En un escenario donde la ciberdelincuencia se vuelve cada vez más sofisticada, la justicia española ha emitido un fallo, al que ha tenido acceso EL PAÍS, que marca un precedente fundamental para la protección de los consumidores en la era digital. El Juzgado de Primera Instancia número 44 de Madrid ha dictado una sentencia de gran calado jurídico al condenar a la operadora Vodafone (a través de su marca Lowi) y a la entidad bancaria WiZink a resarcir de forma solidaria a un usuario que fue víctima de un fraude financiero. La cuantía de la condena asciende a más de 4.000 euros, correspondientes al dinero sustraído de sus cuentas mediante la técnica conocida como SIM swapping o duplicado fraudulento de la tarjeta telefónica.

La relevancia de este caso, impulsado por la Asociación de Usuarios Financieros (Asufin), reside en la determinación de la responsabilidad compartida. Hasta hace poco, la jurisprudencia solía poner el foco principal en la responsabilidad de los bancos como custodios del capital de sus clientes. Sin embargo, esta sentencia refuerza la tesis que no solo las entidades financieras deben responder ante el fraude, sino también cualquier intermediario tecnológico cuya negligencia en los protocolos de seguridad facilite la comisión del delito. En este caso, la operadora de telefonía se convierte en una pieza clave del engranaje que permitió el robo.

Un agujero de seguridad

El fraude sufrido por el demandante se basó en una falsa portabilidad. Según los hechos probados, un tercero ajeno al titular consiguió que Lowi emitiera un duplicado de la tarjeta SIM del usuario sin su consentimiento. Con el control de la línea telefónica en sus manos, el delincuente pudo interceptar los mensajes de texto (SMS) que el banco envía para autorizar operaciones, logrando así vaciar las cuentas del afectado.

La magistrada de la instancia 44 de Madrid ha sido especialmente dura en su argumentación contra la operadora de telefonía. En el texto de la sentencia, se afea de forma explícita a la compañía el hecho de imponer unos requisitos “realmente laxos” para la tramitación de portabilidades y la emisión de duplicados de tarjetas SIM. La jueza subraya que, a diferencia de otras operadoras con protocolos más estrictos, en este caso las exigencias se limitaron a una simple indicación de una dirección postal. Al no exigirse una identificación fehaciente en la entrega, cualquier persona podía recibir la nueva tarjeta, lo que la sentencia califica como una “enorme falta de seguridad”.

Este descuido es crítico en la actualidad, ya que casi la totalidad de la operativa bancaria moderna está vinculada al dispositivo móvil como segundo factor de autenticación. Por tanto, la sentencia establece un nexo causal evidente entre la conducta negligente de la operadora y el éxito del fraude bancario. Cabe recordar que Vodafone ya arrastra un historial de sanciones por este motivo; la Agencia Española de Protección de Datos (AEPD) ya le impuso en el pasado una multa de cuatro millones de euros por casos similares de suplantación de identidad.