Buenas tardes,Ante la ausencia de respuesta por parte de Unicaja (hace un mes solicité la devolución de la cantidad sustraída de mi cuenta por estafa) procedo a realizar la siguiente reclamación relatando los hechos ocurridos: Ocurrió el 16 de junio de este año. Fui víctima de phishing. A las 19.14 horas recibí un SMS remitido por Unicaja, o al menos eso parecía. Decía lo siguiente: UNICAJA INFO: Se ha detectado un acceso no autorizado en su cuenta. Si no lo reconoce, verifique inmediatamente: https://uni.caja-personales.com. Pinché en el enlace, que me dio acceso a la banca electrónica de la entidad. Por la noche, después de varias llamadas sin atender (00:22, 00:23 horas) del número de teléfono que reconocí como de atención al cliente de Unicaja, a las 00:23 atendí la llamada. Habían suplantado su identidad y como llamaban fuera del horario de atención al cliente lo justificaban identificándose como Ciberseguridad del banco diciendo que habían detectado unos movimientos sospechosos.En esa conversación, mi interlocutor, X, me pidió la claves que me había enviado al móvil para poder anular la transferencia y los bizum que se acababan de realizar desde mi cuenta, sin mi conocimiento ni autorización. Dudé si facilitárselas, pero en vista que X me hablaba en andaluz (el 952 es un prefijo de Málaga) muy amablemente y me convenció con varios argumentos (como que el número desde que llamaba era el auténtico, entre otros) de que no se trataba de una estafa, lo que me generó confianza, se las di. Poco después, cuando me pidió los 6 últimos dígitos de las tarjetas (según él por seguridad) para anularlas empecé a sospechar y finalice la llamada. Inmediatamente al conectarme a la banca electrónica, comprobé que en mi cuenta faltaban 7.000 euros. Denuncié lo sucedido ante la policía local.Quiero aclarar que el phisher fue quien ordenó los pagos porque yo no le facilité las credenciales de seguridad de forma libre y consciente, sabiendo que ese tercero (phisher) iba a ordenar unos pagos, sino que lo hice de forma viciada, movido por un engaño. Por ese motivo, hay un vicio en mi voluntad que anula mi consentimiento. O mejor dicho, más que anular, no existe consentimiento, porque yo no sabía que le facilitaba las claves a un tercero (pensaba que lo hacía al banco), con lo que no hay consentimiento por mi parte para ordenar esos pagos.Como dice la Ley de Servicios de Pago (art. 45) “cuando se ejecute una orden de pago no autorizada el banco debe devolver al cliente el importe de la operación” y “el usuario deberá soportar las pérdidas de la operación cuando haya incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, alguna de las obligaciones que le incumbe (Art. 46). Sin embargo, debe ser la Entidad Bancaria quien demuestre la negligencia grave del usuario”.Según la jurisprudencia reciente, la negligencia grave “consiste en no proceder ni siquiera con la más elemental diligencia” o en “la más grave falta de diligencia, no hacer lo que todos hacen, no prever lo que todos prevén”. Fui objeto de un fraude con capacidad para engañar a una generalidad de personas (ya son más de 150 afectados solo en Asturias según noticieros digitales) y por tanto no se considera que actué con grave negligencia ya que se trataba de un delincuente profesional.El “engaño bastante” excluye la “negligencia grave”. Según el Tribunal Supremo, el phishing es una estafa que conceptualmente es un “engaño bastante”.Como se expone en la SAP de Alicante, Sec. 8ª, nº 107/2018, de 12/3/20181º.) “el banco debe comprobar en todo caso la autenticidad de la orden”2º.) “La falsedad de la transferencia (es decir, que el ordenante no sea el titular de la cuenta) es un riesgo a cargo del banco porque, en principio, el deudor sólo se libera pagando al verdadero acreedor por lo que si el banco cumple una orden falsa, habrá de reintegrar en la cuenta correspondiente las cantidades cargadas”.3º.) “si un banco no ha sido capaz de limitar el acceso al canal de banca electrónica no puede pretender que el presunto ordenante víctima de esta práctica fraudulenta sea el único responsable, pues es el banco quien tiene responsabilidad respecto del buen funcionamiento y la seguridad del mismo”.Por tanto, el banco puede ser responsable frente a mi por dos motivos: (a) por incumplir sus obligaciones contractuales, las obligaciones que nacen del contrato, y (b) por incumplir sus obligaciones legales.(a) Por ejemplo, al no enviar un SMS de aviso por cada operación que se reciba (no es el SMS con la clave de autenticación reforzada, sino un SMS en el que se avisa al usuario que se ha ejecutado una operación)(b) Al permitir que un tercero realice operaciones en mi lugar y porque las medidas de seguridad del banco no son suficientes para prevenir este tipo de fraudes, y por tanto, el banco ha incumplido sus obligaciones legales y, por ese motivo, se ha producido la estafa y las propias órdenes de pago no autorizadas.El banco tiene que reconocer su responsabilidad ya que la estafa se produjo por un fallo en sus sistemas de seguridad y debe restituir las cantidades sustraídas por el estafador, ya que como depositario de los fondos tiene la obligación legal de conservar y devolver el dinero guardado.Además, la técnica actual permite a los bancos el análisis de las pautas o hábitos de consumo de los usuarios, de forma que saben o pueden saber qué operaciones son inusuales o pueden ser fraudulentas. Como la normativa les permite bloquear la operación, en caso de detectar el fraude deberían bloquear la operación y ponerse en contacto con el usuario-consumidor, para verificar que sea él quien realmente la esté realizando. Solicito, por tanto, sea restituida en mi cuenta la cantidad de 7000 € sustraída a causa de dicha estafa ya que ha causado a toda mi familia un perjuicio económico muy grave y estamos sufriendo las consecuencias. Esperamos pronta respuesta.Un cordial saludo
