El Phishing como modelo de estafa telemática, qué es y cómo defenderse

Cada vez es más frecuente recibir mensajes de advertencia de las entidades bancarias de posibles ataques de “Phishing”, ofreciéndonos recomendaciones y ejemplos para poder detectarlos. El “Phishing” (que proviene del inglés “fishing”: pescar) es un tipo de estafa fraudulenta empleada por ciberdelincuentes para conseguir, mediante distintos medios, que el usuario “pique el anzuelo” y revele información personal confidencial como contraseñas bancarias o información de tarjetas de crédito.

El modus operandi de este tipo de estafas es generalmente el envío de correos electrónicos o mensajes SMS a los usuarios, suplantando la identidad de conocidas empresas, marcas u organismos oficiales, utilizando sus logos para generar confianza, e invitando a pinchar enlaces a páginas falsas, programas o descargas de ficheros adjuntos a fin de que el usuario, en la creencia y buena fe de la procedencia de la fuente, rellene formularios con datos personales, o facilite contraseñas, claves personales, datos bancarios y cualquier otra información sensible y confidencial. En la mayoría de las ocasiones, el usuario afectado no habrá sido consciente de la estafa hasta que no recibe una comunicación bancaria de transferencia o movimiento bancario dudoso o de abultado importe o, en el peor de los casos, una comunicación policial.

OBLIGACIONES DE LAS ENTIDADES BANCARIAS

En todo caso, los afectados deben saber que las entidades bancarias están obligadas a prevenir posibles ataques de phishing a sus clientes, así como de responder de las consecuencias económicas derivadas de un ataque de phishing. Esta obligación para las entidades financieras viene recogida en el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera así como en la legislación de consumidores y usuarios, que establecen que es preciso contar en todas las operaciones de pago con el consentimiento del ordenante. La falta de consentimiento de éste, en cualquier operación de pago, conllevará que la misma se considere no autorizada y dará lugar a que la entidad bancaria responda de las consecuencias económicas.

NOTIFICACIÓN PREVIA

Para ello, no basta que el usuario afectado niegue haber prestado su consentimiento, debe cumplir con el protocolo de notificación al banco que dispone el citado Real Decreto-Ley. Y es que el afectado está obligado a notificar a su entidad bancaria cualquier operación de pago no consentida por éste inmediatamente a ser conocida y, en todo caso, en periodo no superior a trece meses desde la fecha de la transacción. Desde este momento, la entidad crediticia estará obligada a devolver a su cliente el importe del adeudo de inmediato o, como mucho, al día hábil siguiente a la notificación de la operación. Al margen de ello, si el banco sospecha que puede existir fraude, lo deberá comunicar al Banco de España.

RESPONSABILIDAD DEL BANCO

Como hemos adelantado, las entidades financieras son responsables en este tipo de estafas en cuanto proveedoras de servicios de pago electrónicos, porque estas transacciones electrónicas son generadoras de fuentes de riesgo a través de lo que se denominan “fugas del sistema”. Es decir, que la falsedad de una operación telemática no consentida es un riesgo a cargo del banco porque, en principio, el deudor sólo se libera pagando al verdadero acreedor por lo que, si el banco cumple una orden falsa, habrá de reintegrar en la cuenta correspondiente las cantidades cargadas.

De este modo, las entidades bancarias tienen la obligación de implementar todas aquellas medidas de seguridad que sean necesarias para asegurar la autenticidad así como la identidad de quien ordena el pago. Este específico deber de vigilancia da lugar a una responsabilidad por “culpa in vigilando” o responsabilidad objetiva por el mal funcionamiento de los servicios de banca electrónica para el caso de que la entidad permita una operación de adeudo sin haber comprobado previamente mediante todas las medidas técnicas necesarias, la identidad del ordenante.

Se considera que la responsabilidad del proveedor de los servicios de banca online es siempre generadora de riesgo, por lo que existe una inversión de la carga probatoria, de tal manera que es el banco al que le corresponde acreditar la existencia de fraude o negligencia grave del afectado si quiere quedar exonerado de responsabilidad. Así lo vienen reconociendo las sentencias dictadas en la materia por nuestros Tribunales, cada vez más frecuentes al ser creciente el número de perjudicados por este fraude que deciden reclamar judicialmente a su entidad bancaria la devolución del dinero sustraído por ciberdelincuentes mediante la técnica de “Phishing”.

Entre otras, recientemente se ha conocido la sentencia que condena al Banco Santander por falta de diligencia en un caso de ‘phishing’. La entidad ha tenido que devolver a una clienta los 17.350 euros que le fueron sustraídos de su cuenta por no contar con un protocolo de seguridad fiable capaz de identificar las irregularidades.

LA EXPERIENCIA DE CONTAR CON HISPACOLEX

Desde HispaColex nos hemos encargado de la defensa de clientes en este tipo de estafas con resultado satisfactorio en todos los casos que hemos llevado. Y es que, en general, las entidades bancarias condenadas judicialmente a devolver lo indebidamente sustraído a sus clientes, no están oponiéndose a las sentencias dictadas en los Juzgados de 1ª Instancia.

Quizá por eso, para nuestra firma, sea especialmente significativa la sentencia favorable que con fecha 14 de diciembre de 2022 hemos obtenido en la Audiencia Provincial de Jaén, en la que, tras la oposición de la Caja Rural, se la vuelve a condenar a reintegrar a nuestro defendido la cantidad de 6.000 euros más los intereses que se dejaron de percibir desde la transferencia fraudulenta.

Nuestra recomendación no puede ser otra que animar a quienes sean víctimas de Phishing o de otras modalidades de estafas online a que reclamen siempre guiados por los abogados especializados en fraude electrónico de HispaColex Bufete Jurídico.