CONTENIDOS
¿Qué harían tus abogados en caso de phishing? Primera sentencia contra un banco en un caso de phishing
Hace poco conocíamos en esta redacción un artículo que se hacía eco de la actualidad en cuanto a la responsabilidad de un banco en un caso de Phishing. Y es que ya sabemos que las estafas por Internet o delitos de phishing son cada vez más habituales, debido al creciente uso de la banca electrónica, el comercio electrónico y la dificultad de identificar al responsable para recuperar el dinero defraudado. Pero no nos hemos conformado con nuestra propia investigación y sondeo, hemos querido consultar a Sello Legal Abogados como valiosos conocedores de estas cosas en particular y de defender nuestros derechos con sencillez y dándonos la tranquilidad que necesitamos. Y estas son nuestras conclusiones, sobre el phishing, y sobre todo, acerca de cómo recuperar dinero si eres víctima de phishing.
La historia nos lleva al Banco Santander, que recibió recientemente la orden de devolver 18.500 euros robados a uno de sus clientes por un estafador lituano a través del método “phishing”. Esta es la noticia en El Mundo que causaba revuelo pero nos ofrecía cierta tranquilidad y esperanza. Porque además, la condena obliga al banco a hacerse cargo de las costas del proceso judicial iniciado por el mencionado estudio de abogados Sello Legal.
Íñigo Serrano, socio de Sello Legal, comenta que la sentencia es importante porque por primera vez se tiene en cuenta la responsabilidad de la entidad bancaria, condenando al banco y no solo al delincuente extranjero. En este caso se han visto cosas muy curiosas, como que el cliente de Sello Legal recibió una comunicación por SMS de alguien que se hizo pasar por su banco. Afortunadamente, como se ha podido demostrar, el cliente contaba con el departamento especializado en phishing y su ayuda.
Al hacer clic, encontró una página web similar a la del Banco Santander, donde la persona estafada ingresaba sus claves bancarias y verificaba que su cuenta estaba en orden. Al día siguiente, el cliente del banco encontró dos entradas en sus movimientos. Y de ahí una demanda basada en la ley de servicios de pago. Para recuperar su dinero, el cliente del banco se puso en contacto con la entidad, obteniendo largas respuestas y tediosas demoras de responsabilidad. Y es que esta ley establece que, en caso de sustracción de fondos a través de una orden de pago que no haya sido debidamente autorizada, el banco es responsable de efectuar la devolución del dinero. ¡Así de claro! Pero ya sabemos que sin la ayuda de especialistas legales la lucha contra un banco puede tornarse en una guerra muy desigual. ¡Una batalla de David contra Goliath!
¿Negligencia bancaria?
Tal omisión, precisa la sentencia, constituye un incumplimiento de los deberes de diligencia en la prevención del fraude por “phishing”. Los magistrados entienden que la entidad debía saber que el teléfono desde el que se había solicitado la activación no era uno de los que la clienta tenía registrado a su nombre en su ficha de cliente.
¿Quien es civilmente responsable en casos de phishing?
La legislación reglamenta las obligaciones de las entidades financieras en materia de pagos. El artículo 45 de la Ley de Servicios de Pagos establece que: … en caso de ejecución de una operación de pago no autorizada, el proveedor de servicios de pago del ordenante deberá devolver inmediatamente a este último el importe de la operación no autorizada. Una vez más queda claro… ¿No?
Asimismo, la jurisprudencia marca algunos puntos importantes en el ejercicio de estas responsabilidades. Se comprende que la responsabilidad del proveedor de servicios bancarios en línea es un riesgo. Corresponde, por tanto, a la entidad probar que la operación ordenada es auténtica y que no está afectada por fallos técnicos o medios ilegítimos.
Es por ello que los bancos toman medidas de seguridad que no solo protegen a sus clientes sino que les permiten delimitar responsabilidades en cuanto a las órdenes de pago. En el caso de phishing bancario, el juez evaluará las condiciones del fraude y las medidas que la institución ha tomado para evitarlo y dictará sentencia en consecuencia.
Y no por obvio deja de ser menos cierto que cuando alguien es víctima de phishing bancario, es recomendable acudir a un abogado especializado y obtener el mejor asesoramiento para gestionar la situación.
Por su parte, Santander alegó el buen funcionamiento del sistema de seguridad con el que cuentan, con fuerte autenticación y registro y tras esta declaración, la entidad trasladó la responsabilidad de las consecuencias del fraude a la denunciante por no haber actuado con la debida diligencia y por haber facilitado sus datos personales a un tercero desconocido.
En particular, según el banco, escapa a su control que terceros ajenos a la relación contractual se apropien de las herramientas de seguridad que pone a disposición de sus clientes, más aún cuando son ellos quienes, actuando de forma negligente, ceden sus datos sensibles y contraseñas a terceros, incluso mediante engaño.
SMS más phishing = smishing
Los bloqueos por la pandemia, que dieron como resultado un cambio de negocio al espacio en línea; y el cierre de sucursales bancarias, que ha complicado los trámites diarios de parte de la población, se suman a favor de la multiplicación de los delitos en línea. Uno de los más habituales es el fraude, y en él se incluye el phishing, una práctica maliciosa que consiste en hacerse pasar por otra persona o entidad -como Hacienda, banco, Seguridad Social…- y obtener contraseñas, datos personales o accesos a cuentas bancarias.
En España, el fraude online supone el 88% de los ciberdelitos denunciados en 2019, el último año de que disponemos de datos, según los informes del Sistema de Estadística Criminal, del Ministerio del Interior.
En este caso, el cliente del banco Santander recibía ocasionalmente mensajes de texto de su banco. En esta línea de mensajes apareció uno en octubre de 2020 que indicaba que su cuenta había sido bloqueada y lo redireccionaba a una dirección de Internet que correspondía a una página de características muy similares a las del banco.
Allí, el cliente ingresaba poniendo sus códigos y comprobaba que todo estaba en orden, como ya decíamos antes. Al día siguiente aparecieron en su cuenta dos extracciones que no había realizado, una por 6.000 y otra por 12.500 euros, según se explica en la sentencia, a la que tuvo acceso Zona Segura.
Banco Santander: Lamentamos informarle que su cuenta ha sido desactivada.
El mensaje malicioso también se distribuyó a través de correo electrónico y decía lo siguiente: “Lamentamos informarle que su cuenta ha sido desactivada. Por razones de seguridad, le rogamos que realice la siguiente verificación”. La ola de phishing se repitió una y otra vez hace algunos meses, afectando también a otros bancos, como Sabadell, Bankinter o Caixabank.
El Instituto Nacional de Ciberseguridad y el banco emitieron comunicados para advertir de esta estafa, que se repitió con otras entidades bancarias, empresas de mensajería, correos y Hacienda.
