Opinión

Por qué los bancos están obligados a responder de las estafas por 'phishing'

Foto: Istock

Dentro de los delitos tecnológicos, las estafas relacionadas con las cuentas bancarias a partir de la sustracción de los datos de acceso de los clientes están al alza, y cada vez hay más gente que sabe qué es eso que se conoce como phishing.

Detrás de esta palabra en inglés encontramos múltiples técnicas de los ciberdelincuentes para hacerse con las credenciales bancarias de los usuarios, y hasta con la información personal, con el fin de suplantar la identidad y operar con las cuentas de los usuarios estafados para realizar transferencias, copias de tarjetas de crédito y desvíos de dinero, entre otras prácticas ilegales.

Las estafas más frecuentes suelen ser aquellas que, a partir de un SMS o un correo electrónico, suplantan la identidad visual del propio banco y redirigen a una web clonada que realmente no es la de la entidad, sino una creada por estos delincuentes en la que se pide que se introduzcan unas claves de acceso, que pasan a su poder para perpetrar el fraude.

Contra lo que se pudiera pensar, el cliente no es el responsable en la mayoría de ocasiones por haberse dejado engañar, sino que la Justicia ya le está dando la razón ante los bancos porque, de un tiempo hasta aquí, existe un nuevo marco normativo europeo cuya finalidad es la de generar un entorno más seguro y fiable para los usuarios.

Así lo recoge el Real Decreto-Ley 19/2018, de 23 de noviembre, de Servicios de Pago, que transpuso al ordenamiento interno la Directiva (UE) 2015/2366 del Parlamento y del Consejo, de 25 de noviembre, sobre Servicios de Pago en el Mercado Interior.

Esta Ley de Servicios de Pago (LSP) impone una serie de derechos y obligaciones tanto a los propios usuarios como a los proveedores de servicios de pago –en este caso, las entidades bancarias–. Así, mientras que a los usuarios se les imponen tres obligaciones (seguir las condiciones pactadas en el contrato, mantener medidas razonables de seguridad y notificar sin demora el extravío o la sustracción de un método de pago), al banco/proveedor se le exige que cumpla con las obligaciones asumidas por contrato, y que desarrolle medidas de seguridad para asegurar la identidad del ordenante de una operación bancaria y la autenticación de esta.

Según esta Ley, las operaciones de pago solo se considerarán autorizadas cuando el ordenante haya dado su consentimiento (Art. 36 de la LSP), por lo que, si el usuario niega haber autorizado una operación, el banco debe devolverle de forma inmediata el importe de esta (Art. 45 de la LSP).

Sin embargo, los bancos se suelen escudar en que el usuario ha actuado de forma negligente en la conservación de sus datos personales. Pero, según el Art. 44 de la LSP, cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada, el banco debe demostrar que la operación fue autenticada, registrada y contabilizada con exactitud.

Por tanto, y vistos los antecedentes que ya sientan jurisprudencia en España, un usuario que haya sido víctima de phishing debe informar inmediatamente a su entidad bancaria para que bloquee el medio de pago y emita nuevas credenciales de seguridad. A continuación, deberá denunciar la sustracción de datos y suplantación de su identidad a la Policía, con todos los detalles del fraude que pueda recopilar, como los mensajes

recibidos del timador, a fin de que no solo se conozca el proceso, sino que también quede clara la falta de consentimiento por su parte. Y acto seguido, deberá reclamar a su banco que repongan en su cuenta el dinero sustraído en las operaciones no autorizadas.

Si el banco, como suele ser habitual, se niega a responsabilizarse del fraude cometido, la mejor solución siempre será poner el caso en manos de abogados especialistas en delitos informáticos, que se encargarán de las acciones legales pertinentes para que el banco afronte su responsabilidad.

Y es que, según el Tribunal Supremo, el phishing es una estafa considerada como "un engaño bastante", y como gracias a ese tipo de treta el usuario ha facilitado, sin quererlo, sus claves a un tercero que ha suplantado la identidad de su banco, no puede haber una "negligencia grave" por parte del usuario, dado que el "engaño bastante" excluye dicha negligencia.

En definitiva, hasta hace poco tiempo, el miedo a perder el juicio, con el consiguiente pago de las costas, echaba atrás a algunos usuarios, que preferían asumir el dinero perdido. Pero actualmente hay cada vez más jurisprudencia que demuestra que la razón suele asistir al usuario perjudicado, porque la supuesta "negligencia grave" que supone haber facilitado las claves, el argumento de rechazo más habitual de los bancos respecto a las reclamaciones de los clientes, no aplica cuando el usuario es objeto de un fraude tan elaborado que podría engañar no solamente a él, sino a muchas personas.

comentarios0WhatsAppWhatsAppFacebookFacebookTwitterTwitterLinkedinlinkedin
Deja tu comentario
elEconomista no se hace responsable de las opiniones expresadas en los comentarios y los mismos no constituyen la opinión de elEconomista. No obstante, elEconomista no tiene obligación de controlar la utilización de éstos por los usuarios y no garantiza que se haga un uso diligente o prudente de los mismos. Tampoco tiene la obligación de verificar y no verifica la identidad de los usuarios, ni la veracidad, vigencia, exhaustividad y/o autenticidad de los datos que los usuarios proporcionan y excluye cualquier responsabilidad por los daños y perjuicios de toda naturaleza que pudieran deberse a la utilización de los mismos o que puedan deberse a la ilicitud, carácter lesivo, falta de veracidad, vigencia, exhaustividad y/o autenticidad de la información proporcionada.