Cayó en un timo del falso SMS de Correos, pero ha logrado que su banco le devuelva los 2.490 euros que perdió. Esta es la razón

Todo comenzó con un SMS aparentemente inofensivo que simulaba proceder de Correos, en el que se le solicitaba a la protagonista de nuestra historia el pago de una ínfima cantidad (0,01 €) para recibir un supuesto paquete.

Al pulsar el enlace, fue redirigida a una página web idéntica a la oficial de la empresa estatal de mensajería. Allí, sin sospechar que se trataba de un fraude, introdujo sus datos personales y bancarios.

En pocas horas, su cuenta bancaria registró 29 cargos no autorizados por un total de 2.490 euros, ejecutados en plataformas extranjeras como Revolut, Betfair y DB Vertrieb GmbH.

La reacción del banco y la decisión judicial

La mujer denunció los hechos y reclamó a su banco, ING, el reembolso de los fondos sustraídos. Sin embargo, la entidad bancaria se negó a devolverle el dinero, argumentando que la clienta había sido negligente al compartir sus datos y que todas las operaciones habían sido validadas haciendo uso de los sistemas habituales de autenticación, como el código SMS de un solo uso (OTP).

La batalla se trasladó a los tribunales. El caso fue juzgado por el Juzgado de Primera Instancia n.º 13 de Palma de Mallorca, donde el juez dictó una sentencia contundente a favor de la víctima: el banco debía devolver los 2.490 euros.

¿Por qué ganó la demanda?

La clave de esta sentencia radica en varios argumentos jurídicos sólidos:

1. No hubo negligencia grave por parte de la víctima

El juez concluyó que el engaño fue tan sofisticado que «superó los estándares de diligencia exigibles a un consumidor medio». La página fraudulenta tenía un aspecto casi indistinguible de la real, y el mensaje resultaba completamente creíble.

2. El banco no demostró que su sistema fuera seguro

ING no aportó pruebas de haber implementado mecanismos tecnológicos eficaces para detectar y evitar fraudes como el phishing. Tampoco justificó por qué no se bloquearon 29 operaciones sospechosas en un corto lapso de tiempo. De hecho, el banco se limitó a mostrar correos informativos genéricos sobre phishing, sin evidencias de mecanismos tecnológicos concretos para prevenir el fraude.

3. Las operaciones no estaban debidamente autenticadas

Aunque las transacciones usaron mecanismos de doble autenticación (OTP), la normativa europea exige no solo la autenticación técnica, sino también la comprobación de la identidad del usuario. En este caso, al haberse suplantado la identidad a través del engaño, no puede considerarse que las operaciones estuvieran autorizadas.

4. El banco tiene una responsabilidad cuasi objetiva

Según el Real Decreto-ley 19/2018 y la Directiva (UE) 2015/2366, las entidades bancarias son responsables de las operaciones fraudulentas, salvo que prueben que el cliente actuó con dolo o negligencia grave, lo cual ING no consiguió demostrar.

Un precedente importante

La sentencia es clara y marca un precedente relevante en la defensa de los derechos de usuarios de banca digital: la carga de proteger las operaciones no puede recaer exclusivamente sobre el consumidor. Las entidades financieras tienen el deber contractual y legal de implementar sistemas proactivos, no solo informar sobre riesgos.

Correos, por su parte, ha reiterado en múltiples ocasiones que nunca solicita datos sensibles por SMS o redes sociales, e insta a eliminar cualquier mensaje sospechoso de inmediato.

Imagen | Marcos Merino mediante IA

En Genbeta | Cómo denunciar fraudes en Internet y ciberestafas