La Audiencia de Jaén condena a una entidad bancaria por la ciberestafa a un cliente

La Audiencia Provincial de Jaén ha confirmado íntegramente la condena impuesta a una entidad bancaria por un fraude por ciberacoso, desestimando el recurso de apelación interpuesto por la misma y obligándola a devolver a su cliente más de 8.300 euros, además de los intereses legales y las costas procesales.

El tribunal considera probado que la víctima, un usuario de banca electrónica, fue objeto de un complejo engaño digital mediante la técnica conocida como "SMS spoofing". En este tipo de fraude, los ciberdelincuentes consiguen enviar mensajes falsos que aparecen en el canal oficial del banco —en este caso, Ruralvía, la aplicación de la entidad—, generando una apariencia total de veracidad y confianza.

Poco después, el cliente recibió una llamada de quien decía ser empleado de la entidad, lo que le llevó a facilitar sus datos de acceso y autorizar varias transferencias por un total de 8.306,31 euros. La entidad bancaria solo llegó a devolver parcialmente el importe sustraído.

La Sección Primera de la Audiencia Provincial de Jaén ha ratificado la resolución dictada en marzo de 2024 por el Juzgado de Primera Instancia nº7 de la ciudad, que ya había estimado íntegramente la demanda del afectado.

En su fundamentación jurídica, la Sala recuerda que la responsabilidad del banco como prestador del servicio de pago “ha de reputarse cuasi-objetiva”, y solo puede excluirse en casos de fraude o negligencia grave por parte del cliente, circunstancias que en este caso no se han acreditado.

El tribunal destaca además que el fraude se materializó a través de un entorno que el cliente consideró de plena confianza, al recibir los mensajes fraudulentos desde el canal oficial del banco, por lo que “no cabe apreciar un mal proceder ni negligencia grave” en su actuación.

La sentencia incide en que no bastan las advertencias genéricas ni los avisos estereotipados en la web del banco, ya que “son fórmulas predispuestas vacías de contenido”. Según el fallo, la entidad debía haber aplicado sistemas tecnológicos y de verificación más avanzados para detectar operaciones inusuales -como tres transferencias consecutivas de gran importe realizadas en apenas diez minutos- y bloquear preventivamente la cuenta.

“El banco no reaccionó ante movimientos atípicos en un corto espacio de tiempo, ni comunicó de inmediato al cliente la realidad y cuantía de las operaciones, privándole de la posibilidad de impedir el fraude”, señala el tribunal.

El pronunciamiento de la Audiencia de Jaén se suma así a otros fallos recientes -como los de Granada, Alicante o Asturias- que apuntan en la misma dirección y consolidan la doctrina de que los bancos deben asumir las consecuencias de las brechas de seguridad que permiten estos delitos.

“Este fallo supone un nuevo respaldo judicial a los consumidores que han sido víctimas de phishing y que muchas veces son culpabilizados injustamente por las propias entidades”, ha destacado Marta Miranda, directora de Unive Abogados Granada, despacho que ha dirigido la defensa del caso.

A su juicio, la sentencia “refuerza la idea de que las entidades deben extremar sus medidas de seguridad y no limitarse a simples advertencias formales. Es un paso importante para consolidar una doctrina protectora del usuario en materia de banca digital”.