Responsabilidad y phishing bancario: a vueltas con el fraude por Internet

Responsabilidad y phishing bancario: a vueltas con el fraude por Internet

Si ya recientemente dedicamos un artículo a destacar el incremento del fraude a través del phishing con motivo de la pandemia, la persistencia de consultas por este tema requiere que lo retomemos, con especial mención de la normativa que resulta de aplicación y la reseña de algún apunte jurisprudencial, todo ello en relación a la principal cuestión a abordar: la responsabilidad ante el fraude.

El Banco de España, en su última memoria publicada, ha señalado un aumento de reclamaciones en las que intervienen técnicas empleadas por ciberdelincuentes, como el phishing (por e-mail), vishing (de forma telefónica) o el smishing (vía SMS), por las que estos se hacen pasar por las entidades financieras, o incluso por organismos públicos o empresas de reconocida trayectoria, suplantando su identidad y pidiendo a las potenciales víctimas que faciliten, después de clicar en un enlace —aparentemente genuino, pero, en realidad, malicioso— determinados datos personales y bancarios, bajo diferentes pretextos, como evitar el supuesto bloqueo de la cuenta o de una tarjeta o prevenir un inexistente pago fraudulento, y con el verdadero fin de lucrarse, realizando operaciones de pago a cargo de la víctima.

Hemos de tener en cuenta, para prevenir estas situaciones, que las entidades financieras nunca solicitarán por correo electrónico ni por SMS nuestras claves de acceso a la banca electrónica o los datos de nuestras tarjetas de crédito. Y además, que si el correo fraudulento que recibimos tiene archivos adjuntos, muy probablemente se trate de un  virus informático (malware o programa malicioso). No debemos caer en la trampa, no facilitando datos ni pinchando en los enlaces. Ya en otro artículo anterior advertimos también  a las posibles víctimas de los principales pasos para reclamar. 

Es importante además advertir que el fraude puede tener su origen en la clonación de la tarjeta SIM de nuestro teléfono móvil. Hablamos de casos en los que se solicita a la operadora de telefonía, de forma fraudulenta, un duplicado físico de la tarjeta, alegando su pérdida o el robo del terminal, y con la nueva tarjeta el estafador puede recibir, vía SMS, las contraseñas de un solo uso (OTP), y seguidamente resetear las contraseñas de acceso a la banca electrónica, burlando este sistema de autenticación reforzada, lo que permite a los estafadores el acceso a los productos bancarios del usuario, con el grave peligro que ello conlleva. Para más detalle a este respecto, podemos consultar otro artículo anterior. 

Pero, ¿qué dice la normativa en cuanto a esas operaciones de pago no autorizadas? La norma principal que actualmente se ocupa del tema es el Real Decreto Ley 19/2018, de 23 de noviembre, de servicios de pago, vigente desde el 25 de noviembre de 2018, y a los efectos que tratamos queremos destacar que se establece un inmediato reembolso de las cantidades comprensivas a las operaciones de pago no autorizadas, cuando el reclamante no reconoce su autoría ni que, por su parte, existiera negligencia grave.

Hablamos concretamente de su artículo 45, relativo a la responsabilidad del proveedor de servicios de pago en caso de operaciones de pago no autorizadas, y que establece lo siguiente en su primer punto:

“Sin perjuicio del artículo 43 de este real decreto-ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada. 

La fecha de valor del abono en la cuenta de pago del ordenante no será posterior a la fecha de adeudo del importe devuelto. “.

Recordemos que la propia norma, en su artículo 3, define al ordenante como la persona física o jurídica titular de una cuenta de pago que autoriza una orden de pago a partir de dicha cuenta o, en el caso de que no exista una cuenta de pago, la persona física o jurídica que dicta una orden de pago.

Sin embargo, esa “inmediatez” que promulga la normativa en la devolución de las cantidades defraudadas, en la práctica, brilla por su ausencia, pues en la mayor parte de los casos los clientes han de esperar meses para poder recuperar lo defraudado, e incluso en muchos casos ven como su reclamación es rechazada totalmente al considerarse al titular de la tarjeta como único responsable, por incumplimiento de sus obligaciones de conservación y custodia del medio de pago y del número secreto.

Hablamos pues de casos que habrán de dirimirse en la vía judicial, donde habrán de valorarse las circunstancias del caso en concreto. Y ello por cuanto tras esa negativa de la entidad, la vía del Banco de España difícilmente será de utilidad, pues cuando, de una u otra forma, el reclamante reconoce que permitió que un tercero accediese a sus claves, aunque inicialmente lo hiciera en la creencia de que ese tercero representaba al banco, el Banco de España no emitirá pronunciamiento alguno, remitiéndose a los Tribunales de Justicia.

Y aun cuando la jurisprudencia en relación al “phishing” no ha llegado aun cuantitativamente al nivel de otros temas recurrentes en el ámbito financiero, sí contamos ya con algunos pronunciamientos de relevancia en la materia que puedan sustentar la reclamación, como por ejemplo la sentencia de la Audiencia Provincial de Alicante de 12 de marzo de 2018, de la que podemos resaltar, por su claridad, algunos párrafos:

“…la responsabilidad del proveedor de los servicios de banca online es de riesgo y consecuentemente, es por ley que a la entidad corresponde acreditar que la operación ordenada sí fue auténtica y que no estuvo afectada por un fallo técnico o por otra deficiencia como, por ejemplo, por un ataque informático de naturaleza fraudulenta al sistema bancario que hubiera permitido el acceso a las cuentas de sus clientes y disponer ilícitamente, de las mismas ordenando operaciones en detrimento de aquellos…”.

“…La banca electrónica está siendo objeto de transferencias no autorizadas por el cliente y que vienen antecedidas por el método delictivo conocido como phishing que constituye una modalidad específica de fraude informático que visualiza las deficiencias de seguridad del sistema informático de una entidad y que trae causa en el uso de las redes telemáticas.”.

“…Las medidas de seguridad no solamente están destinadas a proteger la seguridad de las órdenes de pago emitidas por los clientes sino que su eficacia exonera a las entidades de crédito de sus responsabilidades frente a las órdenes de pago no emitidas por sus clientes de tal forma que el incumplimiento de este específico deber de vigilancia da lugar a una responsabilidad por ” culpa in vigilando” o responsabilidad objetiva por el mal funcionamiento de los servicios de banca electrónica. …”.

“…Constituye por tanto obligación esencial de las entidades prestadoras del servicio de banca online el dotarse de medidas suficientes que garanticen al usuario la seguridad de las operaciones por lo que, en el supuesto de insuficiencia o mal funcionamiento de las adoptadas, deben ser las entidades bancarias las que asuman las consecuencias derivadas de los fallos de seguridad del sistema…”.

Por tanto, sin perjuicio de que habremos de estar, en muchos casos, a las circunstancias concurrentes de cada caso en cuestión, la premisa de la que debemos partir es clara: si el sistema no es seguro y tiene un importante margen de fraude por parte de terceros, el principal responsable no debe ser el usuario, sino quien implementa el sistema y se beneficia con carácter principal del mismo.

Por: Fernando Zorita Arenas

Comparte