El Juzgado de Primera Instancia nº 2 de Guadix ha condenado a una entidad bancaria a devolver 2.122,99 euros a un cliente víctima de una estafa por smishing (mensajes SMS fraudulentos). El tribunal considera probado que la entidad no adoptó medidas adecuadas de ciberseguridad, lo que permitió a los ciberdelincuentes realizar 24 operaciones fraudulentas en un breve periodo de tiempo, vinculando hasta cuatro dispositivos distintos a la cuenta del usuario.
El cliente notificó de inmediato el fraude y acudió a la oficina bancaria para anular la tarjeta, pero la entidad demoró su actuación. El banco alegó que las operaciones fueron autorizadas y que no hubo negligencia por su parte, pero no logró demostrarlo, ni acreditó que el usuario actuara con dolo o culpa grave, como exige el Real Decreto-ley 19/2018 sobre servicios de pago.
La sentencia analiza también el Reglamento DORA (en vigor desde enero de 2025) y la Directiva NIS2, que obligan a las entidades financieras a disponer de sistemas eficaces de detección de anomalías y a contar con políticas de ciberseguridad robustas. El tribunal reprocha al banco no haber demostrado contar con políticas de gestión de riesgos, autenticación fuerte, ni haber comunicado debidamente el ciberincidente ni a clientes ni a autoridades como el CERT.
En definitiva, la sentencia subraya que el banco es responsable de la falta de controles que permitieron la estafa y que debe devolver al cliente el importe sustraído.
Fuente: Comunicación poder Judicial