SIM swapping, un nuevo ejemplo de inseguridad en la banca electrónica

SIM swapping, un nuevo ejemplo de inseguridad en la banca electrónica

Los usuarios de servicios de banca electrónica no ganamos para sustos. Cuando la transición del sistema de tarjetas de coordenadas al sistema de doble verificación, que utiliza el envío a nuestro móvil de un SMS con un código, cuya introducción era necesaria para poder realizar la operación bancaria que queríamos, se nos vendió por las entidades bancarias como un plus de seguridad que iba a alejar para siempre el fantasma del fraude, nadie nos recordó que, para la maldad, el ingenio humano no tiene límites, y ahora resulta que SIM

Me estoy refiriendo al SIM swapping, una actividad delictiva que se desarrolla básicamente de la siguiente forma:

1º.- Alguien consigue de nuestra operadora de telefonía móvil un duplicado de la tarjeta SIM.

2º.- Solicita a nuestra entidad bancaria que le recuerde la contraseña de acceso a la banca electrónica, identificando esa entidad, por ejemplo, al comprobar que tenemos descargada su app.

3º.- La entidad atiende a la petición enviando la contraseña a nuestro móvil, pero no al que tenemos en nuestras manos, que ha dejado de funcionar al entrar a hacerlo el duplicado de nuestra tarjeta SIM, sino al móvil del delincuente al que se le ha incorporado ese duplicado.  

4º.- Con la contraseña de acceso a la banca electrónica y nuestro móvil (mejor dicho, un móvil con el duplicado de nuestra tarjeta SIM) en la mano, el delincuente no tiene más que empezar a hacer transferencias o solicitar en nuestro nombre préstamos.

Desde el punto de vista jurídico, en este conflicto es clara la responsabilidad penal (y civil derivada de la penal) del delincuente frente a nosotros, pero también creemos que es clara la responsabilidad civil de la entidad financiera frente a nosotros, en el marco de la relación contractual de prestación de servicios de banca electrónica, puesto que el cliente solamente sería responsable si hubiera actuado de forma fraudulenta o negligente, siendo responsable la entidad bancaria de aquellos fallos de seguridad del sistema que él mismo ha puesto a disposición de sus clientes.

Tanto el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago, como el Texto Refundido de la Ley General para la Defensa de los Consumidores y Usuarios, justifican nuestra opinión, sin olvidar la jurisprudencia existente que proclama la abusividad de las cláusulas de los contratos bancarios en las que se eximen de responsabilidad a la entidad en estos casos o las que trasladan al cliente esa responsabilidad cuando se han utilizado los elementos identificativos o de seguridad en la operación fraudulenta.

En esa línea, no puede negarse que los cargos que se hagan en nuestra cuenta con motivo de esta operativa son operaciones de pago no autorizadas por el titular, por lo que la entidad tiene la obligación de anularlos reintegrando el importe de los mismos de forma rápida y diligente.

Ni que decir tiene que, para evitar estos fraudes, tanto las compañías de telefonía, como las entidades financieras, tendrán que redoblar sus esfuerzos en identificar a quienes le solicitan un duplicado de la tarjeta SIM, en el primer caso, o la contraseña de acceso a la banca electrónica, en el segundo caso, pudiendo el cliente alegar negligencia de ambas para justificar su ausencia de responsabilidad en todo este embrollo.

Así pues, si su móvil deja sorpresivamente de funcionar, carece de cobertura estando usted en un lugar en dónde esto no es razonable, o no le permite conectarse a Internet, llame inmediatamente a su operadora y pregunte si han emitido un duplicado de su tarjeta SIM, en cuyo caso la siguiente llamada debe ser al banco. 

Por: Rafael Carrellán García