El BBVA devuelve 18.000 euros a un cliente víctima de una estafa bancaria telefónica

El BBVA ha aceptado devolver 18.200 euros a un cliente que realizó una transferencia desde su cuenta del banco, incitado por unos estafadores que se hicieron pasar por empleados de la entidad. El defensor del cliente bancario reconoció que la persona engañada “no había cometido una negligencia grave” al transferir el dinero, por la sofisticación del engaño.

J. A. C, un empresario en la sesentena, recibió una llamada el 21 de enero, desde un número de teléfono que se correspondía con la oficina del BBVA en Algorta (Getxo). Alguien que se hacía pasar por empleado del banco le indicó que otra persona intentaba realizar una transferencia desde una cuenta de una de sus empresas y que le llamarían más tarde “para anular el proceso”.

Posteriormente, recibió otra llamada desde otro número de teléfono, que el denunciante tenía grabado en los contactos de su teléfono móvil a nombre de su gestora personal del BBVA. En este momento, le pidieron que se descargara una aplicación, que, a la postre, les permitió entrar en su ordenador y operar de forma remota. Supuestamente, para cancelar la transferencia.

El empresario recibió un mensaje con el logotipo del BBVA para validar la operación. Lo que no podía sospechar es que no estaban cancelando nada, sino enviando su propio dinero sin ser consciente de ello.

Al día siguiente, tras darse cuenta del engaño, J. A. C, puso una denuncia en una comisaría de la Policía Nacional de Santander. También dirigió una reclamación al defensor del cliente bancario del BBVA, que desestimó su pretensión de recuperar el dinero. El empresario se puso en contacto con Asoban Abogados, despacho especializado en este tipo de estafas bancarias cibernéticas. “Cada día recibimos entre 30 y 40 llamadas con casos similares, y ya hemos abierto más de 3.000 expedientes de este tipo”, explica Diego Zapatero, encargado del departamento de fraudes online de la firma legal.

Los letrados volvieron a contactar con el defensor del cliente del BBVA, Gregorio Arranz, quien, tras reexaminar el caso, dio la razón al empresario y pidió al banco que le devolviera los 18.200 euros. En su argumentación, Arranz reconoce que J. A. C, como administrador de la sociedad dueña de la cuenta desde la que se hizo la transferencia, no incumplió sus obligaciones de manera fraudulenta, deliberada o gravemente negligente. Una vez recibida su resolución, el banco procedió a devolver los fondos al cliente.

El Tribunal Supremo ha reconocido en varias ocasiones que los bancos están obligados a devolver el dinero en casos de este tipo, cuando quede acreditado que el cliente no ha incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones.

El defensor del cliente bancario describe que la estafa que sufrió el cliente del banco es un caso de vhising, (o voice phising, pesca con la voz) una técnica de ingeniería social en la que ciberdelincuentes suplantan a entidades legítimas —como bancos, empresas o instituciones...— mediante llamadas falsas.

El abogado Diego Zapatero recuerda que en estos casos no es difícil picar el anzuelo “porque estas mafias tienen herramientas que les permiten generar una numeración específica para simular que llaman desde el banco”.

Además, los criminales cuentan previamente con información muy detallada de la víctima, que habitualmente compran en el lado más oscuro de internet. “Aquí pueden conseguir el nombre y apellido, número de DNI, patrimonio, fondos en el banco, sociedades en las que está como administrador... con lo que es mucho más fácil hacerse pasar por empleado del banco”, relata Zapatero. Esos datos llegan a la denominada dark web tras ciberataques que provocan graves brechas de seguridad.

Aunque el BBVA devolvió el dinero al cliente hace una semana, su defensor del cliente recuerda que es muy importante “estar vigilantes y desconfiar de mensajes y correos raros o sospechosos, comprobando la autenticidad de los mismos; de llamadas telefónicas o de los mensajes SMS que pidan al cliente sus claves”. El banco inició en 2022 una campaña de concienciación dirigida a sus clientes para informar de que el BBVA nunca les enviará mensajes SMS con enlaces, ni les solicitará sus datos o claves por correo, llamadas entrantes o SMS. Desde la entidad recomiendan además “no acceder a BBVA desde enlaces que se hayan recibido por cualquier medio, así como no compartir las claves o códigos de seguridad con nadie y usarlos exclusivamente para las operativas que se quieran realizar”.

Las autoridades españolas llevan tiempo tratando de poner coto a este tipo de delincuencia. La CNMC acaba de activar un registro obligatorio de emisores de SMS para garantizar que el nombre o marca que aparece en el terminal del usuario corresponda efectivamente a la entidad que envía el mensaje. En marzo de 2025 entró en vigor el plan de medidas contra las estafas telefónicas y por SMS. En solo nueve meses, los operadores habían bloqueado más de 135 millones de intentos de contacto fraudulentos. Pero no pudieron frenar la llamada que engañó al empresario J. A. C.