BBVA devuelve a un socio de FACUA Cádiz 2.000 euros que le sustrajeron fraudulentamente

El usuario recibió un código por SMS para que lo introdujese en su banca digital como confirmación de una supuesta compra. Pese a que no lo hizo, le cargaron igualmente el dinero en su cuenta.

BBVA devuelve a un socio de FACUA Cádiz 2.000 euros que le sustrajeron fraudulentamente
Imagen: Ricardo Rubio - Europa Press.

BBVA ha devuelto 2.000 euros a un socio de FACUA Cádiz por un cargo fraudulento producido en su cuenta bancaria por fallos en el sistema de seguridad de la entidad financiera.

A principios de marzo de 2022, Pablo, de la localidad gaditana Arcos de la Frontera, recibió dos mensajes vía SMS en los que BBVA, su entidad financiera, le solicitaba introducir un código en su banca digital para confirmar un pago de 2.000 euros del cual no tenía conocimiento.

El socio de FACUA Cádiz no utilizó dicha combinación numérica pero comprobó que el cargo ya se había realizado desde otro dispositivo con la tarjeta de débito que tiene con dicho banco, con el concepto "cargo por compra con tarjeta en comercios", seguido de su número de cuenta y el nombre "Revolut**8825*", totalmente desconocido para él. Después de dicha situación, el usuario sufrió otro intento de fraude pero sin éxito.

Ante ello, Pablo interpuso reclamación ante BBVA y ese mismo día se le comunicó mediante mensajes a su móvil que, por motivos de seguridad, su banca digital se bloqueaba de forma temporal y que debía cambiar su clave. Por dicha vía también se le informó de que se inhabilitaba provisionalmente su tarjeta. Posteriormente, el 18 de marzo denunció el caso ante el Puesto Principal de la Guardia Civil en su localidad.

Un paso más

Ante la falta de respuesta de BBVA a la reclamación de que le devolviesen sus 2.000 euros, el afectado decidió acudir a FACUA Cádiz para emprender acciones en defensa de sus derechos como consumidor.

La asociación reclamó el 20 de abril ante el Servicio de Atención al Cliente del Grupo BBVA que procediera a la anulación y reintegro de manera inmediata del cargo fraudulento sufrido por el socio.

Además, pidió al banco pruebas que acreditasen que en la transacción objeto de la reclamación había utilizado el protocolo OTP (del inglés One Time Password, contraseña de un solo uso). Es decir, que la operación se había realizado en condiciones correctas y no se había producido negligencia bancaria. Este protocolo recoge datos como la autenticación del cliente, la del comercio, y la hora de realización. En este sentido, ya que la operación no se realizó desde el móvil del socio, no debía recaer en él la responsabilidad del asunto.

Llega la respuesta

Al respecto, el Servicio de Atención al Cliente de BBVA respondió que actuaron ajustándose "plenamente" a los "criterios de buenas prácticas exigibles a las entidades", y que por ello no podían atender la petición.

Por su parte, FACUA Cádiz no estuvo de acuerdo con la desestimación, por lo que el 22 de abril interpuso otra reclamación, esta vez ante la Oficina del Defensor del Cliente de BBVA, en la que además se recordó que se había solicitado que acreditasen el cumplimiento del protocolo OTP para el socio y que el Servicio de Atención al Cliente nunca se pronunció al respecto.

De esta manera, el banco estaba infringiendo la normativa de transparencia y de protección a la clientela, así como de las buenas prácticas y usos financieros.

Qué dice la ley

En el punto 1 del artículo 36 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (Rdlsp), se establece que "las operaciones de pago se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución. A falta de tal consentimiento la operación de pago se considerará no autorizada".

Según el punto 3 del artículo 44 del mismo real decreto-ley, "corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave".

Además, en el punto 5 del artículo 3, se recoge lo siguiente sobre la definición de la autenticación reforzada de clientes: "Autenticación basada en la utilización de dos o más elementos categorizados como conocimiento (algo que solo conoce el usuario), posesión (algo que solo posee el usuario) e inherencia (algo que es el usuario), que son independientes –es decir, que la vulneración de uno no compromete la fiabilidad de los demás–, y concebida de manera que se proteja la confidencialidad de los datos de identificación".

La asociación entendía que BBVA fue la responsable de que se llevara a cabo la operación fraudulenta, atribuible a la entidad por fallos en el sistema de seguridad.

Finalmente, tras atender a los hechos concretos del caso y las "particulares circunstancias", BBVA ha rectificado la respuesta inicial a la reclamación y ha procedido a devolver a Pablo los 2.000 euros que le sustrajeron fraudulentamente.

Ya somos 249.643