Acceder

Sentencia interesante del Tribunal Supremo sobre estafas a través de internet ó móvil

 Un familiar ha presentado una reclamación ante el Banco de España por el uso fraudulento de su tarjeta de ING, con la que se realizaron compras recientes en Francia, país que no ha visitado en los últimos tiempos. 

Presentada la reclamación, el Defensor del Cliente denegó la retrocesión basándose en las siguientes premisas, que resumo: 

"Los cargos se han realizado y se han validado las credenciales sin detectar fallo técnico ni de seguridad, ya que la orden fue correctamente emitida de forma presencial o telemática.
 La valoración de la posible existencia de un vicio en la formación del consentimiento no pertenece al ámbito de competencia del Defensor, debiendo ser considerada por los órganos jurisdiccionales."
Se reproducen las condiciones particulares de la tarjeta financiera, incluidas en el contrato de prestación de servicio, donde se establece como obligación: 
"Acreditar la identidad mediante la exhibición del DNI, en cuanto a la utilización de los servicios, a la vez que introducir personalmente la clave secreta (PIN)."
El Defensor también reproduce los artículos 41 y 44 del Real Decreto-ley 19/2018, según los cuales se establece que el usuario deberá tomar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas.

El Defensor concluye que las operaciones se realizaron mediante la modalidad de pago Apple Pay, para cuya activación es necesaria la numeración de la tarjeta, el CVV y la fecha de caducidad, contando además con la validación adicional del código OTP enviado al móvil dado de alta como factor de doble autenticación. Para ello, acompaña el identificador único de enrolamiento.

Lo más curioso es que la compra fue presencial, en un establecimiento físico, con lo cual no se pudo mostrar la identificación del DNI, y que fue el propio banco el que avisó del posible uso fraudulento tras la tercera compra.

¿Generan las obligaciones para la utilización de los servicios derechos para el usuario al firmar las condiciones particulares de la tarjeta? Entre ellas, se establece la necesidad de introducir personalmente la clave secreta de la tarjeta.

¿Estando en España, cómo puede introducirla en Francia? 

Ahora, lo que según la prensa establece la sentencia:

El alto tribunal, en un fallo del 9 de abril, del que fue ponente el magistrado Manuel Almenar Belenguer, analiza con profundidad la Directiva Europea de Servicios de Pago y la normativa española al respecto. Concluye que la única obligación del usuario es avisar lo antes posible a las entidades de que se ha realizado una operación no autorizada en sus cuentas. A partir de ahí, el banco, a menos que pueda demostrar que el cliente ha actuado de forma fraudulenta o con negligencia grave, debe asumir la responsabilidad y reponer el dinero de inmediato o, como máximo, al final del siguiente día hábil.

El Supremo señala que los operadores de servicios de pago, como son las entidades financieras, tienen la obligación de elevar su nivel de diligencia y buenas prácticas, lo que incluye incrementar la seguridad y el control para detectar operaciones fraudulentas. Les insta a desarrollar herramientas que identifiquen operaciones anómalas, como aquellas de alto importe o realizadas de madrugada, a fin de poder bloquear posibles fraudes.

En este sentido, el Supremo concluye que el hecho de que un tercero acceda a las claves del cliente no supone, por sí mismo, una negligencia grave por parte del usuario. Y que, aunque la filtración o el conocimiento de dichas claves no sea imputable a la entidad bancaria, tampoco la libera de la obligación de responder, ni traslada al usuario la carga de soportar las pérdidas.

El proveedor del servicio de pago, además de demostrar que el servicio se prestó correctamente (lo cual no ocurrió), debía acreditar la existencia de fraude o incumplimiento deliberado o gravemente negligente por parte del usuario.

Esta sentencia me anima a acudir a los tribunales si el Servicio de Reclamaciones del Banco de España no atiende mis pretensiones. Pero la pregunta clave es:

¿Qué acciones y controles exige el Banco de España a las entidades financieras para minimizar los fraudes?

 ¿Es proactivo en este mundo tecnológico? ¿Está avanzando en las auditorías informáticas en este sentido?

Ignoro estas cuestiones, y las respuestas a las memorias de reclamaciones del Banco de España tampoco me ofrecen mucha luz.

¿Dónde puedo obtener más información al respecto? 



6
¿Te gustaría recibir mis artículos de forma exclusiva?

Todas las semanas publico un artículo únicamente para mis seguidores. ¿Tú también quieres recibirlos? Sigue estos pasos:

  • Hazte seguidor a mi blog
  • Y todos las semanas disfruta de contenido privado
  1. #6
    11/05/25 15:47
    Los bancos son empresas del sector tecnológico pero ellos todavía no lo saben. Veo mucho dolor. Por cierto, en ls pos últimos datos se han filtrado montones de datos de hacienda, dgt, justicia... Y esto solo así e memoria y sin pensar. Nuesrtoes dni teléfonos y demás son públicos.
  2. en respuesta a Chanquete
    -
    #5
    09/05/25 11:11
    Los bancos tienen algoritmos para detectar operaciones fraudulentas. De hecho el pasado verano, estando de viaje por el sudeste asiático, me bloquearon las tarjetas de Myinvestor e ING con operaciones realizadas correctamente por mi. Menos mal que tenía otras tarjetas. Al parecer les parece raro que un español viaje tan lejos pero luego les cuelan cualquier cosa.

    Para colmo el bloqueo de mis tarjetas fue a posteriori de las compras con lo que en caso de fraude no lo evitan
  3. en respuesta a Augur
    -
    #4
    09/05/25 10:22
    Yo os puedo decir que la tarjeta de crédito de mi mujer, que no la usó nunca en ningún comercio electrónico, y que llevaba sin usarla 11 meses, fue hackeada e hicieron cargos en ella a través de una cuenta falsa creada en Amazon.
    El banco le devolvió el dinero enseguida, y la única explicación posible es que hackean al Banco (ya sea por la app o web, no lo sé) y consiguen los datos de la tarjeta, sino cómo se explica que te carguen en la tarjeta 11 meses después de haberla usado.
    El tema de las tarjetas va saltar antes o después, pues en ningún caso hubo doble factor de autentificación. Si te cogen la numeración, el CVV y la fecha de caducidad, no debería ser suficiente para que te adeuden un cargo en la tarjeta, pues falta el doble factor (sms, app, o lo que quieras). El tema, es que si bien esto del doble factor es un tema europeo y debería ser obligatorio, realmente no lo es, y te dejan "con el culo al aire".
    Cuando uno reserva un hotel da los datos de la tarjeta, pero no autoriza el cargo. Pues bien, a mi me ha pasado que antes de llegar al hotel (vamos el día antes de hacer el cheking) ya me habían cargado el importe de toda la reserva en la tarjeta que di unos meses antes para hacer la reserva. Me pareció muy, muy mal, entre otras cosas porque no me interesaba pagar la estancia por esa tarjeta, y me había presentado antes del 14:00 h del día de entrada. En definitiva, estamos vendidos.
  4. #3
    09/05/25 00:03
    Además, para dar garantías al usuario, el banco debería contar con sistemas de seguridad capaces de detectar actividades sospechosas, así como de bloquear o verificar operaciones de alto riesgo. 

    La sustracción de dinero por los sofisticados sistemas que usan los ciberdelincuentes puede no ser total responsabilidad del banco, pero tampoco es responsabilidad del usuario, que no tiene por qué soportar esas pérdidas.
  5. #2
    08/05/25 16:10
    En los últimos meses he sufrido varios cargos fraudulentos de poca cuantía con la tarjeta de débito del B.Santander y de ING, En ambas casos me han exigido mandarles copia de denuncia a la policía como condición para devolverme el dinero. En ambos casos no ha habido descuido alguno por mi parte ni explicación  por parte de los bancos. 

    Tengo la convicción que es a los bancos a los que les están hackeando 
  6. #1
    08/05/25 15:45
    Interesante