La Audiencia Provincial de Badajoz ha confirmado la condena a Unicaja Banco por no garantizar la seguridad de una usuaria que fue víctima de un fraude a través de phishing. La sentencia, dictada por la Sección Segunda del tribunal y firmada por el magistrado Luis Romualdo Hernández Díaz-Ambrona el 14 de febrero de 2025, ratifica la resolución inicial del Juzgado de Primera Instancia número 1 de Badajoz, que reconoció la responsabilidad de la entidad bancaria en el perjuicio financiero sufrido por la clienta María Ángeles.
La controversia surgió a raíz de un incidente ocurrido en febrero de 2022, cuando María Ángeles recibió un mensaje de texto, aparentemente legítimo, que se presentaba como enviado por Unicaja Banco. En el mensaje se indicaba que su tarjeta sería bloqueada si no activaba un nuevo sistema de seguridad a través de un enlace. Tras acceder al enlace e introducir sus claves, se extrajeron ilícitamente 3.441,20 euros de su cuenta.
En este contexto, la denuncia fue presentada por la clienta, quien sostuvo que el fraude se basó en una estrategia diseñada para engañar a los consumidores, manipulándolos con mensajes que parecían auténticos. María Ángeles alegó que actuó bajo la apariencia de confianza que le inspiraba el supuesto remitente del mensaje: la entidad bancaria con la que había contratado el servicio de cuenta corriente.
El Juzgado de Primera Instancia de Badajoz, mediante sentencia de abril de 2023, dio la razón a la demandante al considerar que el banco incumplió sus deberes de diligencia y prevención de fraudes, condenándolo a indemnizarla con el valor del monto estafado, más los intereses legales y las costas procesales.
Unicaja culpa a la clienta
Unicaja Banco, por su parte, recurrió esta decisión ante la Audiencia Provincial, argumentando principalmente que la responsabilidad recaía exclusivamente en el cliente, al haber compartido sus claves de seguridad de forma voluntaria. En el recurso, la entidad alegó que María Ángeles no adoptó las medidas necesarias para proteger sus credenciales y calificó su conducta como negligencia.
Sin embargo, el tribunal de apelación no aceptó estos argumentos. En su sentencia, destacó que, aunque el uso de contraseñas robustas y la protección de credenciales son una obligación impuesta a los clientes por la normativa vigente sobre servicios de pago (Real Decreto-ley 19/2018), estas disposiciones no eximen a las entidades financieras de su responsabilidad en garantizar la seguridad de las transacciones digitales.
La Audiencia Provincial señaló que la banca digital, pese a los beneficios que genera, implica también riesgos de fraudes que las entidades deben mitigar mediante sistemas avanzados de protección tecnológica. La sentencia resalta que el crecimiento económico de los bancos, impulsado por la digitalización, no puede desvincularse de la responsabilidad que tienen en cuidar los ahorros de los clientes a través de medidas eficaces de seguridad.
Sobre el caso específico de María Ángeles, la Audiencia subrayó que el fraude no podía atribuírsele como una negligencia grave. El tribunal destacó que el enlace y el mensaje recibido estaban diseñados para parecer auténticos, dificultando que un consumidor promedio, sin conocimientos técnicos profundos, detectara que se trataba de una estafa. Además, puntualizó que el banco no probó que la clienta hubiera actuado con negligencia grave ni demostró haber tomado medidas suficientes para prevenir este tipo de fraudes.
En la resolución, el tribunal recalca que no se puede equiparar la posición del cliente con la de la entidad financiera en casos de fraude digital. “El riesgo inherente a los servicios de banca digital debe ser asumido por quienes los ofrecen, salvo en casos de negligencia manifiesta, que no se aprecia aquí”, se lee en los fundamentos de derecho. Asimismo, el fallo recuerda que los bancos no pueden limitarse únicamente a advertir del riesgo de fraudes con mensajes genéricos, sino que tienen la obligación de implementar herramientas sofisticadas que garanticen la autenticidad y seguridad de cada transacción.
Por lo tanto, la Audiencia Provincial desestimó el recurso de apelación interpuesto por Unicaja Banco, confirmando la sentencia de instancia y ratificando la indemnización a favor de María Ángeles. Además, impuso las costas procesales de segunda instancia a la entidad bancaria y declaró perdido el depósito constituido por esta para recurrir.
Esta decisión no admite recurso ordinario, por lo que la sentencia queda en firme, reiterando la importancia de la responsabilidad de los bancos frente a fraudes en el entorno digital y devolviendo la tranquilidad financiera a la clienta afectada.
