Derecho Civil-Mercantil

01/03/2023

Reclamación a los bancos por Phishing


Cada vez es más frecuente recibir mensajes de advertencia de las entidades bancarias de posibles ataques de “Phishing”, ofreciéndonos recomendaciones y ejemplos para poder detectarlos.

 El “Phishing” (que proviene del inglés “Fishing”: Pescar) es un tipo de estafa  fraudulenta empleada por ciberdelincuentes para conseguir, mediante distintos medios, que el usuario “pique el anzuelo” y revele información personal confidencial como contraseñas bancarias o información de tarjetas de crédito.

El modus operandi de este tipo de estafas es generalmente el envío de correos electrónicos o mensajes SMS a los usuarios, suplantando la identidad de conocidas empresas, marcas u organismos oficiales, utilizando sus logos para generar confianza, e invitando a pinchar enlaces a páginas falsas, programas o descargas de ficheros adjuntos  fin de que el usuario, en la creencia y buena fe de la procedencia de la fuente, rellene formularios con datos personales, o facilite contraseñas, claves personales, datos bancarios y cualquier otra información sensible y confidencial.

En la mayoría de las ocasiones, el usuario afectado no habrá sido consciente de la estafa hasta que no recibe una comunicación bancaria de transferencia o movimiento bancario dudoso o de abultado importe o, en el peor de los casos, una comunicación policial.   

Sentados los anteriores antecedentes, hemos de analizar el motivo por el cual las entidades bancarias están obligadas a prevenir posibles ataques de Phishing a sus clientes, así como de responder de las consecuencias económicas derivadas de un ataque de Phishing.

El Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera y de la legislación de consumidores y usuarios, en su artículo 36, indica que es preciso contar en todas las operaciones de pago con el consentimiento del ordenante. La falta de consentimiento de este, en cualquier operación de pago, conllevará que la misma se considere no autorizada.

De esta manera, la existencia de un vicio en la voluntad del usuario obtenido mediante estafa informática y engaño, conlleva la nulidad del consentimiento (arts. 1261 CC y ss.)–, por lo que si la operación jamás se ha autorizado, debe ser la entidad bancaria la que responda en este caso de las consecuencias económicas.

Para ello, no basta que el usuario afectado niegue haber prestado su consentimiento, debe cumplir con el protocolo de notificación al banco que dispone el artículo 43 del citado Real Decreto-Ley. Y es que el afectado está obligado a notificar a su entidad bancaria cualquier operación de pago no consentida por este inmediatamente a ser conocida y, en todo caso, en periodo no superior a trece meses desde la fecha de la transacción.

Desde este momento, la entidad crediticia estará obligada a devolver a su cliente el importe del adeudo de inmediato o, como mucho, al día hábil siguiente a la notificación de la operación. Al margen de ello, si el banco sospecha que puede existir fraude, lo deberá comunicar al Banco de España.

 Como hemos adelantado, las entidades financieras son responsables en este tipo de estafas en cuanto proveedoras de servicios de pago electrónicos, porque estas transacciones electrónicas son generadoras de fuentes de riesgo a través de lo que se denominan  “fugas del sistema”. Es decir, que la falsedad de una operación telemática no consentida es un riesgoa cargo del banco porque, en principio, el deudor sólo se libera pagando al verdadero acreedor por lo que, si el banco cumple una orden falsa, habrá de reintegrar en la cuenta correspondiente las cantidades cargadas.

De este modo, las entidades bancarias tienen la obligación de implementar todas aquellas medidas de seguridad que sean necesarias para asegurar la autenticidad así como la identidad de quien ordena el pago. Este específico deber de vigilancia da lugar a una responsabilidad por “culpa in vigilando” o responsabilidad objetiva por el mal funcionamiento de los servicios de banca electrónica para el caso de que la entidad permita una operación de adeudo sin haber comprobado previamente mediante todas las medidas técnicas necesarias, la identidad del ordenante.

Se considera que la responsabilidad del proveedor de los servicios de banca online es siempre generadora de riesgo, por lo que existe una inversión de la carga probatoria, de tal manera que es el banco al que le corresponde acreditar la existencia de fraude o negligencia grave del afectado si quiere quedar exonerado de responsabilidad.

Así lo indican sentencias como la dictada por la Audiencia Provincial de Alicante del 12 de marzo de 2018, número 107/2018, al declarar que: “(…) Y es que no es cierto que la carga de la prueba sobre la implementación de medidas de seguridad adecuadas, suficientes, eficientes y actuales al nivel de riesgo modalidades de ataques informáticos en la red bancaria de banca online lo sea a cargo del usuario del sistema, pues el marco de responsabilidad establecido para el caso de operaciones de pagos hechos por proveedores de servicios no autorizadas o ejecutadas incorrectamente, es el de la cuasi-objetividad tal cual se desprende de la regulación específica sobre la materia -a la que seguidamente aludiremos-, sin perjuicio del régimen general de la carga de la prueba”.

Así las cosas, el Tribunal Supremo, entre otras, en la Sentencia 834/2012 del 25 de Octubre de 2012, indica que el phishing es una estafa, que conceptualmente es un “engaño bastante” razón por la cual ha proporcionado las claves de acceso a un tercero, que está suplantando la identidad del banco. En este contexto, resulta evidente que no puede haber negligencia grave del cliente, porque el “engaño bastante” excluye la existencia de la misma.

Desde HispaColex nos hemos encargado de la defensa de clientes en este tipo de estafas con resultado satisfactorio en todos los casos que hemos llevado, siendo especialmente significativa la sentencia favorable que con fecha 14 de diciembre de 2.022 hemos obtenido en la Audiencia Provincial de Jaén, en la que se pone expresamente de manifiesto:  “(…) Debe concluirse, en consecuencia, que constituye obligación esencial de las entidades prestadoras del servicio de banca “on line” el dotarse de medidas suficientes que garanticen al usuario la seguridad de las operaciones por lo que, en el supuesto de insuficiencia o mal funcionamiento de las adoptadas, deben ser las entidades bancarias las que asuman las consecuencias derivadas de los fallos de seguridad del sistema. Así, en un aspecto meramente objetivo, la ausencia en el caso concreto de una autenticación reforzada de ese tipo de operaciones, ha de conducir a la afirmación de la obligación de devolver lo indebidamente extraído por terceros, que fue lo pedido en la demanda y lo concedido en sentencia. En otros términos, no ha acreditado la demandada la observancia de los deberes de diligencia que le eran exigibles en la autenticación de las operaciones de pago, pues ni prueba haber implementado un mecanismo “antiphishing” de protección de los usuarios de los instrumentos de pago por ella emitidos frente al uso fraudulento por un tercero de páginas imitativas de las propias para hacerse con las credenciales del instrumento. (…)”

Nuestra recomendación no puede ser otra que animar a quienes sean víctimas de Phishing o de otras modalidades de estafas online a que reclamen siempre guiados por los abogados especializados en fraude electrónico de HispaColex Bufete Jurídico.

Foto del avatar  Ana Isabel Caballero Ferrer - HispaColex

Si tiene dudas sobre como aplicar este artículo a su caso, puede realizarnos una consulta a través de nuestro formulario

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *