-1.png?width=300&height=300&name=Logo%20Redes%20Halloween%20(1)-1.png "Editorial Jurídica Sepin")
Los datos oficiales sobre ciberseguridad indican un aumento alarmante y acelerado de los delitos relacionados las estafas informáticas, motivo por el que hemos querido dedicar este post para hablar del fraude bancario, las modalidades que existen y analizar el régimen de responsabilidad establecido en el RD-Ley 19/2018, de 23 de noviembre, de servicios de pago (en adelante, LSP), que es la normativa a la que hay que acudir en caso de operaciones de pago no autorizadas.
Existen diferentes modalidades de fraudes bancarios, citamos las principales:
Phishing: Se puede definir como la "pesca de datos", cuyo objetivo es causar un daño patrimonial a un tercero mediante la utilización fraudulenta de sus claves. Tiene lugar cuando se suplanta la identidad de la entidad bancaria para obtener información sobre las claves de las cuentas bancarias o tarjetas de crédito/débito.
Pharming: Es una modalidad de fraude que persigue la obtención de los datos personales de los usuarios, y que se diferencia del phishing porque se basa en el engaño social. El pharming utiliza manipulaciones técnicas para redirigir a los usuarios a páginas web falsas, haciéndoles creer que están accediendo a sitios legítimos, como los de sus bancos.
Smishing: Que tiene lugar cuando el enlace cebo para redirigir al usuario a la web suplantada se ejecuta por medio de SMS. Es una modalidad de ataque en la que los ciberdelincuentes envían mensajes de texto engañosos para inducir a las víctimas a compartir información personal o financiera, hacer clic en enlaces malintencionados o descargar software o aplicaciones dañinas.
Vishing: Estafa informática cometida mediante la captación de datos bancarios, induciendo a error a la víctima tras hacerse pasar por la propia entidad bancaria, a la que suplantan a través de llamadas telefónicas.
Una vez que el consumidor verifica la existencia de estas operaciones no autorizadas con su tarjeta, ¿Qué debe hacer?
Es importante señalar que la LSP establece un sistema de responsabilidad cuasi objetivo, que significa que si se produce una disposición y el cliente niega haberla autorizado, se produce una inversión probatoria, será la entidad proveedora de los servicios de pago la que debe demostrar que tales operaciones fueron autorizadas por el usuario o que concurre culpa grave del cliente.
¿Qué obligaciones tiene el usuario? El art. 41 de la LSP impone al usuario estas dos obligaciones:
1: Adoptar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas.
Esta obligación está muy conectada con una de las ideas fuerza relacionada con los fraudes bancarios, el concepto de negligencia grave, sobre el que, a falta de pronunciamiento de nuestro Alto Tribunal, no existe una doctrina jurisprudencial pacífica, debiendo examinarse si concurre o no negligencia grave del usuario en cada caso concreto.
Las entidades bancarias suelen basar la negligencia grave que se imputa al usuario en el hecho de introducir sus claves, hecho que permite a los estafadores acceder a su banca digital, lo que lleva a preguntarnos la siguiente cuestión: ¿Pinchar un link es negligencia?
La mayoría de las sentencias consultadas consideran que NO es constitutivo de negligencia grave el hecho de que el consumidor confíe en un SMS recibido en su móvil. Sirva como ejemplo la SAP Lleida, Sec. 2.ª, de 19-4-2024: Inexistencia negligencia grave en el usuario que, a través de SMS engañoso, no por su iniciativa, puso sus datos en la verdadera aplicación de la entidad bancaria, pero siendo espiado por el ciber delincuente.
En este punto debo señalar que la línea jurisprudencial no es uniforme, ya que hay sentencias que fallan a favor de las entidades bancarias cuando el usuario facilita sus claves sin observar una diligencia mínima de lectura atenta del mensaje de autorización recibido, en este sentido citar la SAP Cantabria, Sec. 2.ª, de 10-10-2023 o la SAP Zaragoza, Sec. 2, de 12-6-2024 que considera negligente al consumidor que no detectó errores evidentes en el correo fraudulento con numerosas incorrecciones y erratas.
Pasamos a hablar de la segunda obligación del usuario de los servicios de pago:
2: Comunicar sin demora indebida, es decir, en cuanto tenga conocimiento del posible extravío, sustracción o apropiación indebida del instrumento de pago.
La ley no establece un plazo específico, nuestra recomendación es ponerlo en conocimiento de la entidad bancaria en cuanto se tenga conocimiento del fraude.
¿Qué obligaciones corresponden al proveedor de servicios de pago?
La LSP impone a los proveedores de los servicios de pago una conducta de prevención para evitar que los potenciales estafadores puedan utilizar técnicas de suplantación de identidad.
El deber de diligencia de las entidades financieras exige que estén dotadas de tecnología antiphishing precisa, no siendo suficiente con que adviertan sobre tales herramientas contra el phishing en su página web, es necesario que adopten medidas proactivas para prevenir el fraude, tal y como señala la SAP Valladolid, Sec. 1.ª, de 23-10-2023: La entidad bancaria, en cuanto que es quién pone a disposición del cliente la banca on line, es la responsable de garantizar su seguridad, no siendo suficiente con medidas genéricas de protección o avisos estereotipados de cuidado.
Los supuestos en los que puede considerarse que la entidad bancaria ha infringido su deber de diligencia por actuar sin adoptar medidas de diligencia y seguridad son:
-Cuando no se activa ninguna alarma ante una elevación o superación del límite de disposición establecido. Señala la SAP Logroño, Sec. 1.ª, de 17-2-2023 que elevar el límite de disposición de la tarjeta en más de un 300% supone una infracción del deber de diligencia.
-Cuando no se activan los sistemas de protección ante cargos no habituales del cliente. Me resulta muy interesante las referencias a la "𝐩𝐚𝐮𝐭𝐚 𝐝𝐞 𝐠𝐚𝐬𝐭𝐨" en los asuntos de phishing, cuestión sobre la que aconsejo incidir en todas las demandas. SAP La Rioja, Sec. 1.ª, de 18-4-2024: La diligencia exigible al banco no es solo la reglamentariamente prevista, cobrando relevancia datos como perfil del cliente, movimientos inusuales, importes dispuestos y hora en la que se hace la operación.
Por último, vamos a hablar de otra de las obligaciones impuestas a las entidades financieras, la de establecer sistemas de doble autenticación.
El uso de sistemas de autenticación por parte de los bancos no significa que estos queden automáticamente libres de responsabilidad, recordemos que sólo la entidad bancaria quedará exenta de responsabilidad si consigue demostrar que hubo fraude o negligencia grave por parte del usuario.
Los procesos o mecanismos de autenticación de las operaciones de pago deben cumplir con los requisitos que establece el Reglamento Delegado (UE) 2018/389, lo que exige:
1).- Implementar las medidas de seguridad que han de incluir el procedimiento de autenticación reforzada de clientes.
2).- Incluir mecanismos de supervisión de las operaciones que permitan al proveedor de servicios de pago detectar operaciones de pago no autorizadas o fraudulentas.
Phishing y fraudes online: Análisis de las responsabilidades legales