El afectado recibió un mensaje de texto que parecía provenir de su banco pero en realidad era una estafa
La Audiencia Provincial de Oviedo ha dictado una sentencia en la que condena a la entidad Unicaja a pagar 6.000 euros a un usuario que fue víctima de una estafa de suplantación de identidad, conocida como SMS spoofing. Este tipo de fraude ha cobrado relevancia en los últimos tiempos debido a su sofisticación y la dificultad que presenta para ser detectado por los usuarios comunes.
Según el relato de los hechos, el afectado recibió un mensaje de texto que parecía provenir de su banco. El SMS indicaba: “AVISO: un acceso no autorizado está conectado a su cuenta online. Si no reconoce este acceso verifique inmediatamente: https:/is.gd/Clientes_Unicaja”. Confiado en la veracidad del mensaje, el usuario hizo clic en el enlace, lo que desencadenó la recepción de un segundo SMS: “Unicaja Banco: Introduce la clave de seguridad NUM000 para finalizar con la vinculación de dispositivo de Banca Digital”. Poco después, se le notificó una transferencia por 6.000 euros, que él no había autorizado, sino que había sido realizada por un tercero con sus datos bancarios y autorización.
En el proceso judicial, Unicaja argumentó que aunque el usuario había proporcionado sus claves de usuario y contraseña tras recibir el primer mensaje, esto no era suficiente para considerarlo como negligencia grave. Sin embargo, la entidad sostenía que el verdadero problema surgió cuando el usuario autorizó la vinculación de un nuevo dispositivo, lo que facilitó la operación fraudulenta.
El magistrado encargado del caso destacó en la sentencia la sofisticación del fraude. Según el informe policial, la técnica utilizada, conocida como SMS spoofing, permite al estafador suplantar la identidad de los mensajes de la entidad bancaria, haciendo que estos parezcan auténticos. Esto hace que sea prácticamente imposible para el teléfono del usuario identificar dichos mensajes como fraudulentos o spam, lo que aumenta la confianza de la víctima en la legitimidad de los mensajes.
El banco no logró demostrar que el cliente había incurrido en negligencia grave
Asimismo, el magistrado subrayó que la responsabilidad del banco se acentúa cuando no se exige una “autenticación reforzada del cliente”. En tales casos, el cliente solo es responsable si ha actuado de manera fraudulenta. Dado que el banco no logró demostrar que el cliente había incurrido en negligencia grave, el juez concluyó que había un déficit en el sistema de seguridad de la entidad para prevenir este tipo de ataques.
Finalmente, la resolución del juez establece que la conducta del usuario no puede considerarse “temeraria ni gravemente negligente”. Además, argumenta que no se puede exigir al usuario un nivel de precaución mayor al del banco, que debía haber implementado las medidas necesarias para evitar tales situaciones. En consecuencia, el recurso de Unicaja fue desestimado y se ratificó la obligación de la entidad de indemnizar al usuario con 6.000 euros.