Los tribunales asturianos fallan a favor de los clientes de Unicaja estafados por hackers durante la fusión con Liberbank
El proceso de fusión de Liberbank y Unicaja Banco ha sido un caldo de cultivo idóneo para los piratas informáticos. En Asturias, cientos de víctimas cayeron en la trampa de los 'hackers', que aprovecharon la fuga de datos sensibles de los clientes, ante la brecha detectada en materia de seguridad, para acceder a sus números de cuenta y apropiarse de sus ahorros mediante el engaño.
Muchos de estos clientes se han integrado en una plataforma de afectados por el ciberataque a Unicaja Banco. Las víctimas llegaron a tener abierta una cuenta en Telegram pero también fue atacada y tuvieron que cerrarla.
Una de las clientes afectadas por el fraude en Asturias ha sido Carmen García Sánchez, que pertenece a esta plataforma y ha fundado un grupo de WhatsApp donde se agrupan muchas de estas víctimas que, como ella, han recurrido a los tribunales para recuperar el dinero estafado que, por término medio, oscila entre 2.000 y 10.000 euros.
“He tardado dos años en recuperar mi dinero”
Carmen ha relatado a eldiario.es Asturias su mala experiencia con “el banco de toda la vida”, en el que permaneció como cliente durante más de 50 años, hasta que la dejó “abandonada” cuando acudió a la central de la entidad para exponer su caso y reclamar el dinero estafado.
Para ella, la parte más amarga ha sido constatar el mal trato que, según sostiene, ha recibido por parte de la entidad bancaria: “Perdí mi dinero. He tardado dos años en recuperarlo y me trataron como si yo fuera idiota por haberme dejado engañar”, se queja.
Carmen tiene 67 años y es una trabajadora social jubilada. Su primer contacto con la entidad bancaria fue cuando tenía 13 ó 14 años y su madre la inscribió en su cartilla de ahorros en la que regularmente le ingresaba cantidades de dinero. Ella permaneció fiel en todas las nomenclaturas anteriores a Unicaja Banco: como Caja de Ahorros de Asturias, Cajastur y no cambió de entidad bancaria cuando pasó a ser Liberbank.
Su pesadilla comenzó el 22 de julio de 2022. Ese día, sobre las diez y media de la mañana, estaba en su casa cuando recibió un sms en su teléfono móvil y en su pantalla salió reflejado el nombre de su entidad bancaria.
Un enlace a la web aparentemente seguro
“El sms era una alerta de que había un nuevo dispositivo telefónico que se había enlazado a mi cuenta desde Ibiza y avisaba de que si no lo reconocía debía acceder a un enlace que me facilitaba”, expone.
El enlace aparentemente parecía seguro porque, según explica, contaba con un protocolo de seguridad https:// y, tras pinchar en él, la dirigió hacia una página web que estaba tan perfeccionada que no le suscitó recelo alguno.
Seguidamente le llegó otro mensaje avisando de que en breve se pondrían en contacto con ella a través del teléfono para que lo confirmara. Poco después, un supuesto empleado, del que destaca “su gran amabilidad”, le facilitó un código en la misma línea del banco que en teoría era para cancelar la operación si no reconocía que era suya.
Al acceder a la aplicación se percató de que ese mismo día se había realizado una transferencia por importe de 2.000 euros que el falso agente le dijo que era a Irlanda a nombre de Yessibeth Adanys Brin Casiano, a quien no conocía.
“Me empecé a poner nerviosa porque no había vinculado ese teléfono, ni quería hacer una transferencia internacional”, ratifica. El falso empleado le intentó tranquilizar asegurando que lo iba a arreglar, que el dinero estaba retenido hasta comprobar los datos y le avisó que le iba a enviar un código para anular la operación.
“Cuando le advertí que no veía más que el cargo me dijo que estaba realizando la operación, que tenía que colgar el teléfono y me llamaría de nuevo, pero no llamó. Desde ese momento yo no hacía más que entrar y salir de la aplicación del móvil y ya me di cuenta que me la habían colado”, comenta.
“En el banco me repetían que la culpa había sido mía”
Su primera reacción fue dirigirse a su banco, pero ni por teléfono ni en persona le hicieron caso. Primero acudió a su sucursal, ubicada en la calle Río San Pedro, en Oviedo. Era un viernes y estaba cerrado. Llamó a Atención al Cliente, pero la gestión fue infructuosa.
Más decepcionante para ella fue personarse en la sede central, en la Plaza de la Escandalera, y comprobar que en vez de tranquilizarla, la culpabilizaban de haberse dejado engañar y eludían cualquier responsabilidad en el dinero sustraído de su cuenta.
“Yo pensaba que era imposible que me hubieran timado si había hablado con un chico muy atento y amable que decía que era de Liberbank, que sabía todos mis datos. Pero en la oficina central me repetían que la culpa había sido mía y que no hubiera pinchado en el enlace”, asegura.
Carmen contó su caso en Atención al Cliente y cuando pidió una copia de la reclamación la remitieron a que descargara e imprimiera un impreso por internet. “Daban por hecho hasta que tuviera una impresora en mi casa”, apostilla.
Dice que tampoco la quisieron entregar una hoja de reclamaciones cuando la solicitó para presentar formalmente una queja: “Decían que no tenían. Todo eran inconvenientes”, lamenta.
Ante la imposibilidad de llegar a acuerdo alguno con la entidad, Carmen decidió denunciar los hechos ante la Policía Nacional y su sorpresa fue mayúscula cuando oyó a los agentes decir que ella no era la única que esa misma mañana había sido víctima de una estafa en nombre de la misma entidad bancaria.
“Los dos agentes me reconocieron que habían formalizado ya diez u once denuncias iguales. Yo no entendía -continúa- cómo podía ser posible que desde el banco no advirtieran a los clientes y que tampoco se hicieran cargo de una estafa de unas personas que están suplantando su identidad”.
Era imposible no caer en la estafa porque el mensaje me llegó por la misma línea del banco por la que me mandaban todos los códigos para hacer las operaciones y siempre me fijo en que el enlace donde pincho en internet sea un entorno seguro
La sensación de que había sido demasiado confiada la abrumaba. “En el banco me hicieron sentir como si yo fuera una imbécil, una pardilla que no se enteraba de nada. Era imposible no caer en la estafa porque el mensaje me llegó por la misma línea por la que me mandaban siempre todos los códigos para hacer las operaciones y siempre me fijo en que el enlace donde pincho en internet sea un entorno seguro”, incide.
“No soy ninguna pardilla y me manejo perfectamente en internet. Sufrí una estafa por una suplantación de identidad del banco y a través de él me han robado a mí. Esperé un tiempo prudencial -prosigue- para ver si mi banco respondía pero no me contestaron. Estaba muy agobiada cuando encontré por internet que había una plataforma de afectados de Unicaja y ahí fue cuando descubrí que esto era una bola tremenda que crecía cada día y nadie se responsabilizaba de nada”.
El dinero de la pensión, el máster o de la dependencia
“Las estafas han sido variadas. Hay gente que ni siquiera abrió la app, ni dio el código para desbloquear nada. Gente a la que le estafaron a través de Bizum, por tarjetas de crédito o desde las cuentas corrientes, como en mi caso”, señala.
Entre los casos que más le han impactado estaba el de una estudiante a la que los piratas informáticos estafaron los 4.000 euros que su familia le había ingresado en su cuenta para realizar un máster y el de un inquilino al que sustrajeron los 500 euros que tenía para pagar el alquiler y al que además le dejaron a deber otros 500.
“También hay víctimas que cobran pensiones mínimas y tienen a su cargo a personas discapacitadas y a las que les entraron en su cuenta y se la dejaron a cero. Lo peor de todo -asegura- es que también hay casos en los que además de llevarles todo el dinero, les dejan sin saldo y a algunos incluso el banco tiene el valor de cobrarles intereses por la deuda”.
Carmen ha podido recuperar los 2.000 euros que le estafaron pero dice que los daños morales no se los paga nadie.
“Yo gestiono la cuenta de una persona dependiente y durante mucho tiempo tenía mucho miedo a que me sacaran su dinero. Llegué a entrar en pánico, no dormía y estuve angustiada hasta que encontré la plataforma y empecé a serenarme”, describe.
Algunos miembros de la plataforma recibieron ofertas de negociación de la entidad bancaria que oscilaban entre 50 y 80 por ciento, aunque con ella no llegaron ni a plantearlo.
Carmen aconseja a todas las víctimas que acudan directamente al juzgado y no pierdan el tiempo con reclamaciones a la entidad bancaria, ante su falta de respuesta.
Las cláusula bancarias sobre la detección de fraudes
En su pleito contó con el asesoramiento profesional del abogado José Luis León García, especializado en casos de 'phishing', que lleva ganadas más de una veintena de sentencias de clientes de toda España contra la entidad bancaria.
El letrado ha representado a clientes en una horquilla de edad entre 30 y 70 años y de todas las clases sociales y profesiones. Entre sus clientes figuran desde amas de casa a policías, guardias civiles, abogados e incluso informáticos, empleados y exempleados de la actual Unicaja.
Hay una falta de diligencia de la entidad bancaria. Es un hecho notorio que clientes de Unicaja Banco procedentes de varias provincias españolas han sido afectados por el ciberataque durante el proceso de fusión con Liberbank
En el caso de Carmen, argumentó que las cláusulas de su contrato con la entidad recogían expresamente que Liberbank disponía de un sistema de detección de fraude para la identificación rápida y efectiva de operaciones sospechosas o fraudulentas.
“En el caso de que estos sistemas detecten una operación que pueda resultar sospechosa de fraude o detecten un fraude real o amenaza para la seguridad, la cláusula indica que será la entidad quien se pondrá en contacto, a través de un medio seguro, con el cliente para confirmar la veracidad o el consentimiento real del cliente a la operación concreta y sospechosa. Adicionalmente, la entidad podrá enviar notificaciones informativas de operaciones relevantes o poco habituales”, recogía expresamente.
El letrado denunció la falta de diligencia de la entidad demandada y argumentó que era “un hecho notorio el que clientes de Unicaja Banco procedentes de varias provincias españolas hubieran sido afectadas por el ciberataque que sufrió esta entidad financiera durante el proceso de fusión con Liberbank”.
“Esto supuso -indicaba-que muchos de ellos vieran vaciadas sus cuentas por parte de piratas informáticos, que aprovecharon un fallo de seguridad durante dicha fusión para hacerse con sus credenciales de banca electrónica”.
Los tribunales descartan una negligencia de las víctimas
Los tribunales asturianos están fallando prácticamente en todas las demandas interpuestas contra la entidad bancaria a favor de los usuarios. Los juzgados han declarado la responsabilidad de la entidad bancaria por no haber implementado las medidas de seguridad tras detectar los métodos fraudulentos de los piratas informáticos y al no haberles informado con la suficiente antelación de la operación de cambio de plataformas para que ellos mismos adoptaran especiales medidas de protección.
Los jueces condenan al banco por no implementar medidas de seguridad tras detectar los métodos fraudulentos y no haber informado a los clientes con la suficiente antelación de la operación de cambio de plataformas para que adoptaran medidas de precaución
Asimismo, las sentencias están recogiendo expresamente que la estafa conocida como 'phising' es “de una complejidad y grado de perfección difícilmente detectable por los clientes”, por lo que no se les puede exigir que tengan conocimientos para detectar el engaño urdido por los 'hackers'.
Los titulares de los juzgados de Primera Instancia e Instrucción número 2 de Laviana, número 1 de Langreo, número 4 de Siero y los juzgados de primera instancia número 4 de Oviedo y número 7 de Gijón, por citar sólo algunos ejemplos de la veintena de casos ganados por el letrado José Luis León, han descartado que las propias víctimas sean las responsables de haber sido engañadas por haber facilitado las claves de sus cuentas como alegaba la entidad bancaria al oponerse a las demandas.
Los casos dirimidos han sido variados, pero tienen el denominador común que en todos ellos responsabilizan directamente a la entidad bancaria de falta de información a los clientes y descartan cualquier tipo de negligencia por parte de las víctimas.
El juzgado de Laviana destaca la perfección del 'phising'
Así, el Juzgado de Primera Instancia e Instrucción número 2 de Laviana condenó a Unicaja Banco S.A. a indemnizar a Pilar P.M. por los daños y perjuicios ocasionados al ser víctima de estafa en la modalidad de 'phishing' o 'smishing' (cuando se realiza a través de SMS) “como consecuencia de una brecha de seguridad en los servicios de pago y gestión online de la entidad”, señala el fallo que obliga a reintegrarle los 2.000 euros que le sustrajeron los piratas informáticos.
El fallo considera acreditada la relación contractual entre las partes, así como el perjuicio financiero derivado de la transferencia fraudulenta. Además, rechaza un comportamiento negligente de la víctima, como había alegado el banco.
El juzgado reconoce que el 'phising' es “de una complejidad y grado de perfección difícilmente detectable por un cliente medio” de las características de la perjudicada.
La sentencia refleja también que es “notorio y público, al haber aparecido en medios de comunicación, que la entidad bancaria había sufrido muchos casos similares desde meses antes del caso enjuiciado, probablemente producidos tras la fusión de entidades bancarias, pese a lo cual -añade el juzgado- no consta que implementara especiales medidas de seguridad a fin de impedir hechos similares”. El fallo es firme y contra el mismo no cabe recurso.
Una falsa transferencia desde Alemania
La reclamación de Cristina S.P. llegó hasta el Juzgado de Primera Instancia e Instrucción número 1 de Langreo. En su caso, estaba como titular en dos cuentas propias y en calidad de autorizada en otras dos a nombre de su pareja. Los piratas informáticos contactaron con ella alegando que tenía movimientos inusuales por unas supuestas compras en Alemania por valor de 4.000 euros y le pedían que siguiera unos pasos para cancelar la operación.
Cuando ella revisó sus cuentas y las de su pareja comprobó que tenía tres transferencias no consentidas de 2.000 euros cada una de ellas, así como dos cargos a través de Bizum por valor de 500 y 300 euros por un supuesto alquiler de coche y dos extracciones en un cajero de Unicaja de Cádiz de 100 y 500 euros respectivamente.
Cristina reaccionó con rapidez y llamó a la entidad bancaria desde el teléfono móvil de su padre, por lo que un empleado bloqueó las cuentas, momento en que el 'hacker' terminó repentinamente la llamada.
El juzgado asumió las alegaciones del abogado José Luis León y atribuyó estas operaciones fraudulentas “a un jaqueo informático a la entidad” y al igual que en el caso de Laviana, declaró que era “notorio y así ha sido publicado en prensa y plataformas de defensa de consumidores y usuarios que, con motivo de la fusión de Liberbank y Unicaja y sus plataformas de banca online, se ha producido un fraude informático que ha afectado a miles de usuarios”.
También aludía en esta sentencia a la falta de información por parte de la entidad bancaria a la cliente para que adoptara especiales medidas de precaución y, por tanto, se le ha concedido los 2.300 euros que reclamaba.
Otros dos casos similares en Gijón y Siero
Los juzgados de Gijón y Siero se han pronunciado en términos similares. En el caso de Siero, el juzgado ha condenado a Unicaja Banco a reintegrar al cliente Javier G.G. los 6.000 euros sustraídos de su cuenta durante el ciberataque del que fue también otra víctima.
En el caso de Gijón, María Dolores A.G. también ha visto reconocido su derecho a recibir, por parte de Unicaja Banco, los 3.000 euros que le sustrajeron de forma fraudulenta de su cuenta y los 2.000 euros de la cuenta de su hijo menor de edad que ella administraba.
En la sentencia se señala que madre e hijo fueron víctimas de un “engaño urdido y tramado por terceras personas” que falsificaron una web similar a la del banco y que éste deberá hacerse cargo de la reposición de los 5.000 euros que les extrajeron de la cuenta durante el ciberataque.
1