Gracias por compartir tu historia.
Sobre la seguridad. ¿Quién tiene la responsabilidad? Hace tiempo recibí formación en el trabajo sobre la Ley de Protección de datos y cuando los datos se vulneran hay que iniciar un proceso judicial, en el cual se hace como en el fútbol un VAR. Se analizará al detalle el proceder de todos desde el inicio:
1) ¿Cuál es el proceso de seguridad que sigue el usuario? ¿Cómo ha actuado y qué ha hecho en este caso?
2) ¿Cuál es el proceso de seguridad que sigue Telefónica? ¿Cómo ha actuado en este caso?
3) ¿Cuál es el proceso de seguridad de Santander? ¿Cómo ha actuado en este caso?
Esto lo llevamos al caso, ¿qué procesos sigue Teléfonica al crear un duplicado de tarjeta? Telefónica es una empresa relevante y grande, con un buen despacho de abogados, por lo que su procesos de datos son fiables, ¿pero se siguió los estándares de seguridad en TU caso en concreto? ¿El empleado cómo verificó que estaba haciendo una tarjeta al titular? ¿Se saltó la política de la empresa? Parece que sí.
Si el empleado siguió los protocolos perfectamente y de haberse violado tus datos, entonces SÍ, la culpa no es del empleado, sino de Telefónica y entonces deberá resarcirte NO en la medida de lo robado (eso lo veremos con Santander), sino en la medida de los perjuicios que te haya podido causar y por supuesto cambiar su política de privacidad ipso facto.
Tanto si Movistar cometió falta grave como si no, Santander seguiría otro proceso. ¿Qué procesos sigue Santander para poder realizar una transferencia? En primer lugar tienes que acceder a la app con un número de acceso que sólo sabes tú (uno como usuario que suele ser el DNI y otro privado y cambiable de 8 dígitos). Para poder entrar ocasionalmente te mandarán un SMS para verificar tus datos. Con eso se accedería a tus datos, pero NO se podría operar. Para realizar la operativa como las transacciones que se produjeron se necesitaría una clave de firmas diferente a la de acceso de 8 dígitos, además de un SMS de confirmación que esta vez no es ocasional, sino por operación. ¿Es posible un hackeo? Sí, pero el banco tiene otro sistema de seguridad y es que si se meten las claves de acceso o la clave firmas mal X número de veces, la app no te dejará operar. Eso hace que la mayoría de programas de hackeos sean inútiles, pues necesitan probar miles y millones de veces las claves, cosa que el banco bloquearía antes de que la aplicación de hack supiese siquiera tu primer número.
No obstante, cabe la posibilidad de que tuvieses una clave sencilla de averiguar para una maquina (ej: 111 111 11 o 12345678, primeras combinaciones que hace una maquina). El problema es que Santander está adelantado a ello y por eso obliga al usuario a no usar números consecutivos o repetidos tantas veces.
La app está jurídicamente cubierta. Todo esto cambiaría si tus claves de accesos o de firmas han sido modificadas a través de una oficina o por teléfono, de nuevo aquí seguiríamos el proceso de antes. Pero por lo que cuentas, las claves se han mantenido intactas.
Además, Santander y la mayoría de bancos se cubren las espaldas para tachar de negligencia al usuario, mandándote email con consejos de seguridad e incluso sus clausulas de usuario (no dar las claves a nadie, no usar agregadores financieros, cambiar cada 3 meses de claves, etc). Además, aunque esto ya es especulación: 10.000 en varias transferencias seguramente bloquee esas acciones por sospechosas (si denuncias, ellos estarán obligados a decir al juez a donde se enviaron: nº de cuenta, titular, etc)
Si crees que ambas empresas han violado tus datos, deberás denunciar a ambas (lo que no sé si en denuncias separadas o una conjunta). Lo de Movistar lo veo con posibilidades, lo de Santander lo veo con más trabas e incluso que acabes tú con una acusación de negligencia como usuario. Seguiré de cerca como evoluciona el caso para saber mejor como van las cosas.