El Defensor

El Defensor del Pueblo Andaluz es una Institución creada para la protección de los derechos y las libertades de los andaluces.

Su intervención es gratuita, sencilla y reservada. Actúa de manera independiente, con transparencia y objetividad.

Contáctanos

Ayuda

Planteamos la necesidad urgente de mejorar la seguridad de la banca digital ante el incremento de los fraudes

Actuación de oficio del Defensor del Pueblo Andaluz formulada en el expediente 22/6748 dirigida a Unicaja

Seguimiento de queja de oficio (Ver Resolución)

30/10/2023 CIERRE DE LA QUEJA DE OFICIO

En el curso de esta actuación de oficio (ver apertura) remitimos a Unicaja una petición para que valorasen de forma razonada la aplicabilidad de los criterios jurisprudenciales sobre la concurrencia de negligencia grave por parte del usuario a los casos afectados por el fraude masivo a su clientela.

En nuestra petición poníamos de manifiesto que existen diversos pronunciamientos judiciales dictados en casos de fraude que señalan que la negligencia grave del usuario exigiría una conducta caracterizada por un grado significativo de falta de diligencia, que no concurre cuando se produce como consecuencia del engaño al que ha sido inducido por un delincuente profesional. Concluyen estos pronunciamientos judiciales que no se puede atribuir falta de diligencia grave a una víctima de estafa, cuando la misma facilita sus claves personales a un tercero como consecuencia de manipulaciones.

En base a estas resoluciones judiciales pedíamos a la entidad financiera una revisión de los casos de estafa que estaba sufriendo su clientela, en orden a valorar si procedía atender las peticiones de devolución del importe defraudado cursadas por las personas afectadas.

En respuesta a nuestra petición Unicaja nos trasladó que comparten nuestra preocupación por el escenario actual del ciberfraude.

A este respecto manifestaban que, pese al alto volumen de recursos que dedican a su prevención, la creciente sofisticación de los procedimientos de fraude hace imposible que las entidades financieras adopten medidas que garanticen en todo caso que no se produzcan.

En todo caso insistían en que la interacción entre víctima y delincuente no tiene lugar dentro de los entornos digitales de la entidad y que en ningún caso se produce una brecha en sus sistemas de seguridad que propicie o facilite el fraude.

Entendían que para determinar cuál sea la diligencia exigible a un consumidor responsable deben valorarse las circunstancias del caso concreto y el entorno informativo del que dispone, señalando a este respecto la información disponible acerca de la prevención del ciberfraude.

Justificaban que los pronunciamientos judiciales no determinan invariablemente que la entidad resulte responsable por estar exento el consumidor de toda cautela y que estos criterios sobre la diligencia exigible al consumidor medio son tenidos en cuenta por Unicaja en la gestión de reclamaciones de los clientes afectados por el ciberfraude.

En cuanto al ofrecimiento de acuerdos extrajudiciales que citábamos en nuestra petición, aclaraban que no suponen un reconocimiento de la responsabilidad de la entidad ni se imponen a la persona reclamante sino que se enmarcan en la actividad negociadora que el banco despliega en la gestión de su clientela con el fin de facilitar el consenso como forma más deseable de resolución de situaciones de conflicto.

Concluían que, más allá de gestionar las reclamaciones concretas de usuarios afectados, siguen avanzando en la implementación de medidas de prevención del ciberfraude a su alcance y en el desarrollo de actividades de difusión de educación financiera que promuevan el conocimiento generalizado de las mejores prácticas de prevención en este ámbito.

A la vista de esta respuesta hemos acordado el archivo de nuestras actuaciones, sin perjuicio de exponer a Unicaja nuestro posicionamiento.

Así, hemos señalado que entendemos perfectamente la complejidad de la cuestión planteada y asumimos la necesidad de una consolidación de la jurisprudencia existente que nos permita disponer de un criterio claro que podamos trasladar, en su caso, a quienes tienen la responsabilidad de regular normativamente esta cuestión.

No obstante, mientras esta consolidación jurisprudencial se produce, seguimos considerando necesario que se valore la oportunidad de no trasladar la responsabilidad a los usuarios en aquellos casos en que no resulta acreditada su negligencia grave al venir su conducta inducida por el engaño y la manipulación de delincuentes profesionales que utilizan técnicas difíciles de detectar y evitar por parte de usuarios con conocimientos medios.

Compartimos con la entidad la oportunidad y necesidad de las campañas que despliega para informar a su clientela acerca de los riesgos del fraude asociado a la digitalización de los servicios financieros y para facilitarles formación sobre criterios de actuación adecuados que eviten caer en las estafas.

Sin embargo seguimos sosteniendo que, si no contamos con un sólido sistema que garantice la seguridad en la realización de operaciones bancarias telemáticas por parte de la población en general, y los colectivos más vulnerables en particular, podría llegar a ponerse en cuestión la pervivencia del sistema.

Por ello nos ha parecido oportuno reiterarles las consideraciones exouestas en nuestra petición anterior relativas a la oportunidad de mejorar la seguridad del sistema de banca electrónica y la respuesta ante situaciones de fraude. Así decíamos:

Es cierto que los procedimientos dirigidos a estafar son cada vez más sofisticados y que los sistemas de seguridad de las entidades financieras no pueden adoptar medidas que excedan de su ámbito de competencias, como puedan ser las referidas a los soportes electrónicos a través de los que se materializa el fraude.

Sin embargo, no es menos cierto que es la entidad financiera la que en última instancia asume la responsabilidad de garantizar la seguridad y fiabilidad de los servicios que ofrece al usuario, entre ellos el servicio de banca electrónica. Por lo que cabe plantearse si esa responsabilidad no debería extenderse al deber de ofrecer sistemas que sean realmente seguros y fiables para los usuarios. Sistemas que eviten el éxito de unas prácticas fraudulentas que aprovechan las brechas de seguridad que presenta el sistema atacando por el flanco mas débil que suele ser el propio usuario.

Una persona usuaria a la que no se puede exigir un grado de diligencia, prudencia y cautela que supera con creces la que sería exigible a un “consumidor responsable”.

Entendemos que resulta exigible de las entidades financieras que adopten medidas suficientes para garantizar la fiabilidad de los servicios que ofrecen a sus clientes, utilizando las mejores tecnologías posibles para reforzar la seguridad en las operaciones de banca electrónica.

Asimismo, entendemos que las entidades financieras deberían asumir la responsabilidad por los perjuicios que sufran los usuarios como consecuencia de actuaciones fraudulentas de terceros, salvo que quede acreditado que los clientes han actuado sin la prudencia y diligencia que resultarían exigibles a un consumidor responsable, entendiendo que tal concepto se refiere a una persona con los conocimientos y habilidades digitales que actualmente tiene el ciudadano medio.

Esperamos que estas consideraciones sean de nuevo valoradas y puedan ser tenidas en cuenta por Unicaja en su política de implementación de servicios electrónicos, con el objetivo de garantizar un sistema realmente seguro y confiable para la clientela.

07/10/2022 APERTURA DE LA QUEJA DE OFICIO

Por noticias de prensa y diversas quejas recibidas en esta Institución, hemos podido conocer el problema que afecta a numerosa clientela de Unicaja a quienes se les ha sustraído importantes cantidades de su cuenta corriente a través de una elaborada estafa.

El relato coincide en que se advierte al cliente de un posible uso fraudulento de su cuenta a través de SMS o llamada de teléfono, solicitando claves para su anulación. En la pantalla del teléfono aparecía el número del departamento de atención al cliente de Unicaja, lo cual generaba confianza en la persona afectada acerca de la veracidad de los hechos.

Una de las quejas recibidas se realiza en nombre de una plataforma constituida para agrupar a las personas afectadas en toda España, más de 300, la mayoría al parecer clientes procedentes de la fusión entre Unicaja y Liberbank. La pérdida media de los miembros del grupo sería aproximadamente 3000 euros por cliente, siendo las cantidades mínimas de alrededor de 1000 euros.

Alegan que según el Real Decreto Ley 19/2018, de 23 de noviembre, de Servicios de Pago, los bancos están obligados a reembolsar a los clientes las transferencias no autorizadas realizadas en sus cuentas -en un plazo de 24 horas-, salvo que puedan demostrar que los clientes han actuado con "negligencia grave".

Con respecto al concepto de negligencia grave se remiten a pronunciamientos judiciales recientes que indican que “consiste en no proceder ni con la más elemental diligencia” o en “la más grave falta de diligencia, no hacer lo que todos hacen, no prever lo que todos prevén”. Al respecto señalan que han sido víctimas de un fraude con capacidad para engañar a una ingente cantidad de personas, por lo que no pueden ser acusados de negligencia grave.

Añaden que, según el Tribunal Supremo, el phishing es una estafa, que conceptualmente es un “engaño bastante”. Si el usuario ha sido objeto de un “engaño bastante” y por ese motivo ha facilitado las claves a un tercero, que está suplantando la identidad del banco, no puede haber “negligencia grave” del usuario, porque el “engaño bastante” excluye la “negligencia grave”.

Desde la plataforma indican que, a pesar de estos claros indicios de la situación jurídica de las víctimas del “phishing”, Unicaja está obviando las orientaciones judiciales, tanto en materia de definiciones de pagos “autorizados” frente a “no autorizados”, como en la definición de “ negligencia grave” y, a pesar de admitir que los clientes han sido víctimas de “phishing”, el banco se niega a reembolsar las cantidades.

Además destacan que, según sus propias Medidas de Seguridad publicadas, Unicaja está obligada a analizar el comportamiento habitual del cliente en la banca online, avisar inmediatamente a los clientes de operaciones sospechosas, y bloquear tanto el servicio como las operaciones por motivos de seguridad. En prevención "Antiphishing", Unicaja Banco recoge entre sus medidas de seguridad, el compromiso contractual adquirido con sus clientes, de poseer la tecnología suficiente y eficaz para detectar y anticiparse a cualquier tipo de phishing o suplantación de su identidad para proteger a sus usuarios.

Sin embargo, consideran que Unicaja ha estado incumpliendo todas sus obligaciones y en repetidas ocasiones, incluso en muchos casos, negándose a bloquear las cuentas de los clientes por teléfono, insistiendo en que esto solo podría hacerse en persona en las sucursales bancarias y durante el horario de apertura del banco, por lo que consideran que su “deficiente” Departamento de Atención al Cliente ha contribuido a esta situación.

Finalmente señalan que lo peor de todo es que las transferencias no autorizadas de las cuentas de los clientes continúan realizándose todos los días y no cesan.

Ante las circunstancias expuestas y con objeto de conocer el alcance efectivo del problema expuesto, así como las soluciones que puedan ofrecerse, hemos considerado oportuno promover una actuación de oficio.

En el curso de esta actuación hemos solicitado la colaboración de Unicaja a fin de que nos faciliten información sobre los procedimientos específicos que hayan iniciado ante las reclamaciones recibidas y, en su caso, medidas que podrían articular para dar una respuesta adecuada a las mismas.

En particular, nos interesa recabar su pronunciamiento con respecto al análisis que hayan realizado de la estafa que ha afectado a su numerosa clientela y a las posibilidades de reintegro de las cantidades estafadas.

Consideramos que se encuentra afectado el derecho a la protección de las personas consumidoras que garantiza el artículo 27 del Estatuto de Autonomía para Andalucía y que el artículo 51 de la Constitución española define como uno de los principios que deben regir la actuación de las Administraciones públicas.

Si quiere presentar una queja o una consulta pinche en el siguiente enlace

Escribir un comentario

Texto plano

  • No se permiten etiquetas HTML.
  • Las direcciones de las páginas web y las de correo se convierten en enlaces automáticamente.
  • Saltos automáticos de líneas y de párrafos.

Sus datos personales están protegidos.

9 Comentarios

Javier Misas (no verificado) | Diciembre 11, 2022

Más de 4 meses sin recibir respuesta de UNICAJA a mis reclamaciones (aproximadamente 3000 euros de "robo" de mi cuenta adscrita a una entidad que de momento ni siquiera responde a mi reclamación (a pesar de que seguí los trámites precisos para que al menos me respondieran y asumieran su responsabilidad: los LADRONES NO SÓLO CONTABAN CON MIS DATOS PERSONALES Y BANCARIOS que supongo han sustraído a la entidad, EL MENSAJE QUE RECIBÍ PARA ACEPTAR LA HIPOTÉTICA INTERVENCIÓN DE LA ENTIDAD PARA "SOLVENTAR UN PRESUNTO FRAUDE" PARTÍA DEL WHATSAPP OFICIAL UNICAJA, y el TELÉFONO QUE USÓ EL DELINCUENTE TAMBIÉN ERA EL OFICIAL DE LA ENTIDAD).
A la espera de respuesta a mi reclamación (trámite avalado por denuncia en Guardia Civil de Montellano y escritos varios entregados en la sucursal del pueblo y enviados online a la sede central de UNICAJA; ya he comenzado a procurar denuncia de reclamación. Consciente de que a algunas víctimas la entidad ya ha comenzado a proponerles cierto % de devolución, yo aún no tengo respuesta, y según tengo entendido (redes sociales) somos muchos aún los que sufrimos este abandono e injusticia.
Presento queja procurando ayuda para solventar este desastre colectivo, que según leo diariamente en red social no deja de suceder.

El DPA responde | Diciembre 14, 2022

Hola Javier,

Sentimos la situación en la que te encuentras, a lo largo de este hilo os hemos informado de las diferentes vías con las que contáis en caso de falta de respuesta por parte de Unicaja, tal y como nos comentas que te está sucediendo.

Si la entidad bancaria no te ha ofrecido respuesta, debes dirigirte al Departamento de Conducta de Entidades del Banco de España. La reclamación en formato papel deberá dirigirse a la sede del Banco de España (c/ Alcalá, 48, 28014 Madrid) o a cualquiera de sus sucursales (Sedes andaluzas en Avda. de Cervantes 3, 29016 Málaga y Plaza de San Francisco 17, 41004 Sevilla). También podrás efectuarla por vía telemática, accediendo a la Oficina Virtual en el siguiente enlace: https://sedeelectronica.bde.es/sede/es/menu/ciudadanos/Reclamaciones___2e85b7714582d21.html

Así mismo, recomendamos acudir a los organismos de consumo o asociaciones de ayuda a los consumidores, ya que a los mismos corresponde ejercer las acciones oportunas en defensa  de los intereses colectivos de los consumidores en general. Puede acceder a los datos de sus oficinas en https://www.consumoresponde.es/conocenos/localizanos?field_tipo_entidad_%2520tid%5b%2520%5d=12731 .

En caso de que consideres inadecuada la actuación del organismo de consumo que intervenga en tu reclamación, puedes entonces dirigirte nuevamente a nosotros expresándonos esa circunstancia para poder prestarte nuestra colaboración.

Además, por medio de esta vía os seguiremos informando de cualquier actualización en el expediente de oficio que entendemos suficiente para atender la situación que nos expones.

Saludos

Javier (no verificado) | Diciembre 19, 2022

Perfecto, gracias por vuestros consejos y ayuda, procuraremos seguir los pasos que me referís. Saludos!

Sandra Valverde... (no verificado) | Diciembre 9, 2022

Recibo un sms por el hilo oficial de Unicaja que ha habido un acceso no autorizado, posteriormente Recibo una llamada del número de atencion al cliente de Unicaja, se identifica como trabajador de la entidad, y que se pone en contacto conmigo de manera urgente ya que están intentando hacer dos transferencias no autorizadas, bajo presión y coacción ya que sino lo hacíamos inmediatamente no se podría parar , le di las claves para supuestamente pararlas y fue justamente lo contrario. La entidad ante este ataque de Phising no se hace responsable incumplimiento así la Ley de servicios de pago de 2018. Por favor medie por nosotros y no permita esta injusticia.

El DPA responde | Diciembre 14, 2022

Hola Sandra,

Lamentamos las situaciones que nos estais trasladando tantas personas afectadas, por ello, esta Intitución ha iniciado el expediente de oficio que os trasladamos en esta entrada.

Por los datos que nos trasladas, suponemos que ya has emprendido reclamación en la entidad bancaria, a lo largo de este hilo estamos informando de las recomendaciones a seguir en vuestra situación. Si la entidad bancaria no te ha ofrecido respuesta, debes dirigirte al Departamento de Conducta de Entidades del Banco de España. La reclamación en formato papel deberá dirigirse a la sede del Banco de España (c/ Alcalá, 48, 28014 Madrid) o a cualquiera de sus sucursales (Sedes andaluzas en Avda. de Cervantes 3, 29016 Málaga y Plaza de San Francisco 17, 41004 Sevilla). También podrás efectuarla por vía telemática, accediendo a la Oficina Virtual en el siguiente enlace: https://sedeelectronica.bde.es/sede/es/menu/ciudadanos/Reclamaciones___2e85b7714582d21.html Así mismo, recomendamos acudir a los organismos de consumo o asociaciones de ayuda a los consumidores, ya que a los mismos corresponde ejercer las acciones oportunas en defensa  de los intereses colectivos de los consumidores en general. Puede acceder a los datos de sus oficinas en https://www.consumoresponde.es/conocenos/localizanos?field_tipo_entidad_%2520tid%5b%2520%5d=12731 .

En caso de que consideres inadecuada la actuación del organismo de consumo que intervenga en tu reclamación, puedes entonces dirigirte nuevamente a nosotros expresándonos esa circunstancia para poder prestarte nuestra colaboración.

Además, por medio de esta vía os seguiremos informando de cualquier actualización en el expediente de oficio.

Saludos

Rocío Ortega Ru... (no verificado) | Diciembre 9, 2022

Hola. Hoy día 9/12/22 he sido estafada vía SMS y llamada telefónica. 1000€. Ya puse denuncia en la Policía Nacional y el lunes me presentaré en el banco. Me gustaría que me guiarán en qué pasos dar para poder recuperar mi dinero. Gracias

El DPA responde | Diciembre 14, 2022

Hola Rocío,

Lamentamos la situación que nos trasladas, en primer lugar, si no lo has hecho, te recomendamos realizar reclamación ante la entidad bancaria dejando constancia de lo ocurrido. En caso de falta de respuesta por parte de la misma, te sugerimos que que acudas al Departamento de Conducta de Entidades del Banco de España. La reclamación en formato papel deberá dirigirse a la sede del Banco de España (c/ Alcalá, 48, 28014 Madrid) o a cualquiera de sus sucursales (Sedes andaluzas en Avda. de Cervantes 3, 29016 Málaga y Plaza de San Francisco 17, 41004 Sevilla). También podrás efectuarla por vía telemática, accediendo a la Oficina Virtual en el siguiente enlace: https://sedeelectronica.bde.es/sede/es/menu/ciudadanos/Reclamaciones___2e85b7714582d21.html

Así mismo, recomendamos acudir a los organismos de consumo o asociaciones de ayuda a los consumidores, ya que a los mismos corresponde ejercer las acciones oportunas en defensa  de los intereses colectivos de los consumidores en general. Puede acceder a los datos de sus oficinas en https://www.consumoresponde.es/conocenos/localizanos?field_tipo_entidad_%2520tid%5b%2520%5d=12731 .

En caso de que consideres inadecuada la actuación del organismo de consumo que intervenga en tu reclamación, puedes entonces dirigirte nuevamente a nosotros expresándonos esa circunstancia para poder prestarte nuestra colaboración.

Asimismo, como os informamos en esta publicación, esta Institución ha recibido otras peticiones sobre este mismo asunto, por lo cual se ha iniciado actuación de oficio, en el curso de esta actuación nos hemos dirigido a Unicaja con objeto de conocer el alcance de la estafa sufrida por numerosa clientela, así como las soluciones que puedan ofrecer. Por este medio, informaremos de la respuesta recibida por parte de esta entidad bancaria y las actuaciones emprendidas en el expediente de oficio.

Saludos

Juan Francisco ... (no verificado) | Diciembre 9, 2022

Hola, yo soy un afectado de la estafa en Unicaja, por medio de mensaje y posterior llamada por un teléfono que pertenece a atención al cliente de Unicaja Málaga terminado en 263, y me advertían que alguien estaba manipulando mis cuentas y ya habían echo una transferencia inmediata de 2000€, diciéndome que le diera las claves para bloquear la cuenta.
Por lo que ante la suplantación de identidad incluso con el logo de Unicaja, pues creía que efectivamente era personal de dicho banco.

El DPA responde | Diciembre 14, 2022

Hola Juan Francisco,

Lamentamos la situación que nos trasladas, en primer lugar, si no lo has hecho, te recomendamos realizar reclamación ante la entidad bancaria dejando constancia de lo ocurrido. En caso de falta de respuesta por parte de la misma, te sugerimos que que acudas al Departamento de Conducta de Entidades del Banco de España. La reclamación en formato papel deberá dirigirse a la sede del Banco de España (c/ Alcalá, 48, 28014 Madrid) o a cualquiera de sus sucursales (Sedes andaluzas en Avda. de Cervantes 3, 29016 Málaga y Plaza de San Francisco 17, 41004 Sevilla). También podrás efectuarla por vía telemática, accediendo a la Oficina Virtual en el siguiente enlace: https://sedeelectronica.bde.es/sede/es/menu/ciudadanos/Reclamaciones___2e85b7714582d21.html

Saludos

  • Defensoría de la Infancia y Adolescencia de Andalucía
  • Otras defensorías e Instituciones
  • Sede electrónica
  • Nuestro compromiso
  • Parlamento de Andalucía