Solicitamos a Unicaja que valore la posibilidad de devolución de las cantidades defraudadas a su clientela tras la estafa sufrida por phishing

Solicitamos a Unicaja que valore la posibilidad de devolución de las cantidades defraudadas a su clientela tras la estafa sufrida (phishing) aplicando los criterios jurisprudenciales relativos a la concurrencia de negligencia grave por parte del usuario.

ANTECEDENTES

Pudimos conocer el problema que afectaba a numerosa clientela de Unicaja a quienes se les había sustraído importantes cantidades de su cuenta corriente a través de una elaborada estafa.

Con objeto de conocer el alcance efectivo del problema expuesto, así como las soluciones que puedan ofrecerse, consideramos oportuno promover una actuación de oficio.

En el curso de esta actuación hemos solicitado la colaboración de Unicaja a fin de que nos facilitasen información sobre los procedimientos específicos que hubieran iniciado ante las reclamaciones recibidas y, en su caso, medidas que podrían articular para dar una respuesta adecuada a las mismas.

En particular, nos interesaba recabar su pronunciamiento con respecto al análisis realizado de la estafa que ha afectado a su numerosa clientela y a las posibilidades de reintegro de las cantidades estafadas.

Recibimos la respuesta de la entidad bancaria poniendo de manifiesto que Unicaja tiene implantadas numerosas medidas preventivas ante el ciberfraude, incluyendo gestiones con proveedores de servicios de Internet para el cierre de los dominios fraudulentos que se detectan. Sin embargo no siempre atienden este tipo de petición o lo hacen con la celeridad oportuna.

Igualmente señala el informe recibido que las medidas dirigidas a evitar mensajes SMS de terceros que suplantan su identidad dependen, en última instancia, de la respuesta de las operadoras de telefonía a la solicitud que se les dirige para su bloqueo.

Pese a los esfuerzos tecnológicos, hay elementos que escaparían a la actuación de los distintos proveedores, como puede ser el propio software de los dispositivos en los que se reciben los SMS fraudulentos que los agrupa por el nombre del remitente y no por el Sender ID, generando la impresión de que corresponden a la propia entidad financiera.

Recuerda en su informe Unicaja que la interacción entre víctima y delincuente no se produce dentro de los entornos digitales de la entidad y que no hay medio por el que pudiera impedirla, sin que se trate de una brecha de sus sistemas de seguridad.

Pide una mínima diligencia personal para evitar el daño, recordando las abundantes campañas de concienciación desarrolladas desde distintos ámbitos, así como la actividad de la propia entidad en actuaciones de difusión en este campo.

Concluye indicando que se analizan los casos particulares y que, en caso de controversia, se despliega una intensa actividad negociadora como forma más deseable de resolución de la situación.

CONSIDERACIONES

Tras valorar el informe recibido, hemos indicado a Unicaja respecto a los hechos denunciados que, precisamente, algunas personas que nos presentaban queja acudían posteriormente para señalar que Unicaja les había ofrecido un acuerdo de pago de parte de las cantidades defraudadas, si bien lo consideraban insuficiente y alegaban que no podía demostrarse una negligencia grave en su comportamiento.

Sobre este particular le hemos señalado que la normativa sobre servicios de pago establece que corresponde al proveedor de servicios de pago probar que el usuario del servicio de pago cometió fraude o negligencia grave cuando éste niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta.

En relación con la posible concurrencia de negligencia grave por parte del usuario de servicios de pago existen diversos pronunciamientos judiciales que señalan que se trata de una conducta caracterizada por un grado significativo de falta de diligencia, que surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que ha sido inducido por un delincuente profesional o que no se puede atribuir falta de diligencia grave a una víctima de estafa, ya que facilita sus claves personales a un tercero como consecuencia de manipulaciones.

Por otra parte, a modo de reflexión global sobre la materia, hemos puesto de manifiesto que las medidas adoptadas hasta la fecha por el Banco de España o las entidades financieras están resultando insuficientes para poner coto a los fraudes y restaurar la confianza ciudadana.

Valoramos que si la población en general, y los colectivos más vulnerables en particular, no cuentan con un sólido sistema que garantice la seguridad de la realización de sus operaciones bancarias terminará quebrando el sistema.

Es cierto que los procedimientos dirigidos a estafar son cada vez más sofisticados y que los sistemas de seguridad de las entidades financieras no pueden adoptar medidas que excedan de su ámbito de competencias, como puedan ser las referidas a los soportes electrónicos a través de los que se materializa el fraude.

Sin embargo, no es menos cierto que es la entidad financiera la que en última instancia asume la responsabilidad de garantizar la seguridad y fiabilidad de los servicios que ofrece al usuario, entre ellos el servicio de banca electrónica. Por lo que cabe plantearse si esa responsabilidad no debería extenderse al deber de ofrecer sistemas que sean realmente seguros y fiables para los usuarios. Sistemas que eviten el éxito de unas prácticas fraudulentas que aprovechan las brechas de seguridad que presenta el sistema atacando por el flanco mas débil que suele ser el propio usuario.

Una persona usuaria a la que no se puede exigir un grado de diligencia, prudencia y cautela que supera con creces la que sería exigible a un “consumidor responsable”.

Entendemos que resulta exigible de las entidades financieras que adopten medidas suficientes para garantizar la fiabilidad de los servicios que ofrecen a sus clientes, utilizando las mejores tecnologías posibles para reforzar la seguridad en las operaciones de banca electrónica.

Asimismo, entendemos que las entidades financieras deberían asumir la responsabilidad por los perjuicios que sufran los usuarios como consecuencia de actuaciones fraudulentas de terceros, salvo que quede acreditado que los clientes han actuado sin la prudencia y diligencia que resultarían exigibles a un consumidor responsable, entendiendo que tal concepto se refiere a una persona con los conocimientos y habilidades digitales que actualmente tiene el ciudadano medio.

En el sentido expuesto nos hemos dirigido al Parlamento de Andalucía en la dación de cuentas de esta Institución respecto al ejercicio 2022. Confiamos en que se podrán adoptar las medidas necesarias para facilitar la mejor respuesta posible en este asunto.

RESOLUCIÓN

En cuanto al caso que nos ocupa en la presente queja de oficio, hemos solicitado a Unicaja que valore de forma razonada la aplicabilidad de los criterios jurisprudenciales sobre la concurrencia de negligencia grave por parte del usuario a los casos afectados por el fraude masivo a su clientela.

Como consecuencia de dicha posible revisión de casos, le hemos solicitado que nos dé traslado de las decisiones que finalmente pudiesen adoptarse en relación con las peticiones de devolución del importe defraudado cursada por las personas afectadas.

Jesús Maeztu Gregorio de Tejada Defensor del Pueblo Andaluz