Hechos probados y postura del banco

Un Juzgado de Primera Instancia de Murcia condenó inicialmente a la entidad a indemnizar con 4.500 € a los titulares de una cuenta por varias transferencias ejecutadas sin su conocimiento ni consentimiento, tras infectarse su equipo con un virus troyano. El banco recurrió alegando que el malware se introdujo cuando uno de los clientes accedió a una web infectada para ver un partido de tenis, sosteniendo que, sin esa conducta, sus sistemas de seguridad no se habrían visto comprometidos. Sobre esa base, trató de trasladar la responsabilidad al usuario, invocando una supuesta negligencia que rompería el nexo causal del fraude.

Criterio de la Audiencia Provincial

La Audiencia rechaza el recurso y ratifica íntegramente la condena, subrayando que el hecho de que el virus troyano sea el instrumento técnico que ejecuta las transferencias no basta para exonerar al banco. El tribunal destaca que no ha quedado acreditado que los clientes actuaran con negligencia grave ni con intención fraudulenta, requisito imprescindible para que la entidad pueda liberarse de responsabilidad en materia de operaciones de pago no autorizadas. Al no haberse probado que la conducta de los usuarios fuera la causa determinante de la vulnerabilidad del sistema, la Sala concluye que es el banco quien debe asumir el impacto económico del fraude.

Obligación de seguridad de los bancos

La resolución refuerza una idea clave: las entidades financieras están obligadas a garantizar la seguridad de las cuentas y de los canales de banca electrónica de sus clientes. No pueden desentenderse de las transferencias no autorizadas limitándose a invocar un uso inseguro del dispositivo por el cliente si no demuestran una negligencia grave concreta, relevante y decisiva en la producción del daño. Este tipo de pronunciamientos consolida una línea favorable al consumidor, donde el riesgo tecnológico del servicio de pago recae, en principio, sobre el banco y no sobre el usuario que sufre el ataque informático.