Unicaja, condenada por los 25 Bizums que “nadie” envió
Unicaja, condenada por los 25 Bizums que “nadie” envió
El Juzgado de Primera Instancia número 5 de Pamplona ha condenado a Unicaja Banco a pagar a un cliente los 3.940 euros que desaparecieron de su cuenta tras efectuarse 25 transferencias, a través de Bizum, sin que él lo hubiese autorizado. El juzgado considera que el banco no disponía de las medidas de seguridad adecuadas y necesarias para hacer frente a este caso de estafa y obliga a la entidad a resarcir el daño causado.
El 20 de junio del 2022, el usuario comprobó que el día anterior se habían realizado 25 operaciones desde su cuenta sin su autorización ni validación. Reclamó, basándose en la Ley de Servicios de Pago 19/18 porque entendía que el banco no se había cerciorado de las credenciales de seguridad personal y debía responsabilizarse del riesgo de su envío a otra persona. O lo que es lo mismo, no había procedido “a la correcta autentificación de las operaciones”. El banco, por su parte, aseguró que se había cumplido la normativa y se habían adoptado las medidas de seguridad necesarias, por lo que, de haberse producido un fraude, sería a consecuencia de un uso negligente por parte del usuario.
En este caso, según se detalla en la sentencia 172/2023, el cliente fue víctima de una modalidad de estafa conocida como phising, en la que los delincuentes acceden, de forma engañosa y fraudulenta, a datos personales, códigos o sistemas informáticos y realizan operaciones haciéndose pasar por un usuario o falseando la identidad de una empresa. La Policía Nacional no ha podido determinar la autoría de los hechos. “Si un banco no ha sido capaz de limitar el acceso al canal de banca electrónica, no puede pretender que el presunto ordenante, víctima de esta práctica fraudulenta sea el único responsable”.
En otras palabras: salvo que acredite la negligencia por parte del cliente, la ejecución de órdenes no autorizadas son responsabilidad del banco y evidencian los defectos de seguridad de su sistema. Además, subraya, no se puede atribuir la carga de la prueba a la víctima “por cuanto es la entidad bancaria la que se entiende que posee los documentos y registros necesarios para ello”.
Unicaja no pudo probar negligencia alguna en la forma de actuar de su cliente. Solo siete de los SMS que envió para autorizar los 25 Bizums contenían claves de seguridad. Además, en los extractos bancarios no figuran las horas en las que se hicieran las transferencias. Por si fuese poco, las cantidades que aparecen en los mensajes que le fueron enviado al cliente – y que no se ha podido acreditar que este llegase a abrir de forma inmediata- no coinciden con las sumas que fueron enviadas. De lo anterior se deduce un deficiente funcionamiento de la normativa sobre seguridad en el pago.
Así, se estima la demanda formulada por el cliente y se obliga a la entidad a restituir los 3.940 euros a los que se suman los intereses legales desde la fecha del cargo en la cuenta hasta que se efectúe el pago. Igualmente, la parte demandada debe hacer frente a las costas procesales.
Unicaja, condenada por los 25 Bizums que “nadie” envió