¿Qué es el phishing?

El Instituto Nacional de Ciberseguridad de España  describe el Phising como una técnica utilizada por ciberdelincuentes para obtener información personal y bancaria de los usuarios, por medio de la cual se envían mensajes suplantando a una entidad legítima, como puede ser un banco, para engañarles y manipularles a fin de que realicen una acción que ponga en peligro sus datos.

El fraude se inicia con un mensaje (e-mail, SMS, Whatsapp, …) que tiene por objetivo asustar al usuario, instándole a actuar según las indicaciones del mensaje, para que facilite sus datos bancarios personales.

¿Cómo se comete el fraude?

El fraude se comente a través de los medios de pago del usuario, por ejemplo mediante la tarjeta de crédito o débito o mediante una transferencia bancaria desde su cuenta.

Una modalidad de phishing consiste en enviar un mensaje al usuario, que le insta a seguir un enlace a una página web fraudulenta, que clonando la de la Entidad Bancaria, le pide una serie de datos personales como DNI, claves de acceso personal, número de tarjeta de crédito y contraseñas.

Otra modalidad de phishing sigue una operativa similar. El usuario, a través de un buscador de internet, accede a una página web que suplanta la identidad de la Entidad Bancaria, e introduce sus datos personales en la confianza de que está accediendo a la banca online de su legítimo titular.

En ambos casos el usuario piensa que está operando a través de la página web de su Entidad Bancaria, pero en realidad es una clonación idéntica difícilmente identificable, con lo que el usuario fácilmente puede caer en el fraude.

Una vez que el Phiser dispone de los datos personales de los usuarios está en disposición de acceder a su banca digital y, usando sus claves y contraseñas, opera desde su cuenta haciendo transferencias, vendiendo valores, realizando compras con tarjetas de débito o crédito, o realizando disposiciones de efectivo a través de Cajeros Automáticos.

¿Cuáles son las responsabilidades del Usuario y de la Entidad Bancaria?

La Ley de Servicios de Pago impone una serie de derechos y obligaciones a los usuarios y proveedores de servicios de pago (las Entidades Bancarias).

A los usuarios le impone tres obligaciones: 1º.) Usar el instrumento de pago de conformidad con las condiciones pactadas en el contrato; 2º.) Tomar las medidas razonables para proteger sus credenciales de seguridad; y, 3º.) Notificar sin demora indebida el extravío, la sustracción, la apropiación indebida o la utilización no autorizada (Art. 41 LSP).

Por su parte, el proveedor del medio de pago debe cumplir con las obligaciones asumidas en el contrato, implementando las medidas de seguridad necesarias para asegurar la identidad del ordenante y la autenticación de la operación.

Según la LSP, las operaciones de pago sólo se consideran autorizadas cuando el ordenante haya dado su consentimiento (Art. 36 LSP), por lo que si el usuario niega haber autorizado una operación, el banco debe devolverle de forma inmediata el importe de la operación (Art. 45 LSP).

Sin embargo, es frecuente que la Entidad Bancaria oponga la negligencia del usuario en la protección de sus datos personales para eludir sus obligaciones. La Ley de Servicios de Pago establece que el usuario deberá soportar las pérdidas de la operación cuando haya incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, alguna de las obligaciones que le incumbe (Art. 46). Sin embargo, debe ser la Entidad Bancaria quien demuestre la negligencia grave del usuario.

El supuesto más habitual consiste en oponer que el usuario ha actuado de forma negligente en la conservación de sus datos personales (usuario, clave de acceso personal, contraseñas, …). Sin embargo, la jurisprudencia suele resolver a favor de los usuarios, porque la negligencia grave “consiste en no proceder ni siquiera con la más elemental diligencia” o  en “la más grave falta de diligencia, no hacer lo que todos hacen, no prever lo que todos prevén”, y en la mayoría de las ocasiones el usuario es objeto de un fraude con capacidad para engañar a una generalidad de personas y por tanto no se considera que actúe con grave negligencia.

Como se expone en la SAP de Alicante, Sec. 8ª, nº 107/2018, de 12/3/2018

1º.) El proveedor de los servicios de pago (la Entidad Bancaria) “debe implementar las medidas necesarias para asegurar la autenticación e identidad del ordenante a la hora de prestar su consentimiento. Por ello y para su ejecución, el banco debe comprobar en todo caso la autenticidad de la orden”;

2º.) “La falsedad de la transferencia (es decir, que el ordenante no sea el titular de la cuenta) es un riesgo a cargo del banco porque, en principio, el deudor sólo se libera pagando al verdadero acreedor por lo que si el banco cumple una orden falsa, habrá de reintegrar en la cuenta correspondiente las cantidades cargadas”.

3º.) “La responsabilidad en estos supuestos no puede atribuirse directamente al supuesto ordenante de la transferencia por entenderse ésta autorizada al haberse realizado de acuerdo con los sistemas de autenticación del banco. Los sistemas de autenticación se establecen por los proveedores de servicios de pago y si un banco no ha sido capaz de limitar el acceso al canal de banca electrónica no puede pretender que el presunto ordenante víctima de esta práctica fraudulenta sea el único responsable, pues es el banco quien tiene responsabilidad respecto del buen funcionamiento y la seguridad del mismo”.

4º.) “Las medidas de seguridad no solamente están destinadas a proteger la seguridad de las órdenes de pago emitidas por los clientes sino que su eficacia exonera a las entidades de crédito de sus responsabilidad frente a las órdenes de pago no emitidas por sus clientes de tal forma que el incumplimiento de este específico deber de vigilancia da lugar a una responsabilidad por “culpa invigilando” o responsabilidad objetiva por el mal funcionamiento de los servicios de banca electrónica”.

¿Qué debe hacer un Usuario que ha sido objeto de un fraude de Phishing?

Lo primero que debe hacer es informar inmediatamente a la Entidad Bancaria, para que bloquee el medio de pago y emita unas nuevas credenciales de seguridad.

Seguidamente debe interponer una denuncia ante la Policía Nacional, detallando el método usado para la comisión del fraude.

Es importante conservar los mensajes recibidos del Phiser, en orden a poder acreditar cómo se cometió el fraude, cómo se inició la orden de pago y la falta de consentimiento de la orden.

Una vez que ha comunicado a la Entidad Bancaria el fraude e interpuesto la denuncia, deberá presentar una reclamación escrita a su Entidad Bancaria, requiriéndoles para repongan su cuenta al estado que tenía con anterioridad a las operaciones, reintegrándPole el importe de las operaciones que no ha autorizado.

Si la Entidad Bancaria no atiende la reclamación, nuestra sugerencia es que se ponga en manos de abogados especialistas para que intercedan en su nombre frente al banco y, en su caso, deduciendo las acciones legales necesarias para la restitución de los fondos.

Llámanos ContáctanosVísitanos