1
Un juzgado de Barcelona condenó al BBVA en una demanda hecha por una clienta, a la que robaron dinero de su cuenta bancaria mediante un hackeo tras caer en una estafa online de inversión en criptomonedas. La sentencia fue comunicada por la cooperativa de abogados Col·lectiu Ronda el 15 de diciembre.
La justicia ordenó al banco a devolver a la víctima los 31.000 euros sustraídos de sus ahorros y obligó a anular un préstamo por un importe de 11.000 euros contratado sin autorización por los ciberdelincuentes.
Con la declaración de nulidad del préstamo, se libera a la clienta de la deuda contraída por los ciberdelincuentes y exige al BBVA a devolver todas las cuotas ya abonadas por la clienta durante el proceso judicial, con los intereses legales correspondientes.
El dictamen contra el BBVA toma lugar a casi dos años del incidente, el cual comenzó en marzo de 2024.
En aquel momento, la víctima recibió un mensaje a través de redes sociales que le ofrecía la posibilidad de realizar una inversión en criptomonedas uniéndose a una plataforma de inversores. Confiando en la propuesta, decidió invertir 250 euros y siguió las instrucciones de los traders detrás de la propuesta para instalar el programa AnyDesk.
A través de AnyDesk, los ciberdelincuentes introdujeron un programa malicioso que les permitió tomar el control remoto de su dispositivo, incluido el acceso a sus credenciales bancarias.
A partir de ahí, entre el 18 y el 29 de abril de 2024, los hackers operaron con total libertad sobre diversas cuentas de la clienta y llegaron a sustraer 42.000 euros a través de 8 operaciones bancarias no autorizadas en BBVA: 31.000 euros procedentes directamente de su saldo y 11.000 euros de un préstamo.
El BBVA incumplió su deber de prevención de riesgo, alega la sentencia
La serie de operaciones inusuales en el historial de la clienta del BBVA no activaron los sistemas de alarma y protección del banco. Esto pese a que el destino de las transferencias era Malta, «un país sospechoso de ser un paraíso fiscal», y la empresa destinataria, Openpayd, era “susceptible de blanqueo de capitales”, señala la sentencia.
El Juzgado recordó que, según el Real Decreto-ley 19/2018 sobre servicios de pago, la regla general es que la entidad está obligada a devolver de manera inmediata el importe de cualquier operación de pago no autorizada, salvo que acredite que el cliente actuó con dolo o negligencia grave en la custodia de sus credenciales.
Tomado ello en cuenta, el magistrado destacó que la clienta no entregó voluntariamente sus claves, sino que siguió instrucciones para instalar un programa facilitado por la falsa plataforma de inversores. Esta actuación, añade la resolución, solo puede calificarse como imprudencia leve y no permite «apreciar una falta grave de custodia de las credenciales».
Recalca que la presencia verificada de aplicaciones de control remoto en el dispositivo móvil demuestra que, mediante un software malicioso, los ciberdelincuentes pudieron acceder a las credenciales y tomar el control absoluto de la operativa bancaria sin necesidad de ningún tipo de colaboración activa posterior de la clienta.
La sentencia pone el acento en el incumplimiento del deber de vigilancia y prevención del riesgo por parte del BBVA, recordando que la legislación establece que es obligación de los bancos «facilitar un sistema de banca telemática segura» y, con ese objetivo, dotarse de «sistemas de seguridad que permitan detectar las transferencias y disposiciones no autorizadas» por las clientas.
Atendiendo a este criterio, el juzgado resaltó que en el caso existían numerosos indicios que deberían haber activado los protocolos internos de la entidad de detección del fraude y prevención del blanqueo de capitales, como, entre otros, el elevado importe de las transferencias realizadas en un breve lapso de tiempo a un país como Malta, la contratación de un préstamo desviado de forma inmediata a cuentas corrientes situadas en el extranjero o la realización de operaciones desde una IP y un dispositivo distintos de los habituales.
Tales movimientos, por ser completamente inusuales según el historial previo de la clienta, «deberían haber sido detectadas como anómalas», subraya. Sin embargo, el BBVA no contactó con su clienta para confirmar la autenticidad de las operaciones ni envió ningún aviso preventivo por SMS, correo electrónico o llamada, y fue un familiar quien, al revisar los movimientos, alertó a la víctima de lo que estaba sucediendo.
Se marca precedente para víctimas de estafas con criptomonedas
La definición del Juzgado marca un precedente relevante para víctimas de estafas digitales y falsas inversiones en activos como criptomonedas. Algo que celebró el despacho Col·lectiu Ronda, que representó a la demandante.
«La resolución se suma a una serie cada vez más amplia de decisiones judiciales que refuerzan la responsabilidad de las entidades financieras ante operaciones no autorizadas en entornos digitales, especialmente cuando se utilizan técnicas sofisticadas como la introducción de malware para facilitar el control remoto de dispositivos», agregó.
Afortunadamente, los juzgados son conscientes de que la creciente sofisticación de las técnicas empleadas por los delincuentes informáticos favorece que cualquiera de nosotros pueda acabar siendo víctima de una estafa, ya sea en forma de phishing clásico o, cada vez con mayor frecuencia, de estafas relacionadas con falsas inversiones. Al contrario de lo que casi siempre manifiestan los bancos, los estafadores no necesitan una negligencia especialmente grave de la víctima para poder actuar.
Òscar Serrano, abogado de Col·lectiu Ronda responsable de la demanda.
No obstante, el abogado lamenta que todavía hoy mucha gente que cayó en estafas los visita «con un gran sentimiento de vergüenza, como si lo sucedido hubiera sido culpa suya». «Eso hace que sean muchas las personas que no confían o renuncian a ejercer los derechos que la legislación les reconoce», dijo.
En este sentido, Serrano dio un mensaje contundente de concientización a la población: «Son los bancos quienes deben demostrar que han cumplido de forma suficiente con su deber de diligencia y protección».
Este suceso llega, al mismo tiempo, que sigue avanzando el registro de plataformas que pueden ofrecer criptomonedas en España, una iniciativa bajo el marco europeo que da regulación al sector.
es.beincrypto.com
es.cointelegraph.com