FACUA.org Versión sólo texto  
Imprimir
Imprimir
FACUA.org - Madrid - 6 de septiembre de 2022

BBVA devuelve casi 29.000 euros a una víctima de 'smishing' tras la reclamación de FACUA

El usuario sufrió 39 cargos fraudulentos en 8 días y la única solución que le dio el banco al comunicar el fraude fue hacerle llegar una tarjeta "más segura".

FACUA Madrid ha conseguido que BBVA devuelva 28.802,35 euros a un cliente que fue víctima de una estafa a través de la técnica de smishing. Tras percatarse de que en apenas ocho días había recibido 39 cargos en su cuenta bancaria, el afectado se puso en contacto con su banco para advertirle de lo que estaba ocurriendo. La solución que le dieron fue enviarle a su domicilio una nueva tarjeta de crédito "más segura".

Julián Nieves Tabares, residente en Madrid, recibió el pasado 19 de abril un mensaje de texto en su teléfono móvil, aparentemente enviado por BBVA, en el que se le indicaba que su cuenta había sido suspendida temporalmente por motivos de seguridad y que debía de verificar su identidad a través de un enlace.

Tras pinchar en el mismo, se le redireccionó a una página web, visualmente idéntica a la del banco, en la que introdujo su nombre, apellidos y clave de acceso. Posteriormente se le notificó que recibiría en su correo electrónico la información necesaria para operar desde su teléfono móvil.

"A partir de ahí comencé a recibir decenas de cargos no autorizados en diferentes comercios", cuenta Julián. En concreto fueron 39 operaciones sin autorización entre el 26 de abril y el 4 de mayo. No fue hasta el 6 de mayo cuando, una vez revisada su cuenta, se percató de que estaba siendo víctima de una estafa.

Rápidamente contactó con el Servicio de Atención del Cliente de la entidad bancaria para exponerle lo ocurrido y solicitar que le reembolsaran el dinero. La única respuesta que obtuvo fue que le harían llegar una tarjeta sin numeración más segura, haciendo caso omiso al fraude que había sufrido.

Acude a FACUA tras ser desatendido por su banco

Por ello, Julián decidió acudir a FACUA Madrid para que ejerciera acciones en defensa de sus derechos. El equipo jurídico de la asociación se dirigió al Servicio de Atención al Cliente de BBVA para reclamarle que reembolsara a su cliente los 28.802,35 euros que le habían sustraído sin su permiso, pues a todas luces se trataba de una estafa.

En el escrito remitido a la entidad bancaria el 30 de mayo se recordaba que el artículo 36 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes, recoge que "las operaciones de pago se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución", circunstancia que no se había producido en este caso.

Del mismo modo, el artículo 45 establece que cuando se ejecute una orden de pago no autorizada, el banco debe devolver al cliente el importe de la operación: "el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada".

Finalmente, la entidad financiera ha atendido la petición de la asociación y ha procedido a devolver a Julián el importe que le habían sustraído. "Estoy agradecidísimo a FACUA, pues gracias a su intervención el banco me ha devuelto el dinero que me había sido sustraído mediante un fraude online", señala el afectado tras haber recibido ya en su cuenta el reembolso del dinero.

Los bancos están obligados a implementar una doble autenticación

Los bancos, en cuanto facilitadores de medios de pago electrónicos, están obligados a implementar la doble autenticación o autenticación reforzada, como establece el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes. Esta doble autenticación tampoco se produjo en el caso de este socio de FACUA Madrid.

Este es un mecanismo diseñado para reforzar la verificación de la identidad de usuarios que exige que el servicio de pago utilice al menos dos datos distintos, conocidos como "factores de autenticación". Estos factores se dividen en tres tipos, según el aspecto que se ponga en juego: conocimiento, en que se pregunta algo que solo el cliente sabe como una contraseña o PIN; posesión, donde se exige usar un objeto, como un teléfono móvil, e inherencia, el menos habitual, en que se usa algo inherente al cliente, como su huella dactilar o su rostro.