¿Qué es el Phishing bancario?

El phishing o robo de identidad es una modalidad de estafa cometida a través de internet, a través de la cual los ciberdelincuentes tratan de obtener datos confidenciales de los usuarios (como, por ejemplo, contraseñas), con el objetivo de ser utilizados de forma fraudulenta, generalmente, para acceder a sus cuentas bancarias personales.

Una vez que el phisher consigue los datos bancarios, extrae dinero de las cuentas bancarias de la víctima a través de pagos con tarjeta, extracción de dinero en cajeros automáticos o a través de transferencias bancarias. En este último caso, el beneficiario de la transferencia casi siempre es una cuenta corriente abierta en un país no europeo.

Tipos de Phishing

Para conseguir esos datos bancarios, el delincuente engaña al usuario haciéndose pasar por una empresa u organización real, para conseguir que el internauta revele información confidencial sobre contraseñas, datos bancarios, etc.

Un método habitual utilizado es el envío de un correo electrónico haciéndose pasar por tu entidad bancaria, en el que, en una aparente comunicación oficial, el banco te solicita que actualices tus datos o que valides tu cuenta. Sin embargo, las modalidades de phishing son diversas, pues si bien el envío de un correo electrónico es el método más habitual, también suplantan la identidad de empresas y organizaciones reales (Microsoft, Wallapop, Correos, Amazon,etc.) mediante el envío de un sms, mediante llamadas telefónicas, o bien redireccionando al internauta a páginas web falsas, que parecen ser las oficiales. De este modo, mediante el engaño, el usuario facilita sus datos confidenciales a los ciberdelincuentes, que los usarán de un modo fraudulento para acceder a sus cuentas.

 

¿Qué hacer si somos víctimas de phishing?

Si somos víctima de un delito cibernético y hemos sufrido el robo de datos confidenciales que hayan permitido a los delincuentes acceder a nuestras cuentas bancarias, lo primero que debemos hacer es ponernos en contacto con nuestra entidad bancaria, comunicar esta circunstancia, y anular la tarjeta de crédito o bloquear la cuenta para evitar retiradas de dinero.

Además, debemos también denunciar los hechos ante la Policía o la Guardia Civil.

El phishing es una modalidad de estafa informática, que está castigada en el Código Penal con penas de prisión de 6 meses a 3 años, pudiendo incluso llegar a los 6 años en el caso de que concurran determinadas circunstancias agravantes, como por ejemplo que el valor de lo defraudado supere los 50.000 euros o que la estafa afecte un elevado número de personas.

No obstante, la realidad es que en la mayor parte de los casos resulta difícil localizar al ciberdelincuente y, cuando se averigua su identidad, éste suele ser insolvente. Por ello, resulta muy complicado para las víctimas recuperar las cantidades perdidas a través de la vía penal.

 

¿Puedo reclamar a mi Banco por una estafa de Phishing?

Sí, se puede reclamar al Banco la devolución de las cantidades sustraídas cuando se cumplan determinados requisitos.

¿Qué normativa regula la seguridad en las transacciones bancarias?

El Reglamento Delegado de la Unión Europea 2018/389 establece que los bancos, que son los proveedores de los servicios/medios de pago, deben disponer de mecanismos de supervisión de las operaciones que les permitan identificar las operaciones de pago no autorizadas o fraudulentas y detectar que los elementos de autenticación han sido comprometidos o sustraídos.

En nuestra legislación la Ley de Servicios de Pago (Real Decreto-Ley 19/2018), establece que cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada, el banco debe demostrar que la operación fue autenticada, registrada y contabilizada con exactitud. Y, en estos casos el cliente no autoriza la operación de forma expresa, consciente y voluntaria, sino que es un tercero quien ejecuta esas operaciones, tras conseguir las claves personales del cliente a través de una estafa o engaño haciéndose pasar por un tercero legítimo.

La propia Ley de Servicios de Pago establece que, cuando se ejecute una orden de pago no autorizada, el banco debe devolver al cliente el importe de la operación, salvo en caso de negligencia grave del cliente. Esta negligencia grave, no obstante, no existe cuando nos encontramos ante una suplantación de identidad.

Es una obligación de carácter cuasi-objetivo, lo que quiere decir que se presume que el titular de la tarjeta no ha autorizado la operación, de forma que es el banco el que debe probar:

  1. Que ha implementado las medidas técnicas de seguridad necesarias establecidas en la DSP2 y desarrolladas por el Reglamento 2018/389.
  2. Que remitió al titular la clave dinámica aleatoria de un solo uso y que fue él quien la recibió en su dispositivo y usó para validar la operación.
  3. Que el demandante ha incurrido en negligencia grave.

En estos supuestos, la jurisprudencia de nuestros Tribunales considera que la Entidad Bancaria debe implementar las medidas necesarias para asegurar la autenticación e identidad del ordenante a la hora de prestar su consentimiento, por lo que, si el banco cumple una orden falsa, habrá de reintegrar en la cuenta correspondiente las cantidades cargadas.

Además, los jueces requieren, que haya por parte del Banco una labor de vigilancia extrema, profesionalizada y mayor que la exigible a toda persona media, y el incumplimiento de este específico deber de vigilancia da lugar a una responsabilidad por culpa in vigilando.

Contamos ya con varias sentencias dictadas por nuestras Audiencias Provinciales en las que se condena al Banco por no haber cumplido con los estándares de diligencia exigidos legalmente.

Es el Banco el que debe poner todos los medios de autenticación para impedir accesos de terceros al canal de banca electrónica, y por tanto tiene responsabilidad respecto del buen funcionamiento y la seguridad de sus sistemas de pago. Por tanto, si se vulneran esos medios de autenticación a través de una estafa informática, el Banco tendrá la obligación de reintegrar los fondos sustraídos de la cuenta del cliente.

No obstante, la Ley de Servicios de Pago dispone que, con carácter previo a la reclamación y, dentro del plazo máximo de 3 meses desde que se haya producido la estafa, la víctima debe poner en conocimiento del Banco que se ha realizado una operación de pago no autorizada o ejecutada incorrectamente.

Además, existe la posibilidad de una responsabilidad por incumplimiento contractual. Esta situación se dará, por ejemplo, en los casos en los que tenga un límite diario en las compras y disposiciones de la tarjeta -que suele ser, a iniciativa del propio Banco, de 1.200 €- y, a pesar de ello, el Banco permita que ese límite sea superado.  

 

Asesoramiento para reclamar al banco por phishing.

En Caruncho, Tomé y Judel Abogados contamos con un equipo de abogados especialistas en Derecho Bancario y nuevas tecnologias, con más de 25 años de experiencia, asesorando a empresas y particulares. Nuestros equipo le ofrecera un trato personalizado, estudiando su caso y buscando las soluciones que mejor se adapten al mismo. Si necesita ayuda, no dude en contactarnos.


Despacho de abogados especialista en Derecho Bancario

Si necesitas ayuda o asesoramiento ponte en contacto con nuestros abogados de derecho bancario