Los ciberdelincuentes no descansan y son una amenaza para la seguridad de nuestros datos. En esta ocasión, «El Consultorio Legal» de Durán y Durán Abogados analiza diversas cuestiones sobre el phising y expone dos sentencias, dos casos de éxito. Izaskun Martínez Martinez de Lagrán Gómez, abogada generalista de Durán y Durán Abogados es quien hace el análisis.
1.- ¿Qué es el phishing bancario?
Es una estafa informática que suele comenzar con la suplantación de identidad de la víctima para poder acceder a los datos bancarios y a su cuenta electrónica al objeto de realizar transferencias o compras no autorizadas.
Aumentan las campañas de correos y llamadas que tratan de suplantar a las entidades bancarias y así conseguir acceder a las cuentas bancarias de las víctimas. En dichos correos y llamadas en ocasiones, se utiliza como excusa el realizar un proceso de verificación de datos para desbloquear la cuenta de la víctima.
CONSEJOS PARA LOS CIUDADANOS
2.-Recomendaciones para no ser objeto de phishing:
– No abra correos o mensajes de usuarios desconocidos o que no haya solicitado.
– Tenga mucha precaución al seguir enlaces, aunque sean de contactos conocidos.
– Nunca entre en la web de su banco pulsando en links incluidos en correos electrónicos.
– Introduzca sus datos confidenciales únicamente en webs seguras.
– Compruebe la URL para ver si se trata de la entidad que espera. Si no es así, no facilite ningún tipo de información personal: nombre de usuario, contraseña, datos bancarios, etc.
– Revise periódicamente sus cuentas bancarias.
– Ante la mínima duda, sea prudente, consulte directamente con la entidad bancaria.
No abra correos o mensajes de usuarios desconocidos o que no haya solicitado.
3.- ¿Qué debería hacer si he sido víctima de phishing?
La responsabilidad del banco es cuasi-objetiva. ¿Qué significa esto? Pues que el banco es el responsable de implementar todos los mecanismos de seguridad necesarios para que el fraude online en su cuenta no se produzca, a excepción de negligencia grave del usuario.
La negligencia grave del usuario de banca electrónica generalmente no ocurre, dado que la actuación de suplantación de los estafadores provoca que el usuario piense que está tratando con su entidad financiera, por lo que le es imposible detectar el fraude.
4.- ¿Contra quién puedo reclamar?
Podría reclamar contra los delincuentes por la vía penal y asimismo contra la entidad financiera por la vía civil, en el plazo máximo de un año. No obstante, suele ser complicado encontrar a los delincuentes ya que suelen estar en el extranjero, es mucho más efectiva la reclamación a la entidad financiera por la vía civil en base a la Ley de Servicio de Pago.
DOS SENTENCIAS
5.- Casos de éxito. Vamos a comentarles las últimas sentencias sobre phishing que dan la razón al afectado.
Sentencia de la Audiencia Provincial de Zaragoza 804/2022 de fecha 1 de julio de 2022:
“En definitiva, como recuerda la S.A.P. Barcelona, secc.14, 151/2013, de 7 de marzo, el banco no puede ofrecer un sistema online sin adoptar las medidas de seguridad necesarias, ya que es la entidad la que ofrece ese servicio con conocimiento de los riesgos que comporta.
De acuerdo con la Agencia Española de Protección de Datos (Resolución del Expediente Nº : NUM000 , DE 24 DE MAYO DE 2006): » el objetivo de los ataques de «phishing» es la obtención de forma engañosa y fraudulenta de los códigos de usuarios y contraseñas de clientes de Banca Electrónica, al objeto de realizar transferencias no autorizadas…Su operatoria comienza con la adquisición en internet de un «paquete de herramientas», que incluyen programas informáticos e información necesaria para realizar los ataques.”
-Sentencia de la Audiencia Provincial de Madrid 184/2022 de fecha 20 de mayo de 2022:
“Invoca al respecto las obligaciones que imponen a la entidad bancaria el Real Decreto Ley 19/2018 de 23 de noviembre de Servicios de Pago, la Directiva (UE) 2915/2366 del Parlamento y del Consejo, de 25 de noviembre sobre servicios de pago en el mercado interior y el Reglamento delegado (UE) 2018/389 de la Comisión de 27 de noviembre de 2017.”
Por el contrario, la responsabilidad exigida a la entidad demandada, como proveedora del servicio, es la que se deriva de la naturaleza de tal prestación y de la posición contractual en la que se encuentran las partes, lo que le obliga a adoptar una serie de medidas de seguridad y dotarse de mecanismos de supervisión que permitieran detectar operaciones fraudulentas en la prestación de servicios de pago, tal como señala el artículo 2 del Reglamento Delegado 2018/389, pues como se indica también en la sentencia citada de la Audiencia de Pontevedra, incluyendo la técnica del phishing”.
la responsabilidad exigida a la entidad demandada, como proveedora del servicio, es la que se deriva de la naturaleza de tal prestación
-Sentencia de la Audiencia Provincial de Vigo 539/2021 de fecha 21 de diciembre de 2021:
“Cuando el proveedor de servicios de pago no acredite el cumplimiento de los deberes de diligencia propios en la autenticación habrá de responder de la pérdida resultante del uso fraudulento del instrumento de pago por un tercero salvo que concurra el fraude del ordenante”.
“De lo expuesto se concluye que la entidad demandada no habría acreditado la observancia de los deberes de diligencia que le eran exigibles en la autenticación de las operaciones de pago, pues ni habría probado haber implementado un mecanismo antiphising de protección de los usuarios de los instrumentos de pago por ella emitidos frente al uso fraudulento por un tercero de páginas imitativas de las propias para hacerse con las credenciales del instrumento”
-Sentencia de la Audiencia Provincial de Alicante 107/2018 de fecha 12 de marzo de 2018:
“Porque conforme a la doctrina jurisprudencial en materia de phising la responsabilidad de la titular de la banca online es de naturaleza cuasi-objetiva, derivada de la exigencia a la entidad titular del servicio online de adoptar medidas de seguridad necesarias y renovables ante los distintos modos de fraude informático, en modo tal que salvo que se acredite la negligencia grave por parte del usuario de la banca electrónica, la entidad financiera debe responder del reintegro de los importes obtenidos de forma fraudulenta”.
en materia de phising, la responsabilidad de la titular de la banca online es de naturaleza cuasi-objetiva
Tanto en la banca telefónica como por internet, el proveedor de servicios de pago, o lo que es lo mismo, el banco emisor, debe implementar las medidas necesarias para asegurar la autenticación e identidad del ordenante a la hora de prestar su consentimiento. Por ello y para su ejecución, el banco debe comprobar en todo caso la autenticidad de la orden y, salvo pacto en contrario, que existe saldo suficiente.
Este es el principio se recoge hoy en el art. 30 , 31 y 32 LSP . En concreto, dispone el art. 30 LSP que
“(…)”
En consecuencia, hay responsabilidad bancaria por los defectos de seguridad del sistema que determina la ejecución de órdenes de pago no autorizadas por su cliente, con la única excepción de que el banco acredite la culpa o negligencia de la víctima.
PRESTADORA DE SERVICIOS
En primer lugar, que la responsabilidad de Barclays, en tanto prestadora de los servicios de banca online y respecto de los perjuicios que con ocasión de su uso pueden padecer los usuarios de la misma, tiene naturaleza cuasi-objetiva o de riesgo por razón legal.
En segundo lugar, que Barclays si infringió sus obligaciones, tanto contractuales de implementación del sistema de las medidas de seguridad exigibles para un uso seguro por su cliente, como extracontractuales, al no haber actuado con diligencia tras la denuncia del fraude informático padecido en la cuenta de la cliente al acceder al sistema online terceros no autorizados para operar con aquella, todo lo cual deriva no solo en lo ya expuesto con ocasión del primero de los motivos sobre el alcance de la presunción iuris tantum en materia de carga de la prueba, sino en el alcance de dicha presunción que en caso de concurrencia de la conducta descrita se extiende tanto al dolo o culpa grave como a su incidencia causal en la provocación o agravamiento de la insolvencia.
En todo caso, y como ha quedado explicitado a lo largo de esta sentencia, la no acreditación de las necesarias medidas de seguridad, la acreditación de la diligencia de la usuaria, y la inacreditación de la conducta posterior a la denuncia del fraude por el banco, omitiendo las medidas necesarias para evitar, en su caso, la pérdida definitiva del dinero, constituyen los presupuestos que permiten apreciar la realidad de una causalidad adecuada entre la conducta omisiva de la entidad y el resultado dañoso.
-Sentencia de la Audiencia Provincial de Vizcaya de 10 de noviembre de 2016. -EDJ 2016/246817
En definitiva, lo que no puede ofrecerse es un sistema on-line sin adoptar las medidas de seguridad necesarias, conociendo además de su existencia, por lo que, la declaración del legal representante de la demandada en juicio, al igual que la contestación que recibe por carta el actor, no pueden admitirse, en una exención total de responsabilidad sin más.
Pues, por más recomendaciones que se hagan al usuario o cliente, como se alega por La Caixa, es ésta la que ofrece un producto en principio seguro, pero con conocimiento de los distintos riesgos ajenos a un uso del cliente con todas las recomendaciones, por lo que corresponde a la misma adoptar las medidas de seguridad o control necesarias, y renovarse ante los distintos modos de «ataque» informático.
LO QUE NO PUEDE OFRECERSE ES UN SISTEMA ON-LINE SIN ADOPTAR LAS MEDIDAS DE SEGURIDAD NECESARIAS
(…)
La sentencia de primera instancia desestima la demanda porque imputa una negligencia grave en los demandantes, quienes entregaron las claves bancarias a terceros sin que en su caso tuviera relevancia en el fraude la mayor o menor vulnerabilidad del sistema bancario on-line de la demandada; pero dicha afirmación para esta Sala es errónea, en razón a que precisamente a la entidad bancaria demandada le incumbe proteger a sus clientes de cuantas conductas se realicen a través de la banca electrónica y ello en cuanto que precisamente este tipo de fraude comienza con la posibilidad de que los defraudadores interesan las claves de acceso a los clientes de los bancos (en este incide la mecánica delictiva).
Téngase en cuenta que el fraude se comete creando los delincuentes una página web similar a la del banco, que se realizan a través de la línea bancaria reiteradas operaciones en la misma semana (hasta 30 movimientos) y por cantidades elevadas, lo cual no era propio de estos clientes; que no solo se efectuaron transferencias de cuentas sino que se emitieron órdenes de venta de valores de los que el banco tiene suscrito un contrato de guarda y custodia y cobrando por dicha prestación que resulta obvia que ha sido burlada fácilmente sin ninguna comprobación exhaustiva; por el banco no se realizó ninguna comprobación cuando además tras obtener la cantidad de la venta, dicha cantidad se transmitía a cuentas de terceros y de éstas a cuentas en el extranjero por las que recibían una comisión (en tal extremo recuerdese que esta cuenta de valores hasta ese momento no había tenido actividad alguna; se trataba de parte de la herencia de la Sra. Guillerma)
(…)
Dichas circunstancias vienen a contemplar un sistema bancario electrónico diseñado por la entidad demandada adoleciendo de seguridad, la oferta a los clientes para operar a través de dicha banca electrónica y que es un hecho conocido de que cada vez se impone más por las entidades bancarias a los clientes, eliminando los servicios en ventanilla, se publicita por ser seguro contener los filtros para detectar fraudes y operar de forma fiable siendo así que en cuanto se ha probado la mecánica de la facilidad para operar por terceros no autorizados a través de la banca electrónica de la demandada difícilmente podemos decir de que el banco demandado no haya incurrido en negligencia grave de sus obligaciones, se han permitido efectuar operaciones bancarias (30 movimientos) sin superar ningún filtro cuando la legislación bancaria tiende precisamente a establecer que se efectúen y se establezcan diferentes controles por los bancos en protección de los clientes, tendiendo a establecerse una responsabilidad cuasi objetiva de las entidades bancarias en cuanto deben soportar los riesgos de su actividad profesional en cuanto que se establece con el cliente una responsabilidad contractual del servicio de depósito, custodia y pagos de las cuentas del cliente.
Como puede observar la mayoría de las sentencias dan en este tipo de casos la razón a la víctima, obligando a la entidad a reintegrar el importe total defraudado al afectado de phishing.
6- ¿Sería posible la mediación con el banco sin llegar hasta los tribunales?
Generalmente la mediación es una estrategia de las entidades, ya que al optar por esa acción normalmente conlleva la renuncia del afectado a la interposición de acciones judiciales.
Por eso nosotros quedamos a la disposición de los afectados tanto para la reclamación como si quieren que les asesoremos antes de firmar un acuerdo con su entidad bancaria.
No se desanime, le aconsejamos que se asesore y que no acepte acuerdos sin asesorarse ANTES por profesionales especializados en estos temas.
Tiene varias formas de contacto para informarse, son las siguientes:
A través del teléfono gratuito 900.83.30.20
A través de la web www.duranyduranabogados.com
