El phising bancario o robo de identidad es una forma de estafa realizada a través de internet, donde los ciberdelincuentes tratan de conseguir y en muchos casos consiguen los datos confidenciales de los usuarios, para acceder de manera fraudulenta a las cuentas bancarias personales.
En el momento en el que el phisher obtiene los datos bancarios, puede extraer dinero de las cuentas bancarias a través de pagos con tarjetas, de transferencias bancarias (donde el beneficiario es en la mayoría de las ocasiones una cuenta corriente abierta en un país no europeo) o a través de extracción de dinero en cajeros automáticos.
¿COMO SE PRODUCE EL PHISHING?
Los phisher para conseguir los datos bancarios, engaña al usuario haciéndose pasar por un banco, empresa u organización real, con el fin de que el perjudicado revele información confidencial sobre datos bancarios, contraseñas, números de cuenta…
Una de las técnicas mas utilizados que observamos en la actualidad es el envío de un correo electrónico o SMS haciéndose pasar por tu entidad bancaria, pareciendo que es el propio banco el que te envía el mensaje, con el fin de que introduzcas una contraseña, valides tu cuenta o actualices tus datos. Es de señalar que las modalidades de phishing son diversas, y además del método ya mencionado también suplantan la identidad de empresas y organizaciones reales como pueden ser Microsoft, Wallapop o Amazon entre otras, a través de un SMS, mediante llamadas telefónicas o bien redireccionando al perjudicado a paginas web falsas con apariencia de oficiales. De este modo, el ciberdelincuente después de los datos proporcionados por el perjudicado podrá acceder a las cuentas y proceder a la estafa.
¿QUE HACER SI SOMOS VÍCTIMAS DEL PHISING?
El phising esta regulado como estafa en el Código Penal con penas de prisión de 6 meses a 3 años, pudiendo llegar hasta los 6 años de prisión en caso de que se den determinadas circunstancias agravantes, como puede ser que el valor de lo defraudado exceda de 50.000 euros o que la estafa haya afectado a un numero elevado de personas.
En el caso en que un ciberdelincuente acceda a nuestras cuentas bancarias y nos sustraiga dinero debemos hacer lo siguiente:
- Cambiar las contraseñas que se hayan visto comprometidas.
- Ponernos en contacto con la entidad bancaria a fin de exponerle la situación y sobre todo es muy importante anular la tarjeta de crédito o proceder al bloqueo de la cuenta y así evitar posteriores retiradas de dinero.
- Guardar los mensajes que originaron el delito, es muy importante recopilar toda la información posible ya que puede ser de utilidad para rastrear a los ciberdelincuentes.
- Denunciar el phishing bancario ante el Instituto Nacional de Ciberseguridad, este es un organismo que recibe las denuncias de casos de fraude con modalidades de internet.
- Denunciar ante las Fuerzas y Cuerpos de Seguridad del Estado.
Es muy difícil que las victimas de phishing recuperen las cantidades sustraídas de la cuenta bancaria en la vía penal ya que resulta muy difícil encontrar al ciberdelincuente y, cuando se sabe su identidad, en muchos casos este resulta ser insolvente.
¿COMO RECLAMAR A MI BANCO POR UNA ESTAFA DE PHISHING?
Se puede reclamar al banco por una estafa de phishing para la devolución de las cantidades cuando se cumplan los siguientes requisitos, a través de las normativas que regula la seguridad en las transacciones bancarias tal y como se expondrá a continuación.
El Reglamento Delegado de la Unión Europea 2018/389 establece que los bancos, que son los proveedores de los servicios/medios de pago, deben disponer de mecanismos de supervisión de las operaciones que les permitan, detectar los intentos de utilizar credenciales de seguridad personalizadas del usuario de un servicio de pago, que hayan sido objeto de extravío, robo o apropiación indebida. Además, debe asegurar que quien hace uso del servicio de pago es el usuario legitimo.
¿TENDRÍA QUE DEVOLVERME EL DINERO EL BANCO?
La Ley de Servicios de Pago establece que cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada, el banco debe demostrar que la operación fue autenticada, registrada y contabilizada con exactitud. Y cuando en estos casos el cliente no autoriza la operación de forma expresa, consciente y voluntaria, sino que es un tercero quien ejecuta esas operaciones, tras conseguir las claves personales del cliente a través de estafa o engaño haciéndose pasar por un tercero legitimo el banco tiene que hacerse responsable de la estafa.
La Ley de Servicios de Pago instituye cuando se ejecute una orden de pago no autorizada, el banco debe devolver al cliente el importe de la operación, salvo en caso de negligencia grave del cliente. Dicha negligencia grave, no obstante, no existe cuando nos encontramos ante una suplantación de identidad.
¿PUEDE ALEGAR EL BANCO QUE EL CLIENTE ES EL CULPABLE DE LA ESTAFA?
El banco solo puede quedar exento de responsabilidad en casos de negligencia grave del perjudicado de acuerdo con la Ley. La negligencia grave no existe cuando el cliente es engañado a través de SMS o correo electrónico ya que el banco debe adoptar todas las medidas necesarias para evitar que los ciberdelincuentes accedan a las cuentas bancarias y sustraigan el dinero.
Es una obligación de carácter cuasi-objetivo, es decir que se presume que el titular de la tarjeta no ha autorizado la operación, de forma que es el banco el que debe probar:
- Que ha implementado las medidas técnicas de seguridad necesarias establecidas en la DSP2 y desarrolladas por el Reglamento 2018/389.
- Que remitió al titular la clave dinámica aleatoria de un solo uso y que el fue quien la recibió en su dispositivo y usó para validar la operación.
- Que el demandante ha incurrido en negligencia grave.
La Jurisprudencia en este sentido establece que la Entidad Bancaria debe implementar las medidas necesarias para asegurar la autenticación e identidad del ordenante a la hora de prestar su consentimiento, por lo que, si el banco cumple una orden falsa, habrá de reintegrar en la cuenta correspondiente las cantidades cargadas.
Asimismo, los jueces piden que haya una labor de vigilancia extrema, profesionalizada y mayor de la exigida por parte de los bancos y por ende el incumplimiento del deber de vigilancia da lugar a una responsabilidad por culpa in vigilando.
Por lo tanto, el banco debe poner a su alcance todos los medios de autenticación para poder impedir a los ciberdelincuentes a la banca electrónica, y es por ello que tiene responsabilidad respecto al buen funcionamiento y la seguridad en los sistemas de pago. En definitiva, si se vulneran esos medios de autenticación a través de una estafa informática, el Banco tendrá la obligación de devolver el dinero sustraídos de la cuenta.
Del mismo modo, la Ley de Servicios de Pago, establece que el perjudicado tiene un plazo máximo de 3 meses para poner en conocimiento de la entidad bancaria que se ha realizado una operación de pago no autorizada. Por ultimo debemos mencionar que existe una responsabilidad por incumplimiento contractual cuando tengas un limite diario en la tarjeta para compras y a pesar de ello el banco permite que este sea superado.
DOCUMENTACIÓN NECESARIA PARA LA RECLAMACION DE PHISHING
- Listado de movimientos y extracto bancario correspondientes a las cantidades sustraídas.
- Denuncia policial con la fecha del delito, cantidades y entidad emisora de la tarjeta o CC junto con copia de los movimientos y extracto de los importes sustraídos.
- Solicitud/reclamación del reintegro de las cantidades a la entidad financiera.
- Respuesta negativa a la solicitud del reintegro por parte de la entidad bancaria.
POSTURA DE LOS JUZGADOS Y TRIBUNALES
Los Juzgados y Tribunales establecen que en la mayoría de los casos es la entidad financiera quien tiene la obligación de reintegrar las cantidades sustraídas de la cuenta por “phishing”, como depositarias y custodios de los fondos de sus clientes.
Sin embargo, la entidad bancaria no tendrá que devolver el dinero al perjudicado en caso de que pueda demostrar que este actuó con negligencia grave en la protección de sus datos personales y bancarios, pero no se considera negligencia grave el introducir los datos como consecuencia de entrar en un SMS, correo o pagina web con apariencia de autentica.
ASESORAMIENTO PARA RECLAMAR AL BANCO POR PHISHING
En Ancla Abogados contamos con un equipo de abogados especialista en Derecho Bancario y nuevas tecnologías, con mas de 30 años de experiencia, asesorando a empresas y a particulares. Si usted tiene alguna duda o ha sido victima del phishing puede ponerse en contacto con nuestro equipo de abogados en A Coruña. En Ancla Abogados le ofreceremos un asesoramiento muy profesional y personalizado con expertos abogados. Para ello, solo tiene que ponerse en contacto con nosotros a través de nuestro correo electrónico info@anclabogados.com o en el teléfono 981 27 86 33.
