FACUA Euskadi logra que BBVA devuelva 5.300 euros estafados usando SMS

El banco, que no aplicó los preceptivos controles de verificación de la identidad, solo había reintegrado a su clienta algo menos de 500 euros de un total de 5.800.

FACUA Euskadi logra que BBVA devuelva 5.300 euros estafados usando SMS

Nuevo caso de estafa por smishing, o lo que es lo mismo, por SMS, en el que FACUA –en este caso, la organización de Euskadi– consigue la devolución íntegra del dinero robado. Esta vez la asociación consumerista, muy activa en la lucha contra este tipo de fraudes, ha hecho entrar en razón a BBVA, que en un principio solo pareció dispuesto a restituirle a una clienta 500 euros de los 5.800 que le habían sustraído, y que ya le ha ingresado la cantidad restante.

La usuaria recibió el pasado mes de noviembre un SMS que se incardinó en los previamente recibidos de parte de su banco, BBVA. En este, se le decía que su cuenta había sido "bloqueada por motivos de seguridad" y se la invitaba a acceder a un enlace, en el que debía introducir sus credenciales bancarias.

"No desconfié porque el propio teléfono lo reconoció como del BBVA, se archivó en la cadena de mensajes reales anteriores del banco (localizadores, contraseñas...) y porque entrando en las propiedades del mensaje figuraba como autor el BBVA, igual que en los mensajes originales. No había nada que distinguiese este SMS de uno original del banco", contaría más tarde la afectada en un muy detallado correo a FACUA.

Dos horas después de recibir el SMS, la consumidora accedió a la app de su móvil para comprobar el estado de su cuenta. "En ese momento lo entendí todo. Mi primera reacción fue de sentirme estúpida", cuenta al teléfono la afectada. "¿Por qué me habré metido?, pensé. Pero ya era demasiado tarde, claro".

5.800 euros en dos horas

Efectivamente, los estafadores habían contratado seis tarjetas nuevas, con las que habían realizado 45 cargos de entre 90 y 100 euros. Además, habían transferido mediante Bizum 480 euros. Por último, habían hecho otros tres movimientos con la tarjeta personal de la afectada: dos de algo más de 90 y otro de 1.000 euros. En total, en el lapso de dos horas, había perdido cerca de 5.800 euros. Desde que accedió al SMS fraudulento, nadie le había vuelto a pedir ni un solo dato personal o contraseña.

Inmediatamente, la clienta llamó al número de atención 24 horas de BBVA: bloqueó todas sus tarjetas –las nuevas, fraudulentas, y las dos suyas, legítimas–, su cuenta y el acceso a la banca online.

Al día siguiente, se desplazó al banco a recabar la documentación, luego a la Ertzaintza a interponer la correspondiente denuncia y de vuelta al banco a gestionar la reclamación. "Desde el principio me dejaban ver que no iban a ayudarme, que la culpa era mía por haber dado mis credenciales", cuenta.

Frente a su insistencia y preocupación, los empleados de BBVA le aseguraron que no podían evitar que se hiciesen efectivos los movimientos (algo que aún no había ocurrido y que, de hecho, ocurrió dos días después). Además el departamento de reclamaciones podía tardar, solo en responderle, tres semanas. Con sus acciones solo consiguió la devolución de los 480 euros de la transferencia por Bizum.

Si no se verifica la identidad, la culpa no es del cliente

Asentados ya los movimientos fraudulentos, BBVA trató de pasarle la pelota a VISA, presentando un expediente por cada una de las seis tarjetas a las que habían sido cargados movimientos fraudulentos. La usuaria cuenta que entre el correo que confirmaba que habían llegado las reclamaciones y el que le denegaba la devolución de los 5.300 euros a los que aún tenía derecho, mediaron apenas unos segundos. "No sé, a mi me parece un poco sospechoso", reflexiona, irónica. Fue entonces cuando se informó acerca de la cobertura jurídica que podía prestarle FACUA Euskadi y decidió hacerse socia.

En la siempre detallada exposición de las diferentes normativas transgredidas incluida en sus escritos de reclamación, la asociación de consumidores argumentaba en este caso que BBVA permitió que los ladrones sortearan los códigos de seguridad de los medios de pagos de la afectada. El banco, en concreto, no podía acreditar haber llevado a cabo la doble autentificación.

Este es un mecanismo diseñado para reforzar la verificación de la identidad de usuarios, que todos los Estados europeos deben implementar obligatoriamente por una directriz europea, y que exige que el servicio de pago utilice al menos dos datos distintos, conocidos como factores de autenticación. Estos factores se dividen en tres tipos, según el aspecto que se ponga en juego: conocimiento, en que se pregunta algo que solo el cliente sabe, como una contraseña o PIN; posesión, donde se exige usar un objeto como un teléfono móvil, e inherencia, el menos habitual, en que se usa algo inherente al cliente, como su huella dactilar o su rostro.

BBVA tampoco había verificado la identidad de la persona que contrató las seis tarjetas nuevas en cuestión de minutos. Su clienta, cerraba el escrito, había mostrado en todo momento "total diligencia".

Poco después de recibir la reclamación presidida por el logo de FACUA, el banco ha optado por mostrarse razonable y ha devuelto a la afectada los 5.300 euros que aún le faltaban.

Ya somos 246.310