Alguien mandó 25 Bizums con su cuenta y el banco ha sido condenado a pagarle

Tras perder casi 4.000 euros de su cuenta bancaria sin ningún tipo de conocimiento de ello, el cliente de Unicaja al que le aparecieron 25 transferencias de Bizum por arte de magia, ha ganado la batalla. Ahora las autoridades han obligado a que el banco acepte su responsabilidad y que le devuelva hasta el último céntimo de lo estafado. Esta victoria para el ciudadano se convierte en un importante punto de inflexión que hará que los bancos refuercen sus sistemas de seguridad.

Cuando el protagonista de la noticia descubrió el 20 de junio de 2022 que habían desaparecido 3.940 euros de su cuenta de Unicaja, posiblemente se desesperó. ¿Qué había ocurrido? Comprobó los movimientos y descubrió que había 25 operaciones de Bizum de las que él no tenía ninguna constancia. Pero Unicaja, en vez de ayudarle, luchó con uñas y dientes para intentar librarse de devolver el dinero. Al final, no lo han conseguido y han condenado al banco.

Un grave problema de seguridad

El comportamiento del cliente de Unicaja fue ejemplar y sirve como ejemplo a seguir por cualquier persona que se encuentre en una situación similar. Lo que hizo, al descubrir lo que había pasado, fue reclamar al banco la cantidad robada para que se la devolvieran y que todo volviera a la normalidad. Esto lo hizo amparándose en la Ley de Servicios de Pago 19/18, argumentando que el banco no había aplicado las medidas de seguridad obligatorias para asegurarse de que, realmente, era él quien estaba usando Bizum en su cuenta.

Entre las normas a las que están obligados los bancos, como en este caso Unicaja, se incluye el que realicen la correcta autentificación de todas las operaciones que se lleven a cabo. Como era de imaginar, la entidad bancaria no había aplicado los métodos necesarios para ello y eso había derivado en que se cometiera el incidente. La respuesta del banco, no obstante, no tardó en llegar. Ellos argumentaron que habían aplicado todos las medidas de seguridad obligatorias y que cumplieron con lo establecido en la normativa. No solo eso, sino que contraatacaron explicando que, si se había llegado a producir un fraude en esas 25 operaciones, el culpable habría sido el usuario por actuar de una manera negligente.

La justicia le da la razón al usuario

Las operaciones de Bizum tienen un funcionamiento sencillo. Se llevan a cabo entre dos móviles y los bancos deben autorizar los movimientos de dinero para que se realicen de manera segura. Así, Unicaja estaba en la obligación de tener completa seguridad de que la identidad de la persona que estaba haciendo los envíos de dinero era el propietario de la cuenta y no un estafador. Pero no lo hizo.

El atacante, que utilizó una técnica de phishing para ocupar la identidad del usuario, se salió con la suya porque no se implementaron los métodos de verificación que tendrían que haberse realizado. A día de hoy las autoridades no han conseguido descubrir quién se llevó el dinero, puesto que en este tipo de aplicaciones es difícil seguir el rastro. Lo que sí se ha podido comprobar es que Unicaja falló en los procesos de identificación, posiblemente porque el atacante hizo uso de una cadena de operaciones que el banco no llegó a supervisar en su totalidad. Según las pruebas presentadas, del total de operaciones que se emitieron ese día, solo siete de los SMS enviados como sistema de identificación tenían claves de seguridad que habría que introducir para verificar los pagos. Todos los demás SMS estaban vacíos y permitían las transferencias de dinero sin ningún tipo de comprobación.

Para complicarlo todavía más y demostrar que el sistema informático de Unicaja era defectuoso, en la investigación se pudo comprobar cómo en los extractos no aparecía la hora en la que se realizaron las operaciones. Además, las cantidades que se indicaban en los mensajes eran distintas a las que se transfirieron por Bizum. Todas estas irregularidades llevaron a confirmar a las autoridades que la plataforma de Unicaja no estaba preparada a nivel de seguridad para gestionar este tipo de operaciones.

Un final feliz

El cliente de Unicaja ha recuperado su dinero y también ha obtenido todos los intereses legales según lo establecido por la ley. No solo eso, sino que el banco también es el responsable del pago de las costas procesales. La situación no debería haber sorprendido a los ejecutivos de la entidad bancaria, puesto que la Ley de Servicios de Pago que se ha utilizado como defensa en este caso, cuenta con unas bases que se establecieron en el año 1988. Son aplicables en distintos contextos y eso también incluye la seguridad en el uso de aplicaciones como Bizum o en el uso de tarjetas virtuales para compras online.

Lo sucedido, como decíamos, posiblemente ayudará a que tanto Unicaja, que sigue aceptando Bizum tal y como puedes ver en la imagen en esta noticia, como otros bancos, refuercen sus sistemas de seguridad para no volver a encontrarse en este tipo de situación. Y si alguien sufre uno de estos robos, al menos sabe que hay un precedente en el que todo acabó bien.

Fuente: adslzone