Este caso que os presento a relatar inicia por una petición profesional, así que os contaré paso a paso como llevar un caso de reclamación de cantidad por phishing y como conseguir, en la medida de lo posible, que el cliente salga contento y tú, jurista mío, cobrando.
Sin vulnerar el código deontológico de la abogacía, os contaré que un día me contactó el cliente con la siguiente duda “me han hecho un phishing y quiero que el banco me devuelva el dinero”. Yo, una friky de las tecnologías, conozco el delito de phishing -por encima, evidentemente- aunque claro, tuve que informarme de nuevo de qué era y cómo podíamos ganarlo.
Primero procedo a contaros el relato del cliente y luego cuál fue el iter para solucionarlo.
EL RELATO DEL CLIENTE
Pues bien, hace algún tiempo, el cliente recibió un SMS dentro de la cadena de SMS del Banco. En el mencionado mensaje, se comentaba que estaba habiendo un movimiento extraño en su cuenta y que debía entrar a su cuenta personal y solucionarlo.
Siendo así, el cliente entra en su aplicación de banca online, pone sus credenciales identificativas y, al ver que no había ningún movimiento bancario que sobre saliera de la normalidad, sale de la aplicación sin más.
Pasados unos minutos, a mi cliente le llama un agente de seguridad del Banco comentando que se están efectuando bizums de procedencia “anormal”. En este punto, mi cliente entra dentro de la aplicación del Banco y ¡menuda suerte! Le faltaban 2.500 euros. Se habían efectuado 5 bizums por valor de 500 euros a un número desconocido.
Como es de comprender, a mi cliente casi le da un paro cardíaco. Comenta en esa misma llamada con el agente del Banco que él no ha autorizado los bizums, que no ha puesto ningún código para aceptar enviar a un señor de la india, estas cantidades de dinero y que, por favor, lo pararan. El Banco, inmediatamente, procede a frenar el envío de dinero y, con suerte, acabo sólo con una deuda de 1.500 euros.
Mi cliente, bien asesorado por su pareja, que también es jurista, procedieron a hacer una denuncia a la Policía Nacional donde alertaron de los hechos. Éstos, evidentemente, lo interpretaron como un delito de phishing.
¿Qué es un delito de phishing?
- Llamamos phishing a las prácticas ilegales de piratas informáticos para apropiarse de datos personales y claves bancarias con la intención de suplantar nuestra personalidad y atacar a nuestro patrimonio.
- La palabra phishing abarca un amplio catálogo de prácticas tan fraudulentas como a menudo sofisticadas con el denominador común de pretender “pescar” nuestros datos personales -de ahí el verbo inglés empleado para bautizarlo-para operar en nuestro nombre a través de servicios bancarios online y disponer a voluntad de nuestro patrimonio.
Las técnicas utilizadas por los ciberdelincuentes a la hora de hacerse con esta valiosa información son casi infinitas pero a menudo presentan un rasgo común: los piratas se ponen en contacto con nosotros haciéndose pasar por nuestra entidad financiera, por ejemplo, y nos solicitan que visitemos su página web para introducir información de seguridad (claves secretos, números PIN, contraseñas…) con la excusa de resolver algún tipo de problema relacionado con la operativa de nuestra cuenta, tarjetas de crédito, etc.
El problema está en que ni la petición proviene del banco ni la página a la que se nos dirige es la de la entidad, aunque pueda parecer absolutamente idéntica, y lo que estamos haciendo es facilitar a los delincuentes la información que necesitan para realizar compras online, ordenar transferencias o contratar préstamos a nuestro nombre.
¿QUÉ RESPONSABILIDAD TIENEN LAS ENTIDADES BANCARIAS?
La normativa europea y su transposición a la legislación española no sólo introduce medidas significativas en cuanto a reforzar la seguridad de las personas usuarias. También acentúa la responsabilidad de las propias entidades a la hora de supervisar las operaciones de sus clientes y usuarios para detectar la existencia de prácticas fraudulentas que puedan suponer riesgo o indiquen, aunque sea de forma indiciaria, que la seguridad de la operación podría haber sido comprometida.
Por tanto, las entidades -que son las proveedoras de los servicios de pago online- deben estar en disposición de detectar si la integridad de los diferentes elementos de autenticación empleados para validar una operación han sido objeto de sustracción o la presencia de software malicioso (conocido como ‘malware’) en las posibles transacciones. Asimismo, las entidades tienen la obligación de analizar las diferentes operaciones realizadas a través de los medios que pone a disposición de sus clientes para identificar operaciones susceptibles de ser fraudulentas, hasta el punto de poder bloquearlas y no permitirlas sin validar de forma fehaciente que es el usuario quien realmente está autorizándolas y no alguien que ha suplantado su personalidad con fines delictivos.
En este sentido, es muy importante recordar que la Ley de Servicios de Pago establece con claridad que las únicas operaciones válidas son aquellas que cuentan con el consentimiento de la persona ordenante y, por tanto, cuando un usuario niega haber otorgado este consentimiento, las entidades están obligadas a devolverle de forma inmediata el importe de la operación.
Sin embargo, es habitual cuando se da uno de estos supuestos en que los datos han sido obtenidos ilícitamente por un tercero con fines delictivos, el cliente afectado se encuentre, en primer término, con la negativa de la entidad a devolver el dinero. ¿Sobre qué fundamento lo hacen? Pues básicamente, pretenden ampararse en una supuesta carencia de diligencia del propio cliente a la hora de conservar y proteger sus datos personales.
La falta de diligencia, efectivamente, exonera de responsabilidad a las entidades, tal y como prevé el artículo 46 de la Ley de Servicios de Pago. Ahora bien, y según la legislación vigente, esta negligencia debe ser grave e imputable en exclusiva a la propia persona y, en este sentido, los tribunales españoles no suelen apreciar negligencia por parte de los usuarios y usuarias salvo en los casos más graves y evidentes , especificando una y otra vez en numerosas sentencias que son los bancos los responsables de mantener la seguridad de los medios utilizar para operar de forma telemática, adquirir productos o servicios y realizar transferencias, aparte de cualquier otra operación financiera.
En cualquier caso, y esto conviene tenerlo bien presente, para quedar exento de responsabilidad deberá ser el propio banco quien demuestre de forma fehaciente que su cliente ha actuado con negligencia y que los perjuicios sufridos son imputables en exclusiva a la suya propia persona.
QUÉ HACER CON LAS VÍCTIMAS DE PHISHING
Como anteriormente he comentado, mi cliente hizo su primer paso de forma correcta: formalizar una denuncia frente a la Policía.
Después de la mencionada denuncia, se debe hacer una reclamación al Banco. Esta sólo se podrá dar si el consumidor no ha autorizado los pagos, pues si éste lo ha hecho, no habrá oportunidad a la reclamación dineraria a la entidad bancaria.
No obstante, en la reclamación deberemos argumentar jurídicamente porqué les pedimos el dinero sustraído. Esto se puede hacer gracias a la doble vía de responsabilidad que tienen las entidades bancarias para con el cliente.
La primera es la responsabilidad derivada de la ley, por tanto, deberemos aplicar la Directiva (UE) 2015/2366 de Servicios de Pago (DSP2) y en el Real Decreto-Ley 19/2018, de 23 de noviembre, de Servicios de Pago (LSP).
Se trata de una obligación de carácter cuasi-objetivo, lo que quiere decir que se presume que el titular de la tarjeta no ha autorizado la operación, de forma que es el banco el que debe probar:
1. Que ha implementado las medidas técnicas de seguridad necesarias establecidas en la DSP2 y desarrolladas por el Reglamento 2018/389.
2. Que remitió al titular la clave dinámica aleatoria de un solo uso y que fue él quien la recibió en su dispositivo y usó para validar la operación.
3. Que el demandante ha incurrido en negligencia grave.
En definitiva, se trata de que el juez valore el tipo de estafa, si tiene entidad suficiente para considerarse que lleva un engaño bastante (o si por el contrario es un burdo engaño) y si puede considerarse que el cliente actuó con negligencia grave cuando fue víctima de un engaño bastante. También tiene que valorar si las medidas de seguridad del banco son suficientes para prevenir este tipo de fraudes, porque si no lo son el banco ha incumplido sus obligaciones legales y, por ese motivo, se ha podido producir la estafa y las propias órdenes de pago no autorizadas.
Hay un aforismo jurídico que dice “las ventajas de una cosa aprovechan al que sufre los inconvenientes”, lo que en sentido contrario quiere decir que el quien se aprovecha de las ventajas, tiene que sufrir los inconvenientes. Quien se aprovecha de los pagos con tarjeta (el banco) debe sufrir los inconvenientes de ese negocio.
¿Quieres conocer otros tipo de estafas? No te pierdas Un apunte jurídico sobre las “criptoestafas”.
