Cayó en un timo del falso SMS de Correos, pero ha logrado que su banco le devuelva los 2.490 euros que perdió. Esta es la razón

Todo comenzó con un SMS aparentemente inofensivo que simulaba proceder de Correos, en el que se le solicitaba a la protagonista de nuestra historia el cuota de una ínfima cantidad (0,01 €) para percibir un supuesto paquete.

Al pulsar el enlace, fue redirigida a una página web idéntica a la oficial de la empresa estatal de correo. Allí, sin sospechar que se trataba de un fraude, introdujo sus datos personales y bancarios.

En pocas horas, su cuenta bancaria registró 29 cargos no autorizados por un total de 2.490 euros, ejecutados en plataformas extranjeras como Revolut, Betfair y DB Vertrieb GmbH.

La reacción del asiento y la intrepidez sumarial

La mujer denunció los hechos y reclamó a su asiento, ING, el reembolso de los fondos sustraídos. Sin requisa, la entidad bancaria se negó a devolverle el efectivo, argumentando que la clienta había sido negligente al compartir sus datos y que todas las operaciones habían sido validadas haciendo uso de los sistemas habituales de autenticación, como el código SMS de un solo uso (OTP).

La batalla se trasladó a los tribunales. El caso fue audiencia por el Tribunal de Primera Instancia n.º 13 de Palma de Mallorca, donde el sentenciador dictó una sentencia convincente a merced de la víctima: el asiento debía devolver los 2.490 euros.

¿Por qué ganó la demanda?

La secreto de esta sentencia radica en varios argumentos jurídicos sólidos:

1. No hubo negligencia solemne por parte de la víctima

El sentenciador concluyó que el enredo fue tan sofisticado que "superó los estándares de diligencia exigibles a un consumidor medio". La página fraudulenta tenía un aspecto casi indistinguible de la actual, y el mensaje resultaba completamente verosímil.

2. El asiento no demostró que su sistema fuera seguro

ING no aportó pruebas de tener implementado mecanismos tecnológicos eficaces para detectar y evitar fraudes como el phishing. Siquiera justificó por qué no se bloquearon 29 operaciones sospechosas en un corto transcurso de tiempo. De hecho, el asiento se limitó a mostrar correos informativos genéricos sobre phishing, sin evidencias de mecanismos tecnológicos concretos para organizar el fraude.

3. Las operaciones no estaban debidamente autenticadas

Aunque las transacciones usaron mecanismos de doble autenticación (OTP), la reglamento europea exige no solo la autenticación técnica, sino además la comprobación de la identidad del afortunado. En este caso, al haberse suplantado la identidad a través del enredo, no puede considerarse que las operaciones estuvieran autorizadas.

4. El asiento tiene una responsabilidad cuasi objetiva

Según el Efectivo Decreto-ley 19/2018 y la Directiva (UE) 2015/2366, las entidades bancarias son responsables de las operaciones fraudulentas, incólume que prueben que el cliente actuó con dolo o negligencia solemne, lo cual ING no consiguió demostrar.

Un precedente importante

La sentencia es clara y marca un precedente relevante en la defensa de los derechos de usuarios de banca digital: la carga de proteger las operaciones no puede recaer exclusivamente sobre el consumidor. Las entidades financieras tienen el deber contractual y permitido de implementar sistemas proactivos, no solo informar sobre riesgos.

Correos, por su parte, ha reiterado en múltiples ocasiones que nunca solicita datos sensibles por SMS o redes sociales, e insta a eliminar cualquier mensaje sospechoso de inmediato.

Imagen | Marcos Merino mediante IA

En Genbeta | Cómo denunciar fraudes en Internet y ciberestafas