Un banco deberá devolver en Tenerife más de 46.000 euros a una clienta por una estafa digital

La Sección Quinta de la Audiencia Provincial de Santa Cruz de Tenerife ha declarado como responsable civil subsidiaria a una entidad bancaria que tendrá que devolver más de 46.000 euros que le fueron sustraídos a una clienta "vulnerable" por su "inoperancia digital" a través de la aplicación de banca digital que tenía instalada en su teléfono móvil.

Esta resolución judicial, notificada a las partes el pasado martes, forma parte del fallo con el que se condena a un año y seis meses de prisión por un delito de estafa al autor de la sustracción de ese dinero a la víctima y, aunque la sentencia también impone al condenado una indemnización de 45.967 euros más los intereses devengados, resuelve que en caso de impago será la entidad financiera la que deba responder a la restitución de esa cantidad. Y el condenado ya señaló en Sala que era "insolvente" y no tenía medios para devolver a la víctima el dinero que le sustrajo.

El tribunal, que dicta una sentencia de conformidad después de que defensa y acusaciones alcanzaran un acuerdo con el que el investigado reconoció los hechos a cambio de reducir la pena de tres años de prisión que se le pedía al inicio de procedimiento, explica en su resolución que la responsabilidad civil derivada de ese delito de estafa, quedó fuera de la conformidad. Por ello no se celebró vista oral para dirimir las responsabilidades penales, ya reconocidas, pero sí hubo juicio para resolver la cuestión civil, tal y como reclamaba Alfonso Delgado, abogado que ejerció la dirección letrada en representación de la víctima. Dicho en otras palabras, el tribunal quería conocer si el banco actuó con la diligencia debida para prevenir el fraude digital.

Diligencia indebida

En su fallo, los magistrados consideran que "la entidad no detectó a tiempo una operativa claramente anómala" y así se detalla una secuencia de movimientos bancarios ejecutados en un corto espacio de tiempo, en concreto entre el 18 de mayo y el 8 de junio de 2021. Hubo días en los que se llevaron a cabo cuatro y seis transferencias por el importe máximo que permitía la aplicación, y que era de 999 euros cada vez "sin autorización ni conocimiento de la titular de la cuenta".

Pese a que la entidad bancaria conocía la "vulnerabilidad digital" de la clienta, no extremó las precauciones, y ahora debe responder ante la justicia por no evitar el fraude digital

Esa operativa "repetitiva, fragmentada y sostenida durante varios días", no habitual por parte de la titular de la cuenta es lo que, a ojos del tribunal, evidencia "una maniobra fraudulenta perfectamente reconocible".

El acusado declaró que fue el propio hijo de la víctima quien le había facilitado las claves de acceso a las cuentas de su madre de las que fue extrayendo el dinero hacia una cuenta de su titularidad. El investigado reconoció que era amigo de este y sabía que no era la primera vez que él le sustraía dinero a su madre mediante las tarjetas de débito y crédito porque aseguró que tenía "un grave problema de adicción a las drogas".

"No se manejaba bien"

Esta circunstancia fue reconocida también por una empleada de la sucursal a la que acudía la víctima con frecuencia. Afirmó que la mujer le "había pedido en distintas ocasiones anular sus tarjetas porque su hijo se las quitaba y retiraba dinero, muchas veces 1.000 euros o más". Añadió que tras anularlas solicitaba otras nuevas para operar con el banco y, aunque cambiaba el pin, el hijo lo averiguaba y volvía a retirar dinero. La empleada admitió que la víctima "no se manejaba bien con el entorno digital" incluso, llegó a relatar que "había que explicarle cómo funcionaban los cajeros automáticos cada vez que iba a la sucursal", lo que se producía unas dos o tres veces al mes.

El tribunal determina que el banco no reaccionó ante las señales de alerta, incumpliendo la normativa europea sobre servicios de pago, y ahora debe restituir el dinero sustraído

Una de las cuestiones relevantes de este caso para el tribunal se produjo cuando la gestora contestó a los mecanismos del banco para detectar fraudes y señaló que "los empleados no están pendientes de la operativa de los clientes", de si retiraban más o menos cantidades de dinero de sus cuentas, sin embargo, reconoció que "a efectos comerciales" hacen un seguimiento de saldos, impagos y otras operativas, con el fin de "ofrecerles productos de ahorro o inversión". Y este fue el caso de la víctima, quien vendió un apartamento en El Médano e ingresó en su cuenta una gran suma de dinero. La gestora lo detectó y aconsejó que no tuviera tanto saldo en su cuenta principal recomendándole invertir una gran parte en un fondo de ahorros vinculado a una segunda cuenta.

Mail de respaldo

A pesar de conocer que la mujer no se manejaba bien ni siquiera con los cajeros dio de alta en la banca en línea con un correo electrónico de respaldo de seguridad, mail que no era suyo, sino el de su hijo. Con lo cual, este tenía conocimiento de movimientos y claves y podía eludir los controles de seguridad de la aplicación cuando detectaba una conexión desde un dispositivo distinto al habitual, es decir, el de su madre. El tribunal pone el foco en esta situación de "vulnerabilidad digital" de la clienta y sostiene que la entidad bancaria debió "extremar las cautelas".

La Audiencia Provincial no atribuye al banco una participación penal en la estafa, pero sí le reprocha "una falta de diligencia en la detección y control del fraude". La sentencia subraya que "las entidades financieras no solo deben autenticar técnicamente las operaciones, sino también supervisarlas y valorar si presentan indicios de riesgo". Y, según el tribunal, esos indicios eran visibles.

"No fue un fallo del banco"

La defensa de la entidad sostuvo que "el problema no fue un fallo del banco, sino el uso de credenciales válidas por el hijo de la clienta" y, por eso, no debía condenarse civilmente a la entidad. Afirmó que no era correcto juzgar la actuación de la crediticia con los estándares o criterios elaborados después de 2021. Negó que hubiera "negligencia, omisión o infracción de una posición de garante". Rechazó que se tratara de un caso de phishing, hackeo o intrusión informática externa para mantener que fue un uso reiterado y consentido de las claves, en una operativa bancaria por parte del hijo de la perjudicada, dentro de una dinámica previa y conocida de sustracción de fondos en el entorno familiar y que la entidad informó a la usuaria sobre su deber de custodia de datos, claves y contraseñas pero "no adoptó medidas para impedirlo".

La Sala sostiene que "esa cadena de operaciones debió haber activado mecanismos de alerta". De hecho, se apoya en la normativa europea sobre servicios de pago y autenticación reforzada para recordar que los bancos están obligados a contar con sistemas capaces de detectar operaciones no autorizadas o fraudulentas. La sentencia concluye que "la entidad no reaccionó como debía ante unas señales que resultaban suficientemente elocuentes".

Suscríbete para seguir leyendo