni los letrados de la entidad ni empleados de la misma saben exactamente a qué se refiere y como se opera o qué significa», y dice que de ahí devino toda la problemática.
Según explica, «se desconoce, por no venir detallado en el contrato ni en documentación alguna dada a los consumidores, qué debe entender un usuario que es vincular un dispositivo y qué supone eso. Es decir, si simplemente es que se puede usar otro aparato terminal físico, o si con ello se dejan de recibir los códigos para autorizar operaciones concretas en el número de teléfono facilitado a la hora de contratar inicialmente y será el terminal nuevo vinculado; si el hecho de vincular supone que ese código es enviado a otro número de teléfono, etc..».
«O no se puede facilitar sin requisito alguno, incluso la presencia física, los cambios de los números donde se reciben las órdenes, o el contenido debe ser reforzado, pues no se acredita que la demandada hubiera enviado un sms a la actora en el que expresamente se recogieran las operaciones de 71.000 en transferencias a Estonia para comprar criptomonedas. O simplemente ser la entidad la que tenga conocimiento de cómo se llevan esas actuaciones fraudulentas impidiendo que se usen sus propios canales para el envió de sms», agrega.
El juez señala que «lo significativo» es que en las trazas y sms aportados por los perjudicados no se acredita por Unicaja que expresamente se enviara al teléfono de esta clienta un mensaje para que diera su autorización a dichas transferencias a Estonia o la contratación de una tarjeta de 2.000 euros. «Es decir, aun dando las claves de banca digital, para vincular un dispositivo nuevo no se acredita que se haya autorizado por el actor esas dos operaciones facilitando un código previo que se le hubiera enviado, y que le expresara las operaciones a realizar detalladas, por lo que se desconoce si esas claves previa a la realizar la transferencia se ejecutó o no; de no hacerlo sería una quiebra de seguridad de la demandada de no advertir al actor de esa operación que se iba a hacer y se autorizada con la clave, y de haber enviado ese código de autorización, no acredita que fuera al teléfono de la misma», expone.
Afirma que «también es significativo que la entidad demandada no llevará control alguno de dos transferencias a Estonia para invertir en criptomoneda, de más de 71.000 euros, y que se hicieran en un día 698 operaciones desde 9 conexiones de IP distintas, y desde 5 dispositivos distintos, operando al mismo tiempo con el mismo usuario, y dos dispositivos que trataron de acceder» y no pudieron.
La sentencia, fechada a 27 de abril (180/2024), todavía no es firme, ya que cabe recurso de apelación, pero, según explica esta abogada, Unicaja no las está recurriendo.
UNICAJA
Debe estar conectado para enviar un comentario.