BBVA, condenada a indemnizar a una clienta víctima de ‘phishing’ con la pérdida patrimonial experimentada: 9.900 euros

/en
En Majano Abogados contamos con amplia experiencia en la defensa de afectados por fraudes bancarios, como el phishing. Este tipo de sentencias refuerzan la responsabilidad de las entidades en la protección de sus clientes.

El banco tiene el deber de diligencia para asegurar la correcta autentificación de las operaciones de pago

BBVA, condenada a indemnizar a una clienta víctima de ‘phishing’ con la pérdida patrimonial experimentada 9.900 euros

El Juzgado de Primera Instancia número 7 de Salamanca ha fallado a favor de una víctima de phishing bancario y condenado a su entidad bancaria, BBVA, a indemnizarla con la cantidad que le fue sustraída de manera ilícita: 9.900 euros.

A juicio del Juzgado, la conducta de la clienta, facilitando datos de acceso a los ciberdelincuentes en la creencia de que estaba comunicándose con su banco para impedir un acceso no autorizado de terceros a su cuenta bancaria, no fue negligente ni puede considerarse grave teniendo en cuenta el contexto en el que se produjeron los hechos. Por el contrario, la responsabilidad civil es del banco, al haber permitido una brecha de seguridad en su sistema y, por tanto, es la entidad bancaria la única responsable de los fallos de seguridad del sistema que el mismo pone a disposición del cliente.

El abogado que ha ganado el caso, defensa legal de la víctima estafada, Juan Pablo Palomar, del despacho Palomar Abogados, señala a E&J respecto al asunto litigioso que “el proveedor de servicios de pago, es decir, el banco, dispone de sobrada tecnología para detectar la no coincidencia del beneficiario que figura en una orden transferencia con respecto al titular real de la cuenta de destino”.

En este sentido, el letrado manifiesta que “la propia normativa europea ha introducido en 2024 una normativa en la cual obliga al banco emisor, ante esta circunstancia, a prevenir al ordenante del pago que puede estar remitiendo fondos a una cuenta bancaria diferente a la deseada”.

La víctima actuó en la creencia de que estaba comunicándose con su banco

Según consta como hechos probados en la sentencia (disponible en el botón ‘descargar resolución’), la víctima recibió en su teléfono móvil un SMS dentro del hilo de mensajes del BBVA en el que se le informaba que había realizado un pago de 9.900 euros con cargo a su cuenta bancaria. Seguidamente se puso en contacto con ella por vía telefónica una mujer que se presentó como empleada del BBVA y le indicó que había establecido contacto telefónico con ella al objeto de realizar una actuación de seguridad encaminada a protegerle de una sustracción ilegítima de la cantidad citada (9.900 euros).

A los escasos segundos la víctima volvió a recibir dos SMS dentro del hilo de mensajes del BBVA en el que se le indicaba que estaba hablando con la operadora que se había presentado como trabajadora del banco, que por motivo de seguridad la llamada estaba siendo grabada y la invitaban a seguir las instrucciones de la empleada del banco.

La clienta dio credibilidad a los mensajes y procedió a seguir las instrucciones de la interlocutora, generando un nuevo IBAN supuestamente a su nombre con el fin de traspasar los 9.900 euros para protegerla de la sustracción que estaban intentando hacer.

La supuesta empleada del BBVA le explicó que para cerrar la incidencia recibiría unos códigos numéricos de seguridad en su dispositivo móvil y que debía introducirlos. Así, a la víctima se le abrió en su teléfono móvil una pantalla que aparentemente era la página web del BBVA y recibió los códigos numéricos por SMS.

Seguidamente, y siguiendo las instrucciones, la víctima introdujo los códigos, consumándose así la transferencia y con ello la estafa de la que estaba siendo objeto. Por último llegó a recibir un último SMS en el que se le indicaba que la transacción había sido cancelada correctamente.

BBVA, condenada a indemnizar a una clienta víctima de ‘phishing’ con la pérdida patrimonial experimentada 9.900 euros

El banco negó su responsabilidad en el delito

La clienta del BBVA al conocer que había sido víctima de una estafa se lo comunicó al banco, sin embargo, la entidad bancaria no se hizo responsable del dinero sustraído al considerar que la revelación por parte de la actora de sus datos personales y bancarios suponía una clara actuación de negligencia grave, ya que de lo contrario no se habría ejecutado la operación.

Ante la falta de intención de la entidad bancaria de restituir la cantidad y asumir su responsabilidad en la estafa de la que había sido víctima la clienta, la actora demandó al banco solicitando que se declarase que el BBVA era responsable de los daños y perjuicios causados.

Y al amparo del artículo 1.101 del Código Civil se solicitaba en la demanda que se condenara al BBVA por dolo y/o negligencia, a indemnizar a la demandante por los daños y perjuicios sufridos equivalentes a la pérdida patrimonial experimentada, es decir una pérdida de valor patrimonial cuantificada en 9.900 euros, más los intereses legales de esta cantidad desde la fecha de la reclamación extra procesal hasta la fecha de la sentencia.

Por tanto la controversia del presente litigio se centraba en la responsabilidad de las extracciones ilícitas y quién debía asumir la misma, si bien debían ser asumidas por el banco, o bien por la clienta.

Doctrina del Tribunal Supremo

El Juzgado de Primera Instancia número 7 de Salamanca ha comenzado recordando en la sentencia la doctrina de la Sala de lo Penal del Tribunal Supremo en un caso como el ahora enjuiciado y cuya doctrina es aplicable, donde se resuelve la acción civil derivada del delito de defraudación informática.

Dicha doctrina recoge que «es claro que la actividad propuesta por la entidad bancaria a sus clientes mediante la operativa online presenta algunos riesgos derivados de la posibilidad de suplantación de la identidad de quien contrata con la entidad para la realización de operaciones sin la autorización del auténtico contratante. Es claro también que, excluyendo actuaciones dolosas o gravemente negligentes por parte de los clientes, la entidad bancaria es responsable de ofrecer y poner en práctica un sistema segurode manera que las consecuencias negativas de los fallos en el mismo no deberán ser trasladados al cliente. Todo ello con independencia de la determinación de quien sea el auténtico perjudicado en estos casos (…)».

Pues bien, aplicando tal doctrina al caso y teniendo en cuenta la forma en que se produjeron los hechos, para el Juzgado es evidente que las actuaciones realizadas por la demandante son «las propias de cualquier persona media que se considera en el entorno seguro de su relación habitual con su banco». Es decir la clienta introdujo sus claves de banca online en la creencia de hacerlo a requerimiento del propio banco para evitar un ataque a sus cuentas y con la misma intención facilitó la clave para la realización de las transferencias.

Por tanto, la actora actuó con ingenuidad pero su conducta no fue negligente ni puede considerarse grave teniendo en cuenta el contexto en el que se produjeron los hechos. «Estamos ante un tipo de fraude muy específico del que es fácil ser víctima sin que ello implique una actuación negligente del cliente dado lo bien que está ejecutado el fraude», señala el juez en la sentencia.

En este sentido el juzgador ha recordado lo razonado por la Audiencia provincial de Santander en su sentencia de 23 de julio de 2024 (n.°1056/2024): «No puede calificarse de gravemente negligente cuando se actúa en la angustia y urgencia de quien trata de evitar un acceso no autorizado a sus cuentas y en dicho contexto pinchar en el enlace que le ofrece el SMS fraudulento —en el hilo de mensajes de propio banco— no supone una grave negligencia. La identificación de entornos no seguros no está al alcance de cualquier usuario».

BBVA, condenada a indemnizar a una clienta víctima de ‘phishing’ con la pérdida patrimonial experimentada 9.900 euros

El banco es responsable de la pérdida patrimonial

Por tanto, en el presente caso, la responsabilidad civil es de la entidad financiera frente al cliente en el marco de la relación contractual de prestación de servicios de banca electrónica, puesto que el cliente no actuó de forma fraudulenta o negligente, sino que es el banco el único responsable de los fallos de seguridad del sistema que el mismo pone a disposición del cliente.

En consecuencia el Juzgado ha estimado la demanda y declarado que BBVA es responsable de los daños y perjuicios causados, y al amparo del artículo 1.101 del Código Civil, la entidad bancaria ha sido condenada por dolo y/o negligencia a indemnizar a la parte actora por los daños y perjuicios sufridos, equivalentes a la pérdida patrimonial experimentada de 9.900 euros, más los intereses legales de esta cantidad es de la fecha de la reclamaciones extraprocesal hasta la fecha de la sentencia.

Por último, el juzgador ha recriminado que «es especialmente grave, que por el hecho de acceder de fraudulentamente a la banca online de un cliente, el estafador tenga acceso a todos los datos, lo que supone una brecha de seguridad. Las entidades financieras son conocedoras de estos hackeos informáticos y deberían proteger mucho más concienzudamente datos tan sensibles de sus clientes«.

En esta línea, continúa exponiéndose en la sentencia que «el deber de diligencia del banco para asegurar la correcta autentificación de las operaciones de pago, sobre todo cuando se trata de un alto importe, exige no solo aplicar el procedimiento de autentificación reforzada de clientes, sino también dotarse de mecanismos de supervisión que permitan detectar operaciones fraudulentas».

Fuente: https://www.economistjurist.es/

Multada una comunidad de propietarios por poner en el portal un acta con los datos de un propietario y la deuda que este debía

/en

La comunicación estuvo expuesta durante 8 meses a todos los vecinos y demás personas que entraban en el vestíbulo

La Agencia Española de Protección de Datos (AEPD) ha sancionado con 1.000 euros a una comunidad de propietarios por haber expuesto en una vitrina ubicada en el vestíbulo del edificio el acta de una junta general en la que figuraba el apellido e inicial del nombre de uno de los vecinos asociado a una deuda.

El hecho de que queden expuestos a terceros los datos de nombre, apellidos, dirección postal y deudas de vecinos, sin motivo para colocar el acta en la vitrina del portal, visible a todos los propietarios y demás personas que entren al edificio, supone una infracción del principio de confidencialidad del tratamiento de datos.

Además, aunque es cierto que la Ley sobre Propiedad Horizontal otorga a las comunidades de propietarios la posibilidad de remitir las actas a los propietarios mediante la colocación de la correspondiente comunicación en el tablón de anuncios de la comunidad cuando se ha intentado, pero sin éxito, citar o notificar al propietario, la ley establece el plazo de 3 días naturales para poder tener expuesta el acta a efectos de producir efectos la notificación. Sin embargo, en el presente caso, la comunidad de propietarios sancionada mantuvo el acta en la vitrina ubicada en el portal y bajo llave, durante un periodo mínimo de 8 meses (desde que se celebró la junta hasta que la AEPD le impuso la obligación de retirarla), por lo que sobrepasó el tiempo legal establecido para estar expuesta la comunicación.

Multada una comunidad de propietarios por poner en el portal un acta con los datos de un propietario y la deuda que este debía

Multada una comunidad de propietarios por poner en el portal un acta con los datos de un propietario y la deuda que este debía

El caso

La resolución sancionadora (disponible en el botón ‘descargar resolución’) llega a raíz de que el propietario deudor afectado interpusiera una reclamación ante la Agencia Española de Protección de Datos informado de los hechos.

El reclamante ponía en conocimiento de dicha Agencia que, a fecha de interpone la reclamación, en abril de 2024, el acta de la junta general ordinaria celebrada en agosto de 2023 seguía publicada en una vitrina cerrada con llave, ubicada en el vestíbulo de entrada del inmueble, a la vista de todo el que entraba en el edificio y que en dicha acta figuraba expuesto el apellido e inicial del nombre, asociado a una deuda suya. Junta a la reclamación aportó copia de la citada acta y fotos de la vitrina, su contenido y ubicación.

La AEPD dio traslado de dicha reclamación a la comunidad de propietarios, pero ésta no dio respuesta, por lo que la reclamación fue admitida a trámite y se inició el correspondiente procedimiento sancionador ante las evidencias de que los hechos eran constitutivos de una presunta infracción del artículo 5.1. f) del Reglamento General de Protección de Datos (RGPD).

Legislación aplicable al caso

Dicho precepto legal —artículo 5.1.f) del RGPD—, en relación con el principio de integridad y confidencialidad de los datos, establece que “los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (integridad y confidencialidad).

En el presente caso, la comunidad de propietarios realiza un tratamiento de datos personales al recoger y conservar los datos personales de personas físicas que son propietarias en el inmueble, entre ellos el nombre, apellidos, dirección postal y deudas de vecinos. Esta actividad desarrollada por la comunidad se hace debido a su condición de responsable del tratamiento, dado que es quien determina los fines y medios de tal actividad.

Por otro lado, la Ley 49/1960, de 21 de julio, sobre propiedad horizontal establece en su artículo 19 que “los acuerdos de la Junta de propietarios se reflejarán en un libro de actas diligenciado por el Registrador de la Propiedad”, y que el acta de las reuniones se remitirá a los propietarios.

Por lo que respecta al procedimiento para remitir las actas a los propietarios, el artículo 9.h), párrafo segundo, de la mencionada Ley establece que, “si intentada una citación o notificación al propietario fuese imposible practicarla en el lugar prevenido en el párrafo anterior, se entenderá realizada mediante la colocación de la comunicación correspondiente en el tablón de anuncios de la comunidad, o en lugar visible de uso general habilitado al efecto, con diligencia expresiva de la fecha y motivos por los que se procede a esta forma de notificación, firmada por quien ejerza las funciones de secretario de la comunidad, con el visto bueno del presidente. La notificación practicada de esta forma producirá plenos efectos jurídicos en el plazo de tres días naturales”.

Multada una comunidad de propietarios por poner en el portal un acta con los datos de un propietario y la deuda que este debía

Multada una comunidad de propietarios por poner en el portal un acta con los datos de un propietario y la deuda que este debía

Sanción de 1.000 euros por infringir la confidencialidad de los datos

En el presente caso, la AEPD ha razonado que, han quedado expuestos a terceros los datos de nombre, apellidos, dirección postal y deudas de vecinos, sin que conste motivo alguno para colocar en la vitrina del portal el acta de la junta general ordinaria. Igualmente, el plazo de 3 días naturales, a efectos de producir efectos la notificación del acta, ha sido sobrepasado al estar expuesta desde la fecha de celebración de la citada junta ordinaria, en agosto de 2023, hasta abril de 2024.

Por tanto, la revelación de nombres, apellidos, dirección postal y deudas con la comunidad, supone haber cometido una presunta infracción del principio de confidencialidad establecido en el artículo 5.1.f) del RGPD. Y, en consecuencia de dicha infracción, la Agencia Española de Protección ha sancionado a la comunidad de propietarios con una multa de 1.000 euros.

Además de la sanción económica, la AEPD también ha impuesto a la comunidad medidas correctivas a llevar a cabo para poner fin al incumplimiento de la legislación de protección de datos personales, concretamente ha ordenado a la comunidad de propietarios a retirar el acta de la vitrina y que acredite que “no se colocarán, a la vista de propietarios y terceros que acceden a las viviendas, actas de Junta de Propietarios, salvo en los casos que señala la Ley de Propiedad Horizontal”.

La comunidad recurrió la resolución sin éxito

La comunidad de propietarios sancionada recurrió la resolución de la AEPD, mediante recurso de reposición, mostrando su disconformidad con la misma. No obstante, el recurso ha sido desestimado por haber sido interpuesto una vez superado el plazo establecido legalmente para ello.

Pues el artículo 124 de la LPACAP establece que “el plazo para la interposición del recurso de reposición será de un mes» y en el presente caso, la resolución de la Presidencia de la Agencia Española de Protección de Datos fue dictada y notificada a la comunidad el 19 de marzo de este año y el recurso de reposición se interpuso el 23 de abril. En consecuencia, la AEPD ha inadmitido el recurso por extemporáneo.

Fuente: https://www.economistjurist.es/

El Supremo aclara que el permiso por hospitalización se extingue con el alta médica, aunque sea antes de los cinco días

/en

Se trata de evitar que el permiso pueda destinarse a fines espurios, como disfrutar de unos días de asueto cuando el pariente enfermo ya está curado o incluso trabajando

El Supremo aclara que el permiso por hospitalización se extingue con el alta médica, aunque sea antes de los cinco días

El Supremo aclara que el permiso por hospitalización se extingue con el alta médica, aunque sea antes de los cinco días

La Sala de lo Social del Tribunal Supremo, en una sentencia de 6 de mayo de 2025, aclara que el permiso por hospitalización se extingue con el alta médica, aunque sea antes de los 5 días

Alta hospitalaria y alta médica no son conceptos equivalentes a los efectos del permiso para el cuidado de familiares, que sí se puede disfrutar después del alta hospitalaria siempre que el familiar no esté curado.

Entenderlo de otro modo haría perder sentido a la posibilidad del fraccionamiento del disfrute de este permiso pues no podría disfrutarse después del alta médica. En la medida en que el ingreso hospitalario puede prolongarse en el tiempo, y una vez cursada el alta hospitalaria sin alta médica, el cuidado del paciente en su domicilio durante la convalecencia también puede prolongarse, de ahí que el trabajador que disfruta de ese permiso pueda fraccionarlo y cuidar de su familiar tanto en el hospital como en su domicilio, siempre que no se haya cursado el alta médica.

Pero lo que no es posible es disfrutar del permiso una vez que el familiar esté curado, es decir, tras el alta médica porque entonces se estaría disfrutando de un permiso carente de justificación. No tiene sentido que el cuidador siga disfrutando del permiso de cinco días mientras que el familiar se ha reincorporado al trabajo, -subraya la Sala-.

Alta médica, alta hospitalaria

En el caso, se cuestiona que la norma colectiva instaura un permiso de cinco días de hospitalización o enfermedad grave de parientes, que se puede disfrutar fraccionadamente, norma convencional que obliga a distinguir como se ha visto, entre el alta hospitalaria y el alta médica porque aquella no conlleva de forma automática la finalización del permiso, si no va acompañada del alta médica. El alta hospitalaria significa que el paciente ya no necesita estar ingresado en el centro hospitalario, pero no excluye que precise cuidados en su domicilio y tratamiento ambulatorio.

Y en aras a evitar que el permiso pueda destinarse a fines espurios, – como disfrutar de unos días de asueto cuando el pariente enfermo ya está curado o incluso trabajando-, es por lo que la clave no radica en el alta hospitalaria, que por sí sola no excluye los cuidados del pariente, sino en el alta médica porque es el hito que evidencia que ha desaparecido la razón última del permiso, justificado por la situación enfermedad del familiar.

El Supremo aclara que el permiso por hospitalización se extingue con el alta médica, aunque sea antes de los cinco días

El Supremo aclara que el permiso por hospitalización se extingue con el alta médica, aunque sea antes de los cinco días

Normalmente, el alta hospitalaria no va acompañada del alta médica. La atención sanitaria suele continuar en el domicilio del paciente, pero cuando además del alta hospitalaria, se cursa el alta médica antes de que transcurra el plazo máximo de cinco días, su justificación, consistente en cuidar del pariente hospitalizado, desaparece.

Tras esta delimitación, el Supremo estima la demanda de conflicto colectivo y declara el derecho de los trabajadores a disfrutar del permiso de cinco días establecido en Convenio colectivo de la empresa en los supuestos de hospitalización o enfermedad grave del cónyuge o parientes hasta el segundo grado de consanguinidad o afinidad, previo aviso y posterior justificación de la hospitalización, sin perjuicio de que pueda extinguirse ese derecho, antes de que llegue su plazo máximo, por el alta médica del cónyuge o pariente.

Fuente: https://noticias.juridicas.com

La aseguradora no deberá indemnizar al asegurado cuando este oculte información relevante, aunque no se le pregunte ni figure en el formulario

/en

El hombre no puso que padecía un mutación genética porque en el cuestionario no se preguntaba específicamente sobre eso

El Tribunal Supremo ha dictado una sentencia (disponible en el botón ‘descargar resolución’) que resuelve un recurso de casación contra la sentencia de la Audiencia Provincial de Valladolid, que desestimó una demanda contra una compañía de seguros.

En el presente caso enjuiciado las partes —aseguradora y asegurado— suscribieron en el año 2011 un contrato de seguro de vida con coberturas de fallecimiento e incapacidad permanente.

En el cuestionario de salud el asegurado no declaró que padecía síndrome de Lynch, una mutación genética que le hacía propenso a padecer tumores cancerosos.

La disputa llegó cuando a los pocos años de haber suscrito el seguro, en el 2016, el asegurado reclamó a la aseguradora el pago de 12.000 euros después de que fuera declarado en situación de incapacidad absoluta. La aseguradora, por su parte se negó a realizar dicho pago alegando que se había ocultado información relevante sobre el estado de salud.

La aseguradora no deberá indemnizar al asegurado cuando este oculte información relevante, aunque no se le pregunte ni figure en el formulario

La aseguradora no deberá indemnizar al asegurado cuando este oculte información relevante, aunque no se le pregunte ni figure en el formulario

Doctrina del Tribunal Supremo

El caso llegó a los tribunales y el pasado 9 de mayo la Sala de lo Civil del Tribunal Supremo puso fin a la disputa al fallar a favor de la aseguradora.

El Alto Tribunal reitera su doctrina sobre el deber de declaración del riesgo en el contrato de seguro, que se basa en dos principios: el primero, el tomador del seguro tiene el deber de declarar al asegurador todas las circunstancias por él conocidas que puedan influir en la valoración del riesgo; y, el segundo, que la omisión o inexactitud en la declaración del riesgo puede dar lugar a la rescisión del contrato o a la reducción proporcional de la prestación.

Aplicando tal doctrina al caso ahora enjuiciado, la Sala considera que el asegurado incumplió el deber de declaración del riesgo al ocultar información sobre la mutación genética, que era relevante para la valoración del riesgo.

Y aunque el cuestionario no preguntaba específicamente sobre mutaciones genéticas, el asegurado sabía que padecía una condición que le hacía propenso a padecer enfermedades cancerosas, y aun sabiéndolo no lo declaró. En consecuencia, se deniega el pago de la cantidad reclamada.

El Supremo además ha impuesto al asegurado las costas causadas por el recurso de casación, y ha ordenado la pérdida del depósito constituido para su formulación.

Esta sentencia destaca la importancia de la buena fe en la contratación de seguros y la obligación del asegurado de declarar circunstancias relevantes que puedan influir en la valoración del riesgo, aunque no se le pregunte específicamente sobre ellas.

Fuente: https://www.economistjurist.es/