Cada vez son más los familiares, amigos, compañeros, clientes, etc. que me consultan qué pueden hacer para reclamar un cargo que han recibido en su cuenta, en su tarjeta de débito o crédito, etc. sin su autorización.
Esto no es del todo nuevo. Al principio eran los bandoleros que asaltaban las diligencias, luego los atracadores de banco y ahora son los estafadores que se sirven de “La Red» para apropiarse del dinero de otras personas.
Muestra de lo anterio es la noticía (aquí) publicada hace escasos días en “El Confidencial” en la que se hacen eco del las más de 50.000 descargas de un troyano de nombre Xenomorph que está afectando a un gran número de clientes españoles.
Tanto se ha incrementado el número de personas afectadas phishing y otras modalidades de estafas informáticas que incluso la CNMV publicó a finales de enero de 2023 una guía para prevenir fraudes informáticos. Tal como podrán ver la guía se hace eco de las técnicas de suplantación por e-mail, sms e incluso llamadas telefónicas. Les dejo enlace para poder consultarla.
Todas las experiencias que me cuentan tienen varias cosas en común:
- La impotencia del protagonista de la historia (más que la cantidad defraudada se sienten cabreados porque no han podido evitarlo)
- Que alguien se ha hecho pasar por el Banco y le ha pedido que confirme sus datos, claves, etc. A veces incluso reciben la llamada o e-mail con los mismos canales de contacto que el Banco.
- La pregunta: ¿qué hago? ¿Pongo una denuncia?, ¿Reclamo al banco? ¿A mi seguro de hogar?
Lo primero a realizar es denunciarlo de inmediato en las autoridades y lo segundo interponer reclamación escrita a la entidad bancaria adjuntando copia de la denuncia que se ha formulado.
Tras realizar la reclamación al banco la mayoría reciben una respuesta tipo:
- Lo lamentamos, entendemos que Vd. ha consentido expresamente la transacción
- Tenemos indicios o pruebas de que Vd. solía comprar a través de esa determinada web / operador
- Es su exclusiva responsabilidad porque no ha sido lo suficientemente diligente guardando sus claves.
Debemos tener en cuenta que la entidad bancaria les va a contestar rápidamente y de forma muy breve que no pueden darles la razón porque llevar a cabo esa respuesta les resulta económica y, sobretodo, muy efectiva. Me explico: contestar con una carta tipo o modelo y enviarsela a su casa por correo sin certificar o contestarles el e-mail no conlleva un coste muy elevado para la empresa y además, servirá para que un alto porcentaje de clientes desistan de reclamar en la vía judicial.
Por tanto, como decía, estratégia muy efectiva. Se podrán quitar varias reclamaciones con una simple respuesta.
Pero, yendo al grano, ¿realmente es el banco responsable en caso de que me suplanten la identidad y realicen una compra o transferencia que yo no he consentido?
La respuesta breve es sí, en la mayoría de los casos. Sólo si Vds. no han guardado diligentemente sus claves o hayan sido objetos de una estafa muy obvia el Banco podrá esquivar su responsabilidad.
Debemos tener en cuenta que, en general, los bancos tienen la responsabilidad de proteger a sus clientes de los fraudes de phishing. El phishing es una forma común de fraude en línea en la que los estafadores intentan engañar a las personas para que revelen información personal o financiera, como contraseñas o números de tarjetas de crédito.
Las entidades financieras tienen la responsabilidad de proteger la privacidad y seguridad de la información de sus clientes. Así pues, si un cliente es víctima de un ataque de phishing y pierde dinero como resultado, el banco puede ser considerado responsable si se determina que no ha implementado medidas adecuadas de seguridad para proteger a sus clientes de los ataques de phishing.
Sin embargo, es importante tener en cuenta que los clientes también tienen la responsabilidad de tomar medidas de seguridad para proteger sus propias cuentas bancarias y evitar caer en trampas de phishing. Algunas medidas que los clientes pueden tomar incluyen no hacer clic en enlaces sospechosos en correos electrónicos, no proporcionar información personal o financiera a través de mensajes de correo electrónico o sitios web no seguros, y utilizar contraseñas seguras y únicas para cada cuenta en línea.
La explicación jurídica del motivo por el cual los bancos deberían responder de las cantidades sustraídas es que las entidades bancarias, como depositarias y custodias de las cantidades que hay en cuentas, estarán obligados tanto por lo dispuesto en el propio Código Civil como por lo desarrollado por normativa europea.
Así el artículo 95 de la DIRECTIVA (UE) 2015/2366 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior (PSD2 o “Directiva de Servicios de Pago”), dispone como «[l]os Estados miembros velarán por que los proveedores de servicios de pago establezcan un marco con medidas paliativas y mecanismos de control adecuados para gestionar los riesgos operativos y de seguridad relacionados con los servicios de pago que prestan. Como parte de ese marco, los proveedores de servicios de pago establecerán y mantendrán procedimientos eficaces de gestión de incidentes, en particular para la detección y la clasificación de los incidentes operativos y de seguridad de carácter grave.»
La citada Directiva se incorporó a nuestro ordenamiento jurídico a través del Real Decreto Ley 19-2018, de 23 de noviembre, de Servicios de Pago y otras medidas urgentes.
Pues bien, como expresión práctica del referido art. 95 las directrices sobre gestión de riesgos TIC y de Seguridad (EBA/GL/2019/04), marcadas por la Autoridad Bancaria Europea «especifican las medidas de gestión de riesgos que las entidades financieras (según se definen en el párrafo 9) deben adoptar de conformidad con el artículo 74 de la DRC para gestionar sus riesgos de TIC y de seguridad de todas las actividades y que los proveedores de servicios de pago (PSP según se definen en el párrafo 9) deben adoptar (…)» y define entre otras las obligaciones que las entidades financieras en materia de prevención de Riesgos de TIC y de Seguridad. Se entienden como tales los riesgos «de pérdida debido a la violación de la confidencialidad, al fallo de la integridad de los sistemas y los datos, a la inadecuación o indisponibilidad de los sistemas y los datos o a la imposibilidad de cambiar las tecnologías de la información (TI) en unos plazos y con unos costes razonables cuando cambian las necesidades del entorno o del negocio Este riesgo incluye riesgos de seguridad resultantes de la inadecuación o el fallo de procesos internos o de sucesos externos, incluido el riesgo de ciberataques o el riesgo derivado de una seguridad física inadecuada»
Cuando un usuario de los servicios de pago niegue haber autorizado una operación de pago ejecutada, no bastará para demostrar que la operación de pago ha sido autorizada por el ordenante, ni que este ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones; al contario, deberá ser la entidad financiera la que deberá aportar pruebas para demostrar que el usuario del servicio de pago ha cometido fraude o negligencia grave y que la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable.
En definitiva, las entidades bancarias tienen obligación de usar una autentificación reforzada y de incrementar el nivel de protección de los usuarios frente a sus pagos o accesos a las cuentas así como la de acreditar que si se ha producido phishing o cualquier otro medio de sustracción o disposición injustificada no ha sido porque sus procesos han fallado sino sólo y exclusivamente porque el usuario no fue diligente.
La citada Di