La responsabilidad de las entidades bancarias en los delitos de «phishing»

La responsabilidad de las entidades bancarias en los delitos de «phishing»

Por Conrado Moreno Bardisa, Socio Director

Publicado en Economist&Jurist el 20/02/23

 

Los delitos cometidos a través de Internet se han incrementado exponencialmente en la última década, más si cabe, desde el confinamiento por la pandemia COVID19 que supuso un punto de inflexión. El phishing o estafa informática no ha sido una excepción, con constantes alertas por parte de las Fuerzas y Cuerpos de Seguridad a la ciudadanía en general para extremar las precauciones pero ¿qué responsabilidad tienen las entidades bancarias en estos supuestos?

 

El Phishing es una de las técnicas que utilizan los hackers para apoderarse de nuestros datos. El phishing que proviene del verbo inglés fish (pescar) es un ataque en el que el phisher (pescador-hacker) se hace pasar por una empresa o persona, generalmente proveedor de algún tipo de servicio que podamos tener contratado (banca, telefonía, suministradores de agua, gas o electricidad, etc.), con el fin de obtener nuestros datos personales.

Las distintas modalidades de estafa cometidas por internet se han multiplicado en los últimos años, operativas dirigidas a la sustracción de claves para operar en banca, usurpación de identidad de directivos o financieros de empresas para lograr transferencias fraudulentas (estafa CEO), u otros ardides habituales como mensajes-sms, WhatsApp o emails haciéndose pasar por la entidad bancaria que llevan a páginas de inicio falsas donde la víctima introduce sus credenciales, son cada vez más habituales.

Distintas empresas de seguridad informática, Cuerpos y Fuerzas de Seguridad del Estado, compañías aseguradoras y entidades bancarias han alertado del aumento exponencial de las estafas informáticas y de los graves perjuicios económicos que estas suponen. No en vano, según el sector de la Seguridad Informática El 91% de los trabajadores españoles afirmó haber recibido al menos una comunicación sospechosa en 2021, la cifra más alta de todos los países encuestados y casi la mitad (49%) vio un archivo adjunto sospechoso en un correo electrónico. El éxito de estas estafas se ha incrementado en, al menos, a un 40% por lo que la peligrosidad ha aumentado a niveles preocupantes.

¿Pero qué responsabilidad tiene la entidad bancaria y cuál el usuario de servicios bancarios? Debemos partir de la base de que el Banco es un proveedor de servicios y que cuando un usuario de estos servicios NO ha prestado su autorización para dichos pagos u operativas existe una responsabilidad de la entidad bancaria “cuasi objetiva” que viene determinada en el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, que transpuso al ordenamiento interno la Directiva (UE) 2015/2366 del Parlamento y del Consejo, de 25 de noviembre, sobre Servicios de Pago en el Mercado Interior. El cliente tiene que autorizar de forma expresa y consciente la orden de pago, ya sea ordenándola él mismo, ya sea autorizando de forma expresa y consciente a un tercero para que la ordene en su nombre.

El nuevo marco normativo europeo tiene por finalidad generar un entorno más seguro y fiable para los usuarios, aprovechando las innovaciones tecnológicas producidas en los últimos años, buscando darles protección por medio de un marco de responsabilidad cuasi-objetiva de la Entidad Bancaria. Esto es, el banco debe restituir las cantidades sustraídas en tanto que como depositaria de los fondos tiene la obligación legal de conservar y devolver el dinero depositado. Únicamente se le podrá exonerar de dicha obligación cuando pudiera acreditar que el cliente ha actuado con negligencia grave a la hora de proteger sus datos personales o sus claves. Eso sí, una vez reclamado al banco, no podré ejercer la reclamación civil contra el presunto estafador (pero sí la penal), teniendo el banco, como no podría ser de otra manera, un derecho a ejercer acciones civiles y penales contra el ciber-delincuente.

La mayoría de estas estafas se perfecciona con pagos mediante la tarjeta de crédito o débito o mediante una transferencia bancaria desde la cuenta de la víctima que no suele percatarse de estos pagos hasta que ya han transcurrido unas horas o incluso días. Por ello la Directiva de Servicios de Pago (DSP2) obliga a las entidades bancarias a que las órdenes de pago se realicen mediante una autenticación reforzada (Arts. 97 y 98) o lo que es lo mismo: que la operación esté validada (a) con la clave personal y, además, (b) con un factor biométrico (p.e. la huella dactilar) o una clave aleatoria generada en cada operación, que debe ser enviada al usuario para revalidar la operación (doble factor de autenticación/seguridad).

Como se podrá intuir la mayoría de entidades bancarias que optan por no atender la reclamación del usuario realizada directamente a la entidad y se ven abocadas a un procedimiento judicial suelen oponer que el usuario ha actuado de manera negligente en la conservación de sus claves o datos personales. Sin embargo, la jurisprudencia suele resolver a favor de los usuarios, porque la negligencia grave “consiste en no proceder ni siquiera con la más elemental diligencia” o  en “la más grave falta de diligencia, no hacer lo que todos hacen, no prever lo que todos prevén”, y en la mayoría de las ocasiones el usuario es objeto de un fraude con capacidad para engañar a una generalidad de personas y por tanto no se considera que actúe con grave negligencia (entre otras, SAP de Alicante, Sec. 8ª, nº 107/2018, de 12/3/2018).

Además de todo ello, corresponderá a la entidad bancaria probar que el fraude fue fruto de una negligencia grave del cliente para poder eludir su responsabilidad, por lo que es habitual encontrarnos con una “negativa por sistema” del banco a devolvernos la cantidad ya que en la mayoría de casos el usuario desiste de interponer acciones legales por miedo a asumir los costes de un procedimiento judicial. Sin embargo, nuestro consejo es claro, en caso de ser víctima de una estafa informática/phising debemos reclamar a la mayor brevedad al banco de manera fehaciente y por escrito, poniendo de manifiesto su obligación de devolver el dinero depositado y si contestan de manera desfavorable a nuestra reclamación, buscar asesoramiento legal autorizado para emprender en su caso las acciones legales correspondientes.

No hay comentarios

Publica un comentario