Uno de los delitos que más riesgo suponen para empresas y particulares en 2023 es el llamado phishing. Se trata de un delito que, en realidad, consiste en una estafa llevada a cabo a través de medios digitales: lo más habitual es recibir un correo o SMS en el que se nos solicitan datos suplantando la identidad de una empresa o entidad pública conocida (un banco, Hacienda, Seguridad Social…) con el fin de perjudicarnos económicamente.
Si te ha ocurrido, este caso de éxito de nuestro despacho te interesa: conseguimos que una entidad bancaria devuelva todo el dinero perdido a una víctima de phishing.
¿Qué es el phishing? Un tipo de estafa a través de la ‘pesca de datos’
El término ‘phishing’ hace referencia a la ‘pesca de datos’. Se trata de un tipo de estafa que consiste en suplantar la identidad de una entidad bancaria, una empresa conocida o una institución pública (entre otras muchas posibilidades) con el fin de generar confianza en el usuario.
Es frecuente recibir un email, mensaje de texto o incluso un WhatsApp solicitándonos ciertos datos que, de ser facilitados, permitirán a los ciberdelincuentes acceder a nuestras cuentas, operar con ellas, recibir transferencias que realizaremos pensando que su destino es legítimo…
Existen muchas formas en que puede cometerse este delito, pero uno de los casos más frecuentes es recibir una comunicación que, en teoría, procede de nuestro banco, pidiendo al usuario confirmar sus claves de acceso, facilitar los datos de su tarjeta de débito o crédito… Una vez obtenida esta información sobre tus servicios de banca electrónica, los ciberdelincuentes podrán acceder a tus cuentas y operar con ellas en su favor. El resultado es un grave perjuicio o daño patrimonial: es lo que se ha definido como ‘phishing bancario’.
Últimamente se han visto multitud de ataques informáticos de este tipo, no solo dirigidos hacia entidades privadas, sino también hacia ayuntamientos y otras entidades públicas. De hecho, el 91 por ciento de las empresas corre riesgo de sufrir un ataque de ‘phishing’ en 2023, siendo esta la mayor amenaza de ciberseguridad para las compañías este año, según el informe ‘Las 10 principales amenazas para la ciberseguridad en 2023’, elaborado por la firma de servicios profesionales BDO.
Por eso es de vital importancia extremar precauciones para prevenir ataques, tanto individualmente (como usuarios de Internet), como en el marco de las empresas.
Si has sido víctima de una estafa por internet, te interesa conocer este reciente caso de éxito de nuestro despacho, en el que el banco es condenado a devolver todo el dinero sustraído por los estafadores a los clientes de la entidad bancaria.
Phishing: es posible recuperar el dinero perdido reclamando a la banca
En este nuevo caso de éxito de nuestro despacho logramos que nuestra clienta consiga la devolución del dinero que le fue sustraído como víctima de un delito de phishing bancario. La afectada, que trabaja ofreciendo servicios de limpieza, recibió el pasado 31 de agosto de 2022 unos SMS con apariencia de veracidad, procedentes de una entidad bancaria de la que es clienta. En ellos se le indicaba que su acceso a la banca electrónica había sido bloqueado y que debía clicar un enlace para desbloquearlo.
Una vez accedió al enlace, la web le solicitó su nombre de usuario, DNI, contraseña y número secreto para la firma electrónica de operaciones. Acto seguido, nuestra clienta empezó a recibir más SMS: en cuestión de 30 minutos, le sustrajeron 1.600 euros de su cuenta bancaria. Con cada SMS, la entidad bancaria le comunicaba que acababa de realizar una transferencia con éxito.
La afectada intentó contactar con la oficina de la entidad sin obtener respuesta, pues a esas horas estaba cerrada al público. A las 8 de la mañana del día siguiente se personó en una de las oficinas de la entidad y expuso los hechos a sus empleados, que no pudieron darle explicación ninguna más allá de aconsejarle que cancelara la banca electrónica, como así hizo.
Es relevante el hecho de que estas transferencias nunca fueron autorizadas, ni por nuestra clienta ni por su marido, cotitular en la cuenta bancaria donde se produjeron las transferencias.
En este caso, es evidente la responsabilidad del banco demandado ya que, entre otras cosas, no se exigió ninguna clave de autorización reforzada para realizar las transferencias, incumpliéndose el deber específico de vigilancia de operaciones inusuales o que puedan ser fraudulentas, como efectivamente sucedió.
Por este motivo, concurre una falta de diligencia por parte de la entidad bancaria a la hora de garantizar la precisa seguridad en las transacciones, que ha generado que un tercero ajeno acceda utilizando sus datos y claves electrónicas de usuario, operando con la cuenta corriente de que era titular la demandante.
En concreto, la autenticación reforzada sirve para verificar que el ordenante del pago es el titular de la tarjeta, de forma que el titular valide la operación con, al menos, dos datos distintos, conocidos como factores de autenticación. Éstos se caracterizan por:
a) Conocimiento. Algo que solo conozca el cliente, como una contraseña o código PIN
b) Posesión. Algo que posea el cliente, como una tarjeta de débito o un teléfono móvil.
c) Inherencia. Algo inherente al cliente, como su huella dactilar.
El Reglamente Delegado (UE) 2018/389 establece que los bancos, en calidad de proveedores de los servicios y medios de pago, deben disponer de mecanismos de supervisión de las operaciones que les permitan detectar operaciones de pago no autorizadas o fraudulentas. Asimismo, deben poder detectar que los elementos de autenticación (las claves personales) han sido comprometidas o sustraídas, y detectar señales de infección por programas informáticos maliciosos en el proceso de autenticación. Un factor indicativo es el importe de la operación.
Además, según el Real Decreto-Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (LSP), las operaciones de pago solo se consideran autorizadas cuando el ordenante haya dado su consentimiento (artículo 36) por lo que, si el usuario niega haber autorizado una operación, el banco debe devolverle de forma inmediata el importe de la operación (artículo 45).
En definitiva, según esta norma, el cliente tiene que autorizar de forma expresa y consciente la orden de pago, ya sea ordenándola él mismo, ya sea autorizando de forma expresa y consciente a un tercero para que la ordene en su nombre.
Es importante saber que:
- En los casos de phishing, el cliente facilita a un tercero las credenciales de seguridad. Una vez que lo ha hecho, el phisher ordena los pagos. Sin embargo, el cliente no le facilita las credenciales de seguridad de forma libre y consciente, sabiendo que ese tercero (phisher) va a ordenar un pago, sino que lo hace de forma viciada, movido por un engaño.
- Por ese motivo, hay un vicio en la voluntad del cliente que anula su consentimiento. O, mejor dicho, más que anular, no existe consentimiento, porque el afectado no es consciente de haber facilitado sus claves a un tercero (pensaba que lo hacía al banco), por lo que no hay consentimiento del cliente para ordenar esos pagos.
Los argumentos de la sentencia: la seguridad de las operaciones bancarias “precisa de soluciones tecnológicas avanzadas”
Como resultado de este procedimiento, conseguimos que se condene a la entidad bancaria a abonar la cantidad de 1.600 euros más los intereses legales correspondientes desde que fueron extraídas las distintas cantidades, así como al pago de las costas del proceso.
La sentencia recuerda, en sus argumentos, que “no basta con medidas genéricas de protección o avisos estereotipados de cuidado, sino que la seguridad de las operaciones bancarias precisa de soluciones tecnológicas avanzadas a los efectos de garantizar tanto la autenticidad como la integridad y confidencialidad de los datos, sin que se repute suficiente los avisos genéricos de los bancos, a través de su web, que ostentarían la calificación de fórmulas predispuestas, vacías de contenido.”
Además, la sentencia asegura que el método fraudulento empleado – phishing- es “de una complejidad y grado de perfección difícilmente detectable por un cliente de las características de la actora, sin que la forma en que se denominaba al banco en el SMS recibido o los errores de sintaxis, sean errores de entidad suficiente para detectar con base en ellos el fraude de que estaba siendo objeto.”
“En esas circunstancias, era preciso ser un experto en la materia para poder detectar que la comunicación obedecía a una estafa o fraude.” Así, si bien “es cierto que dicho comportamiento no puede considerarse diligente”, “para hacer soportar al cliente las consecuencias, es preciso apreciar en él una negligencia y que además sea grave (…), actuación en la que no se ha acreditado que incurriesen los demandantes por el hecho de haber pinchado el link que se le ofrecía y facilitar los datos y clave de la tarjeta.”
Por último, la sentencia ahonda en que “el deber de diligencia de la entidad demandada exigía dotarse de la tecnología antiphishing precisa para detectar las páginas clonadas de las oficiales propias y cerrarlas o eliminarlas, lo que, de producirse, impediría que el defraudador pudiera hacerse con las credenciales del usuario del instrumento de pago por ella emitido”.
En definitiva, es necesaria una “conducta activa, y no simplemente informativa o divulgativa”, por parte de la banca.
Contra abusos por parte de entidades bancarias, contacta con nuestros abogados
Si has sido víctima de un delito de phishing bancario o te encuentras en una situación de conflicto con tu entidad bancaria, ponte en contacto con nuestro equipo de abogados.
Tramitamos constantemente reclamaciones judiciales contra entidades bancarias, relativas a:
- Reclamación de los gastos hipotecarios, puesto que no corresponde al cliente correr con todos los gastos al formalizar una hipoteca.
- Reclamación de cláusulas suelo y de lo abonado de más en la hipoteca por su aplicación.
- Reclamación de los intereses de las tarjetas revolving, esto es, tarjetas de crédito con pagos aplazados que suelen aplicar unos intereses muy elevados.
- Reclamación de daños y perjuicios por suscripción de obligaciones subordinadas, preferentes u otros productos financieros complejos que el banco aconsejaba contratar a clientes sin conocimientos de inversión en bolsa y sin explicación de los riesgos.