El Juzgado de Primera Instancia nº 44 de Madrid declara responsable a Vodafone, a través de su marca Lowi, y a WiZink por un fraude ejecutado mediante duplicado ilegítimo de la tarjeta SIM del afectado. La condena asciende a 4.047,91 € más intereses, importe sustraído mediante operaciones no autorizadas tras obtener los delincuentes el control de la línea móvil. El procedimiento ha sido impulsado por Asufin, que viene litigando para que las telecos compartan responsabilidad con la banca en las estafas digitales.
Cómo se ejecutó el SIM swapping
El fraude se articuló a través de una falsa portabilidad o duplicado de SIM tramitado ante Lowi sin el conocimiento ni consentimiento del titular. Una vez activada la nueva tarjeta, los ciberdelincuentes pudieron recibir los SMS de verificación enviados por el banco y autorizar cargos en banca online en nombre del cliente. La jueza destaca que en la banca actual el móvil es un elemento esencial de autenticación, por lo que controlar la SIM equivale, en la práctica, a controlar el acceso a las cuentas.
Negligencia de Vodafone/Lowi
La sentencia reprocha a Lowi unos requisitos “realmente laxos” para tramitar portabilidades y duplicados SIM frente a otras operadoras. La compañía se limitaba a recabar una dirección postal para el envío, permitiendo que la entrega de la nueva tarjeta la recibiera cualquier persona, sin identificación fehaciente. El juzgado aprecia una “enorme falta de seguridad” y concluye que existe un nexo causal directo entre esa deficiencia y el éxito del fraude bancario. Además, se recuerda que Vodafone ya arrastra un importante historial sancionador por SIM swapping, incluida una multa de la AEPD de 3,94–4 millones de euros por emitir duplicados ilegítimos que facilitaron estafas masivas.
Falta de autenticación reforzada de WiZink
WiZink también es declarada responsable por incumplir la normativa de autenticación reforzada en servicios de pago. El banco no detectó que fallaba el elemento de “posesión”, es decir, que las operaciones se validaban desde un terminal distinto al del cliente legítimo. Pese a esa anomalía, la entidad permitió varios cargos fraudulentos hasta alcanzar los 4.047,91 €, cantidad que deberá reintegrar con los intereses correspondientes. Para el juzgado, la obligación de diseñar sistemas capaces de identificar estas señales de alerta recae plenamente en la entidad financiera.
Contexto: presión regulatoria sobre las telecos
El fallo se dicta en un entorno de fuerte preocupación política y social por el fraude financiero digital, donde el Ministerio de Economía ha anunciado incluso una brigada antifraude con participación del sector de las telecomunicaciones. La AEPD ha sancionado en los últimos años a múltiples operadoras por deficiencias similares en los protocolos de duplicado de SIM, con multas que suman varios millones de euros. Digi ha recibido una sanción de 200.000 € por permitir un duplicado fraudulento que dio acceso a la banca online de la víctima, en un contexto de reincidencia en este tipo de fallos de seguridad. Orange ha visto confirmadas sanciones por duplicados SIM sin identificación adecuada, y O2 ha sido señalada por el primer caso de eSIM swapping, donde los atacantes activaron una línea de forma remota tras modificar el correo de contacto del cliente.
Impacto para consumidores y operadores
La sentencia lanza un mensaje claro: la seguridad de las líneas y de los datos no es un extra comercial, sino una obligación legal cuyo incumplimiento genera responsabilidad directa. A partir de este criterio, bancos y telecos deben reforzar sus protocolos de identificación, duplicado SIM y autenticación reforzada si no quieren acabar asumiendo el coste de las estafas que su falta de diligencia facilita. Para los usuarios, el fallo abre la puerta a reclamar con mayores garantías cuando un fraude bancario se apoya en un duplicado de SIM tramitado con controles de identidad insuficientes.