El BBVA deberá devolver el dinero y anular el préstamo a una víctima de ciberdelincuencia

Barcelona, 15 dic (EFECOM).- Un juzgado de Barcelona ha condenado al BBVA a devolver 31.000 euros a una víctima de falsas inversiones en criptomonedas, a quien infectaron el móvil, y a anular un préstamo personal de 11.000 euros contratado en línea por los ciberdelincuentes sin su autorización y con el uso fraudulento de sus credenciales bancarias.

En una sentencia, el juzgado de Primera Instancia número 30 de Barcelona ha admitido la demanda de la víctima contra el BBVA, al considerar que la entidad bancaria no ha acreditado haber actuado con la "diligencia exigible para detectar un patrón de operaciones claramente anómalo y sospecho de fraude y blanqueo de capitales".

La víctima, representada en los tribunales por el Colectivo Ronda, fue contactada en redes sociales en marzo de 2024 por una supuesta plataforma de inversores que le ofrecía la posibilidad de realizar una inversión en criptomonedas por un importe de 250 euros.

Para proceder a la misma, los delincuentes le pidieron la instalación de un programa en su móvil, conocido como AnyDesk, aplicación que los ciberdelicuentes utilizaron para introducir un programa malicioso que les permitió acceder y controlar las credenciales bancarias de la víctima con las que sustrajeron varias cantidades de dinero en los días sucesivos.

En concreto, entre el 18 y el 29 de abril de 2024, los ciberdelincuentes llegaron a retirar de las cuentas bancarias de la mujer 31.000 euros.

Además, los ciberdelincuentes formalizaron la contratación de un préstamo en línea por importe de 11.000 euros.

Todo ese dinero fue desviado de forma inmediata a una sociedad con sede en Malta.

El fallo judicial, que no es firme y contra el que cabe interponer un recurso de apelación ante la Audiencia de Barcelona, atribuye a la clienta solo una negligencia leve, y responsabiliza así al banco, por no haber activado los sistemas de alarma y protección a pesar de que el destino de las transferencias era un país como Malta, "sospechoso de ser un paraíso fiscal" y que la empresa destinataria era "susceptible de blanqueo de capitales".

En este sentido, el magistrado subraya en la sentencia que la mujer no entregó sus claves de acceso de manera voluntaria y que su "cooperación" en lo sucedido "se circunscribe, si acaso, al momento inicial de la infección" con el programa malicioso introducido por los ciberdelincuentes, lo que no permite apreciar una "falta grave de custodia de las credenciales" por parte de la víctima.

La clienta "simplemente pinchó un enlace de una inversión, lo que constituye una negligencia leve ya que fue la sofisticación del ataque (con un troyano) la que causo el fraude, algo que no puede exigirse a un usuario medio. Que la clienta instalara una aplicación que resultara ser maliciosa no conlleva una negligencia grave, se trata de un ataque sofisticado", sostiene la sentencia.

En cambio, agrega el fallo, le correspondía al banco demostrar que su sistema funcionó correctamente y que esa sustracción de dinero se debió a una negligencia grave de la mujer, cosa que no ha acreditado la entidad financiera.

Además, para el magistrado, existían numerosos indicios que deberían haber activado los protocolos internos de la entidad de detección del fraude y prevención del blanqueo de capitales, dado el elevado importe de las transferencias realizadas en un breve lapso de tiempo con destino a un país como Malta, que deberían haber sido "detectadas como anómalas".

El banco, además, no contactó en ningún momento con su clienta para confirmar la autenticidad de las operaciones ni le envió avisos preventivos por sms, correo electrónico o llamada y, de hecho, fue un familiar de la víctima quien alertó de esos movimientos. EFECOM