Societat
Els bancs han de respondre pel frau en línia si no poden provar cap negligència greu del client
El Tribunal Suprem obliga una entitat a reintegrar l’import sostret a un usuari a qui els lladres van duplicar la targeta SIM per controlar-li la banca digital
El Tribunal Suprem (TS) espanyol ha dictaminat que els bancs han de respondre per les estafes realitzades per mitjans telemàtics, com el pishing o la suplantació d’identitat, si no aconsegueixen demostrar que el client ha comès una negligència greu.
La Sala Civil de l’alt tribunal ha ratificat una sentència de novembre de 2022, de l’Audiència de Saragossa, que donava la raó a una clienta que va patir el robatori de més de vuitanta mil euros en una mateixa nit i obligava el seu banc a retornar-li els diners. El Suprem ha desestimat el recurs que va presentar l’entitat (Ibercaja) i ha establert que els bancs són els responsables de “rectificar i reintegrar immediatament” els imports llevats en operacions no autoritzades pels titulars dels comptes.
La sentència, emesa el 9 d’abril i a la qual ha tingut accés Efe, recorda que la normativa europea determina que l’usuari només ha de respondre quan ha incomplert deliberadament o per negligència greu una o diverses de les seves obligacions. Si no existeix cap d’aquests elements, la qüestió rau en esbrinar si el client ha comès alguna una “negligència greu”, però el Suprem assenyala que, en aquest supòsit, és la banca qui ha de provar-ho. Segons la sentència, el fet que tercers accedeixin a la banca digital de l’usuari “no suposa que per si s’hagi incorregut en cap negligència”.
La resolució precisa que les operacions no autoritzades inclouen aquelles que s’han iniciat amb les claus d’usuari i contrasenya necessàries i confirmades mitjançant SMS, sempre que el client negui haver-les fet.
Operacions inusuals
En el cas jutjat, la titular del compte va patir una estafa denominada SIM swapping que consisteix a duplicar la targeta del telèfon mòbil per accedir a la informació confidencial i prendre el control de la banca digital. Els lladres van realitzar diverses retirades d’efectiu i pagaments amb targeta, diverses d’elles de matinada i sense que n’hagués autoritzat cap, per un import de 83.692,73 euros. El primer senyal d’alerta va ser un avís de Google de què algú havia intentat entrar al seu compte de correu electrònic. Després va començar a rebre notificacions d’operacions al seu compte i va acudir al banc. Després d’algunes gestions, Ibercaja va aconseguir recuperar una mica més de 27.000 euros, però va rebutjar fer-se càrrec del reintegrament de la resta dels diners robats.
El Tribunal observa una “conducta diligent del titular del compte, que va informar, immediatament i reiteradament” de l’estafa, i, d’altra banda, “davant d’un servei que el proveïdor presta defectuosament, tant per no prendre en consideració la informació rebuda malgrat la seva gravetat, com per ometre l’adopció de mesures que possibiliten la detecció d’eventuals maniobres fraudulentes”. En aquest punt, el Suprem continua i apunta que el fet que l’operació fos registrada pel banc “no és suficient per eximir-lo de responsabilitat”.
La sentència subratlla que el robatori o sostracció de les claus no suposen una negligència de l’usuari i es qüestiona que “un fet tan inusual” com quinze transferències de més de 80.000 euros en una nit “no fes saltar les alarmes en aquell mateix moment”. “No es pot considerar com a normal i irrellevant que una persona que mai no efectua operacions de matinada, de sobte, procedeixi a dur a terme fins a disset operacions seguides i per un import tan elevat”, sentencia.
L’alt tribunal ha assegurat que si l’usuari comunica que li han robat les dades de forma immediata, i denuncia una operació no autoritzada, “el proveïdor ha de procedir a la seva rectificació i reintegrar l’import immediatament, llevat que tingui motius raonables per sospitar l’existència de frau i comuniqui aquests motius per escrit”. D’altra banda, apunten que “el mer fet del registre pel proveïdor de la utilització de l’instrument de pagament no és suficient, necessàriament, per demostrar que l’operació de pagament va ser autoritzada” per l’usuari.
Segons el Suprem, fins i tot en el cas d’haver patit de pishing i haver proporcionat inconscientment les seves dades, la víctima “va fer allò correcte” perquè es va posar en contacte amb el seu banc, que “hauria d’haver reaccionat proporcionant un nou número d’usuari, clau d’accés i signatura electrònica” un cop que aquestes dades ja estaven “en poder de tercers”. La Sala afegeix que el proveïdor del servei no ha acreditat “quina negligència va poder cometre el demandant que permetés que uns delinqüents li dupliquessin la targeta SIM”.
