Víctima de Phishing recupera 7.811 €

Clientes de Caja Rural de Granada víctimas de fraude por correo electrónico ganan en la Audiencia Provincial

La Audiencia Provincial de Granada da la razón a un padre y a una hija víctimas de phishing y condena a la entidad Caja Rural de Granada, Sociedad Cooperativa de Crédito a devolver 7.811 €

La entidad bancaria no estaba de acuerdo con la sentencia del juzgado de primera instancia en la que se le condenaba a devolver la cantidad robada más los intereses legales a los usuarios, por lo que interpuso un recurso de apelación.

El banco alegaba que la usuaria era una joven que realizaba compras habitualmente, que el mensaje que recibió era de la dirección de correo electrónico spoex3@hotmail.com mal redactado, con expresiones como “Gracias por no responder a este mensaje, usted no tendrá que responder” en el que no aparecía ningún dato que diera apariencia de ser la web de la entidad.

La usuaria proporcionó su nombre de usuario, NIF, contraseña, clave firma, número de tarjeta, fecha de caducidad y CVV. Además, la página se cerró sin verificación de ningún tipo.

La entidad cree que la usuaria cometió una negligencia.

Igualmente alega que el banco no supero el límite diario para las transferencias que es de 6.000€. Se realizaron transferencias y compras en días diferentes, por lo que no se pudo superar.

¿Qué ocurrió?

El 15 de octubre de 2019 la usuaria concertó con Caja Rural de Granada Soc. Coop. De Crédito una tarjeta de débito vinculada a la cuenta de su padre.

El 21 de marzo de 2020, recibió un correo electrónico desde Ruralvia Caja Rural con el siguiente mensaje: “por razones de seguridad hemos bloqueado su tarjeta temporalmente. Para activar su tarjeta nuevamente le invitamos a hacer clic en el enlace a continuación#” desde la dirección spoex3@hotmail.com

La usuaria entró en el enlace y proporcionó su nombre de usuario, NIF, contraseña, clave firma, número de tarjeta, fecha de caducidad y CVV.

De la cuenta le sustrajeron en total 7.811€ en compras con la tarjeta de crédito y transferencias desde la cuenta del padre.

En la sentencia de primera instancia, se imputó a la entidad demandada por autorizar las compras a páginas extranjeras, que, aunque el banco no tiene porque controlar todas las operaciones bancarias, si que puede controlar las que resulten mas evidentes, como fue esta situación en la que el defraudador superó el límite de la cuenta.

Por otro lado, no consta que en las operaciones de compras y transferencias no autorizadas fueran sometidas a un procedimiento de autenticación reforzada pese a que la cantidad de las operaciones era notablemente superior a la media de las transacciones anteriores además de realizarlas por un teléfono distinto al designado en el contrato de tarjeta.

Aunque la usuaria cometiese una negligencia grave, en esta situación faltó la autenticación reforzada.

¿Qué podemos aprender de esta sentencia?

Al igual que ocurrió en este caso, normalmente las entidades bancarias consideran que es negligencia del cliente proporcionar sus datos de manera errónea y no suelen estar dispuestas a devolver el dinero.

Esta sentencia tiene en cuenta la Ley para Defensa de la protección al consumidor, que excusa al usuario de la negligencia que pueda haber cometido por proporcionar datos personales, claves de confirmación o clave electrónica en una acción defraudatoria.

El mensaje que recibió la usuaria supuestamente era de su entidad bancaria y le solicitaban activar su tarjeta de nuevo.

Los bancos nunca van a solicitar información personal, ni a enviar mensajes alarmistas a través de sms o correo electrónico.

En este caso la usuaria recibió un correo electrónico cuya dirección es muy sospechosa, por eso debes fijarte siempre y verificar que la dirección email es la perteneciente a la entidad bancaria.

El mensaje estaba mal redactado. Muchos ciberdelincuentes emplean traductores automatizados y por eso los mensajes aparecen con errores ortográficos. Las entidades bancarias nunca enviarían un mensaje así.