Revolut se ha llevado un varapalo judicial, con una sentencia que cuestiona sus mecanismos de lucha contra el fraude y los sistemas de alerta para evitarlo. La Audiencia Provincial de Mallorca ha dado la razón a un cliente que reclamaba más de 200.000 euros tras denunciar que el banco permitió 26 transferencias en menos de ocho horas, a cuentas distintas y por importes elevados, sin que saltase ninguna alarma. La sentencia ordena reintegrar la citada cantidad a los demandantes. El neobanco digital Revolut, que cuenta con más de seis millones de clientes en España, ha sufrido un golpe en los juzgados que, más allá de la cuantía, supone un aviso para sus sistemas de seguridad contra el fraude. Un demandante ha conseguido una victoria judicial en la que los jueces de la Audiencia Provincial de Mallorca han sido especialmente duros con Revolut en una sentencia a la que ha tenido acceso este medio, y que revoca al Juzgado de Primera Instancia número 2 de Palma, que había fallado inicialmente en contra del cliente. Los jueces ponen en duda el sistema antifraude de Revolut, cada vez más importante en el sistema bancario por la creciente amenaza de estafas. La pareja demandante, de nacionalidad británica pero con residencia en Mallorca, alegó que Revolut Bank UAB no tuvo la suficiente diligencia como proveedor de servicios de pago para evitar un daño patrimonial de 218.036,12 euros. Los afectados recibieron un SMS de una persona no identificada que se hizo pasar por Apple para comunicar que la tarjeta de Revolut había sido desactivada para Apple Pay, y que para reactivarla debía introducir datos de su tarjeta de pago y su dirección en un enlace proporcionado por los estafadores. El cliente de Revolut accedió. Al día siguiente, recibió una llamada de un sujeto que dijo ser empleado de Revolut desde un teléfono con prefijo de Reino Unido, y tras comprobar que había facilitado los datos a un supuesto empleado de Apple, le dijo que se había instalado un malware en en su teléfono móvil que permitía a los posibles estafadores conocer sus datos bancarios, piratear sus cuentas y hacer pagos. Ante la pregunta de si tenía fondos depositados en otros bancos, el usuario estafado respondió que en las entidades británicas First Direct Bank y NatWest Bank. La llamada era parte de la estafa, y le comunicó que para proteger su dinero y garantizar que el supervisor británico (FCA) pudiera asegurar el dinero en las cuentas que era titular, debía transferir suficiente dinero de sus cuentas en Reino Unido a la de Revolut, y desde ahí a supuestas cuentas seguras en las que figuraba el nombre y los apellidos del usuario estafado. También le facilitó un número de incidencia de la FCA. Lo que querían los estafadores es que traspasaran dinero de sus bancos de referencia a Revolut, y desde esta a otras cuentas que se le proporcionó. Para los jueces, esto muestra que Revolut tiene un sistema antifraude de menos nivel que otros bancos. El propio usuario realizó 23 transferencias entre el 28 y el 29 de julio de 2022, en ocho horas, a la cuenta de los estafadores, por un importe de 187.913 euros. Su esposa realizó otras tres transferencias por importe de 30.123 euros. Los actores, tras la petición de hacer más transferencias, se dieron cuenta de la estafa y se dirigieron a Revolut. El neobanco no atendió a las reclamaciones, por lo que acudieron a la Guardia Civil de Inca, e iniciaron un proceso que ha culminado, al menos por ahora, con una sentencia condenatoria en la Audiencia Provincial de Mallorca. Revolut ha recurrido ante el Tribunal Supremo, por lo que la resolución aún no es firme. "No nos pronunciamos públicamente sobre procedimientos legales en curso”, señalan fuentes de la compañía a El Confidencial. Sistema antifraude poco sólido Los fraudes informáticos cometidos mediante la captación de datos bancarios, induciendo a error a la víctima tras hacerse pasar por la propia entidad bancaria, a la que suplantan a través de correos electrónicos (‘phishing’), llamadas telefónicas (‘vishing’) o bien mensajes de SMS fraudulentos (‘smishing’), tienen como marco normativo el RDL 19/2018, de 23 de noviembre (EDL 2018/127163), de servicios de pago y otras medidas urgentes en materia financiera, que sustituyó a la precedente Ley 16/2009. El fraude tiene la vertiente de vishing y de smishing. Una vez que queda acreditado el fraude, la entidad financiera debe demostrar que los clientes sufrieron el daño como consecuencia de una imprudencia grave imputable a ellos. Los jueces Miguel Álvaro Artola, Carlos Gómez y Ana Calado no entienden que se puedan hacer 26 transferencias en apenas ocho horas, de más de 200.000 euros, sin que en la entidad no salten alarmas para analizar si hay un fraude. “No se entiende que Revolut no tuviese un sistema de alarma que pudiera haber detectado la realización de 26 transferencias en poco más de ocho horas a cuentas bancarias distintas y por elevadas cantidades (solo coincide la misma cuenta destinataria en cuatro transferencias) ni la realización de operaciones que, por su propia reiteración y entidad, no estaban en línea con la operativa habitual de los usuarios”, dice la sentencia. El fallo también recuerda que Revolut emitió mensajes automatizados a los ordenantes preguntando si conocían al beneficiario de la cuenta y si confiaban en él, pero el tribunal cree que esto es insuficiente por dos razones: el hecho de que las cuentas supuestamente seguras estaban a nombre del cliente estafado, y que los estafadores incitasen a realizar transferencias desde otros bancos a Revolut, lo que “demuestra que los mecanismos para evitar el fraude en Revolut eran menos eficientes que en otras entidades bancarias”. La Audiencia Provincial también señala que no está acreditado el contenido de las alertas de fraude que mandó Revolut, y considera “insuficientemente probado” que el neobanco dejara en suspenso la efectividad de algunas transferencias que parecían sospechosas “sin impedirlas desde el momento en que la propia entidad entiende que el hecho de que se pidiera al cónyuge de la solicitante que transfiriera los fondos en diferentes pagos hasta a 20 cuentas de pago diferentes, en lugar de a una única supuesta cuenta segura, debería haber dado lugar a una sospecha razonable de ilógica en estas peticiones”. Un caso inédito “Hasta donde sabemos, estamos ante el caso de mayor cuantía resuelto en España en esta materia”, señala Jaume Papasseit Fusalba, director del Departamento de Litigación Internacional de Lawants. “La sentencia establece que la obligación de las entidades financieras no se agota en implementar mecanismos de autenticación, sino que abarca también el deber de detectar y – sobre todo – evitar operaciones manifiestamente anómalas. Proveer un sistema de banca telemática seguro no es una opción, es una obligación. Probablemente, estamos ante la primera condena a una entidad financiera al amparo del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago (“LSP”) en un supuesto de operaciones formalmente ejecutadas por el propio usuario (y no por un tercero). La LSP circunscribe su régimen de responsabilidad a las operaciones no autorizadas”. El abogado detalla que “una de las cuestiones jurídicas de fondo relevantes es determinar si una operación es o no autorizada si la autorización se ha obtenido mediante un fraude de este tipo”, un aspecto que se resolverá en el Tribunal Supremo “y que marcará un antes y un después para la banca online en España”.