La sentencia relata que el perjudicado recibió un SMS, aparentemente del banco del que era cliente, que decía: “AVISO: un acceso no autorizado está conectado a su cuenta online. Si no reconoce este acceso verifique inmediatamente: https:/is.gd/Clientes_Unicaja»; tras pinchar en el enlace le llegó un nuevo mensaje con el texto: “Unicaja Banco: Introduce la clave de seguridad NUM000 para finalizar con la vinculación de dispositivo de Banca Digital”. Poco después le informaba que había ejecutado una transferencia por importe de 6.000 euros, que en realidad no había sido ordenada por él sino por un tercero que había obtenido sus datos bancarios y la autorización para realizarla.
La entidad admite que el primer paso de facilitar las claves de usuario y contraseña cuando recibió el primer mensaje pudiera no ser suficiente para calificarlo de negligencia grave. No obstante, mantiene que el segundo paso que dio el perjudicado cuando autorizó la vinculación de otro dispositivo es el que permitió llevar a cabo la operación fraudulenta.
El magistrado destaca en la resolución que, según el informe policial, la modalidad de fraude utilizado es la más avanzada, conocida como ‘SMS spoofing’ mediante la cual el autor de la estafa suplanta el ID de los SMS de la entidad bancaria, de forma que es prácticamente imposible que el teléfono del perjudicado catalogue tales mensajes como fraudulentos o spam, generando la confianza de la víctima en su autenticidad.
A su vez, señala que esa responsabilidad se acentúa aún más cuando el proveedor no exige una “autenticación reforzada del cliente, supuesto en que éste último únicamente responde de haber actuado de forma fraudulenta”. “Y partiendo de estas premisas el recurso debe ser desestimado -prosigue- por cuanto el Banco no solo no ha demostrado que el cliente hubiera incurrido en negligencia grave en el proceso que desembocó en la estafa, sino que todo apunta a un déficit del sistema de seguridad de la propia entidad bancaria para evitar esta clase de ataques informáticos”.
En definitiva, el magistrado concluye que la actuación del usuario no puede calificarse de “temeraria ni gravemente negligente” a la vez que no puede exigirse a quien resultó engañado mayor precaución que a quien debía poner los medios necesarios para evitarlo.