BBVA debe devolver miles de euros a víctima de falsa inversión en criptomonedas

Un juzgado de Barcelona condenó al BBVA en una demanda hecha por una clienta, a la que robaron dinero de su cuenta bancaria mediante un hackeo tras caer en una estafa online de inversión en criptomonedas. La sentencia fue comunicada por la cooperativa de abogados Col·lectiu Ronda el 15 de diciembre.

La justicia ordenó al banco a devolver a la víctima los 31.000 euros sustraídos de sus ahorros y obligó a anular un préstamo por un importe de 11.000 euros contratado, sin autorización, por los ciberdelincuentes.

Con la declaración de nulidad del préstamo, la misma libera a la clienta de la deuda contraída por los ciberdelincuentes y exige al BBVA a devolver todas las cuotas ya abonadas por la clienta durante el proceso judicial, con los intereses legales correspondientes.

El dictamen contra el BBVA toma lugar a casi dos años del incidente, el cual comenzó en marzo de 2024.

En aquel momento, la víctima recibió un mensaje a través de redes sociales que le ofrecía la posibilidad de realizar una inversión en criptomonedas uniéndose a una plataforma de inversores. Confiando en la propuesta, decidió invertir 250 euros y siguió las instrucciones de los traders detrás de la propuesta para instalar el programa AnyDesk.

A través de AnyDesk, los ciberdelincuentes introdujeron un programa malicioso que les permitió tomar el control remoto de su dispositivo, incluido el acceso a sus credenciales bancarias.

A partir de ahí, entre el 18 y el 29 de abril de 2024, los hackers operaron con total libertad sobre diversas cuentas de la clienta y llegaron a sustraer el saldo y préstamo mencionados a través de 8 operaciones bancarias no autorizadas en el BBVA.

El BBVA incumplió su deber de prevención de riesgo, alega la sentencia

El Juzgado indicó que, según el Real Decreto-ley 19/2018 sobre servicios de pago, la regla general es que el banco está obligado a devolver de manera inmediata el importe de cualquier operación de pago no autorizada, salvo que acredite que el cliente actuó con dolo o negligencia grave en la custodia de sus credenciales.

Tomado ello en cuenta, el magistrado destacó que la clienta no entregó voluntariamente sus claves, sino que estas se consiguieron mediante un software malicioso tras instalar un programa por la falsa promesa de inversión. Esta actuación, añade la resolución, solo puede calificarse como imprudencia leve y no permite «apreciar una falta grave de custodia de las credenciales».

La sentencia pone el acento en el incumplimiento del deber de vigilancia y prevención del riesgo por parte del BBVA, recordando que la legislación establece que es obligación de los bancos «facilitar un sistema de banca telemática segura» y, con ese objetivo, dotarse de «sistemas de seguridad que permitan detectar las transferencias y disposiciones no autorizadas».

Atendiendo a este criterio, el juzgado resaltó que en el caso existían numerosos indicios que deberían haber activado los protocolos internos de la entidad de detección del fraude y prevención del blanqueo de capitales.

Entre ellos, distingue el elevado importe de las transferencias en un breve lapso de tiempo; el destino de las mismas (Malta, «un país sospechoso de ser un paraíso fiscal); la empresa destinataria (Openpayd, que era “susceptible de blanqueo de capitales”), la contratación de un préstamo desviado de forma inmediata a cuentas corrientes situadas en el extranjero, así como la realización de operaciones desde una IP y un dispositivo distintos de los habituales.

Tales movimientos, por ser inusuales según el historial de la clienta, «deberían haber sido detectadas como anómalas», subraya. Sin embargo, el BBVA no contactó con su clienta para confirmar la autenticidad de las operaciones ni envió ningún aviso preventivo por SMS, correo electrónico o llamada. Fue un familiar quien, al revisar la cuenta bancaria, alertó a la víctima de lo que estaba sucediendo.

Se marca precedente para víctimas de estafas con criptomonedas

La definición del Juzgado marca un precedente relevante para víctimas de estafas digitales y falsas inversiones en activos como criptomonedas. Algo que celebró el despacho Col·lectiu Ronda, que representó a la demandante.

«La resolución se suma a una serie cada vez más amplia de decisiones judiciales que refuerzan la responsabilidad de las entidades financieras ante operaciones no autorizadas en entornos digitales, especialmente cuando se utilizan técnicas sofisticadas como la introducción de malware para facilitar el control remoto de dispositivos», agregó.

Afortunadamente, los juzgados son conscientes de que la creciente sofisticación de las técnicas empleadas por los delincuentes informáticos favorece que cualquiera de nosotros pueda acabar siendo víctima de una estafa, ya sea en forma de phishing clásico o, cada vez con mayor frecuencia, de estafas relacionadas con falsas inversiones. Al contrario de lo que casi siempre manifiestan los bancos, los estafadores no necesitan una negligencia especialmente grave de la víctima para poder actuar.

Óscar Serrano, abogado de Col·lectiu Ronda responsable de la demanda.

No obstante, el abogado lamenta que todavía hoy mucha gente que cayó en estafas los visita «con un gran sentimiento de vergüenza, como si lo sucedido hubiera sido culpa suya». «Eso hace que sean muchas las personas que no confían o renuncian a ejercer los derechos que la legislación les reconoce», dijo.

En este sentido, Serrano dio un mensaje contundente de concientización a la población: «Son los bancos quienes deben demostrar que han cumplido de forma suficiente con su deber de diligencia y protección».

Este suceso llega, al mismo tiempo, que sigue avanzando el registro de plataformas que pueden ofrecer criptomonedas en España, una iniciativa bajo el marco europeo que da regulación al sector.