Phising bancario. ¿ Puedo reclamar al Banco?
Tras unos años pleiteando con los bancos y defendiendo a los ciudadanos ante situaciones de estafas bancarias y phishing podemos afirmar que los juzgados nos están dando la razón a los despachos de abogados especializados en phishing que defendíamos que los bancos se tenían que responsabilizar de los fraudes bancarios sufridos por sus clientes.
En este tiempo, la política de los bancos ha sido la de negar la devolución del dinero estafado y confiar en que la mayoría de las víctimas de phishing tendrían miedo a iniciar una vía judicial. Desgraciadamente y a pesar de que no cobramos nada sino conseguimos la devolución del dinero muchos personas prefieren no reclamar lo que les corresponde por lo que seguramente les salga más barato pagar a los que si reclaman que implantar un sistema más seguro
Son pocas las personas que acuden a un abogado cuando son víctimas de un fraude o delito informático relacionados con la banca online o el duplicado de sus tarjetas de crédito. En general piensan que la culpa es suya, ya que no se cercioraron que la web, email o mensaje que recibieron era falso. La realidad es que, el Banco puede tener responsabilidad en todo ello.
¿Qué es el phishing? El Instituto Nacional de Ciberseguridad de España describe el Phising como una técnica utilizada por ciberdelincuentes para obtener información personal y bancaria de los usuarios, por medio de la cual se envían mensajes suplantando a una entidad legítima, como puede ser un banco, para engañarles y manipularles a fin de que realicen una acción que ponga en peligro sus datos.El fraude se inicia con un mensaje (e-mail, SMS, Whatsapp, …) que tiene por objetivo asustar al usuario, instándole a actuar según las indicaciones del mensaje, para que facilite sus datos bancarios personales.
Tipos de fraudes bancarios
La jurisprudencia define el “Phishing” como un fraude que “se origina con la suplantación de la identidad del banco por parte del phisher con la finalidad de adquirir información confidencial sobre contraseñas de cuentas bancarias, tarjetas de crédito o cualquier otra información en relación con el banco, que permita entrar en las cuentas de los usuarios en Internet de banca electrónica. El internauta recibe un correo electrónico o cualquier mensaje instantáneo, a través del cual se le informa de que debe cambiar sus claves bancarias, proporcionándole un link a través del cual pueda acceder a la página Web de la supuesta entidad bancaria y allí realizar la modificación aconsejada. En la mayoría de los métodos de phishing se utilizan técnicas de engaño, a través de las cuales el phisher utiliza contra la víctima el propio código de programa del banco o servicio similar, adquiriendo la página Web la verdadera apariencia de la entidad bancaria. Igualmente, resulta muy habitual que el internauta reciba un correo en el que se le informe de que debe verificar sus cuentas, seguido por un enlace que parece la página Web oficial de la entidad bancaria” (SAP Madrid, sec. 9ª, S 04-05-2015, nº 178/2015, rec. 661/2013).
Los tipos de estafas más frecuentes son:
1 Suplantar la identidad del banco
Suelen enviar un SMS o e-mail haciéndose pasar por el Banco. El SMS suele entrar dentro del mismo hilo de SMS que legítimamente envía el banco, por lo que el usuario piensa que se lo ha enviado su banco.
En el SMS o e-mail le dicen que su cuenta ha sido cancelada o que es necesario que actualice los datos por cambios operativos, y le piden que pinche en un link inserto en el SMS / e-mail. Ese enlace suele terminar con la extensión .biz. La extensión .biz se usa para los negocios.
Al pinchar en el enlace se abre una página web idéntica a la del banco (un clon) que sólo varía en una letra del dominio http. Por ejemplo:
Esa pequeña diferencia no es percibida por el usuario, que tampoco repara en que las conexiones seguras con el banco van precedidas de un candado y añaden una “s” https:// en lugar de http://
Esa pequeña diferencia marca una gran diferencia, porque en lugar de estar operando con la página web del banco estás operando con la web que el phisher ha creado para cometer la estafa. Por ello, cuando acceden a esa web, que es idéntica a la del banco legítimo, e introducen su clave personal de seguridad, no se la facilitan al banco, sino que se la facilitan al phisher.
A partir de ahí el phisher ya tiene la clave personal para acceder a la banca on-line del cliente y puede haber cambios: puede aumentar los límites de la tarjeta, puede pedir duplicados de las tarjetas, puede hacer transferencias, puede cambiar el número de teléfono donde se reciben los SMS con las claves de autenticación reforzada ….
No obstante, todas esas operaciones deben ser autorizadas por el cliente a través de la clave de autenticación reforzada, que no se la ha facilitado al phisher.
Por tanto, a priori lo único que ha hecho el cliente es “picar” en la estafa y facilitar al phisher la clave personal para acceder a la banca on-line, que por sí sola no es suficiente para autorizar cambios en la operativa del banco ni ordenar pagos ni transferencias.
Sin embargo, en muchos casos, sólo con la clave personal de acceso a la banca on-line el phisher consigue hacer las operaciones sin introducir las claves de autenticación reforzada.
Es posible que al acceder a la banca on-line vea los datos personales del cliente (nombre y apellidos, DNI, dirección …) y tras ello se ponga en contacto con la compañía de telefonía móvil del cliente para solicitar un duplicado virtual de su tarjeta SIM (una e-Sim). Eso le permite recibir los SMS que el banco envía al cliente con las claves de autenticación reforzada. De ese modo, sólo con conseguir la clave personal conseguiría operar y hacer pagos con tarjetas, transferencias, abrir cuentas nuevas a nombre del cliente, solicitar préstamos …
También suelen Tokenizar la tarjeta, que consiste en hacer una tarjeta virtual de débito o crédito. En lugar de tener un duplicado físico de la tarjeta (del plástico), sacan un duplicado virtual que instalan en el móvil u ordenador, con la que pueden hacer compras por Internet, en comercios físicos o sacar dinero en los cajeros.
2 Suplantar la identidad de correos
Igual que el anterior, se inicia con un SMS que supuestament envía Correos al cliente, en el que se le informa que tiene un paquete pendiente de recibir y que para obtener más información debe pinchar en el enlace.
Al pinchar el enlace se le dirige a una web del phisher, que le pide que haga un pago de 5 céntimos con la tarjeta para obtener la información relativa a la entrega.
Como es una cantidad ridícula, la gente suele picar y pagarla, introduciendo los datos de la tarjeta (número de la tarjeta, nombre del titular de la tarjeta y código CVC que viene en reverso).
A partir de ahí el phisher ya tiene los datos y puede realizar compras por internet o tokenizar la tarjeta y realizar compras en comercios físicos o sacar dinero de cajeros.
La gente que cae en la estafa suele estar pendiente de recibir un paquete de correos, por eso piensan que el SMS puede ser verdad.
3 Suplantación de identidad de Microsoft
Viene a ser iguales que las anteriores en cuanto a la finalidad, pero mucho más elaborada. Se inicia con una llamada de teléfono en la que una persona se hace pasar por un técnico de Microsoft, que le dice que tiene una brecha de seguridad en el ordenador y que necesita repararla. La llamada va dirigida al teléfono fijo del cliente y suelen tener sus datos personales (nombre, apellido, número de identificación del ordenador del cliente, …). Al darle esos datos, que sólo el cliente puede saber, confían en la llamada y hacen lo que les dicen.
Les piden que instalen un programa que permite el acceso remoto al ordenador y toman el control del ordenador, iniciando un proceso de “reparación de la brecha de seguridad”. Les tienen horas colgados al teléfono mientras el cliente ve cómo se van moviendo por la pantalla “haciendo como arreglan cosas”, para finalmente pedirle los datos de la tarjeta.
Cuando se los dan ya pueden operar, porque al tener acceso remoto al ordenador han podido ver todos los datos personales del cliente: nombre y apellidos, teléfono móvil ….
Aunque no lo sé a ciencia cierta, lo normal que previamente a la llamada ya hayan conseguido hackear el ordenador y acceder a él, para conseguir los datos del cliente y generar el marco de confianza para que les dé los datos bancarios.
4 Suplantación identidad usuario Wallapop
El phisher se hace pasar por una persona interesada en comprar un artículo que el cliente tiene a la venta en Wallapop.
Se inicia una conversación en Wallapop, o se envía un SMS o Whatsapp al cliente, en la que el phisher dice querer comprar el artículo y que él paga los gastos de envío. Le envía una orden de pago con tarjeta para abonar los gastos del envío y le dice al cliente que tiene que introducir su número de tarjeta para que se le abonen los gastos del envío.
Suelen meter prisa al cliente, que deseoso de vender no repara en que en lugar de ir a recibir un pago lo que hace es ordenar un pago al phisher.
En este tipo de casos es más dudoso que el banco tenga obligación de responder, porque ha sido el cliente quien ha hecho el pago e introducido todos los datos.
¿Qué hace el phiser una vez tiene los datos bancarios? ¿cómo mueve el dinero?
Normalmente, tras conseguir los datos bancarios el phisher hacen tres tipos de operaciones: (a) Pagos con tarjeta, (b) Sacar dinero de cajeros y (c) Transferencias.
(a) Pagos con tarjeta. Los pagos con tarjeta con tarjeta dejan un rastro. Se sabe en qué comercio se han realizado las compras. El banco puede dirigirse al comercio para verificar que hayan autorizado la operación con el número de la tarjeta y el código PIN. Si no se hecho así, pueden pedir al comercio que devuelva el dinero. También se pueden pagar transferencias de dinero con la tarjeta. Es usual que el phisher haga una transferencia a través de empresas de envío de dinero, pagando con la tarjeta. Una de esas empresas (que sale frecuentemente en las estafas) es REVOLUT una empresa de transferencias internacionales y compra de criptodivisas.
(b) Sacar dinero del cajero. Cuando se saca el dinero del cajero en el apunte bancario de la operación (en el extracto de movimientos) viene ATM (siglas en inglés de Cajero Automático). No hay forma de seguir el rastro del dinero.
(c) Transferencias. Dejan un rastro. El banco se puede dirigir al banco destinatario de la transferencia para pedirle que la retrotraiga (que la deje sin efecto). Pero el banco de destino tiene que autorizar la retrocesión. Si el cliente del banco de destino no autoriza la retrocesión o el dinero ha sido nuevamente transferido a una tercera cuenta, no va a autorizarla, que es lo que suele pasar.
¿Cómo se comete el fraude?
El fraude se comente a través de los medios de pago del usuario, por ejemplo mediante la tarjeta de crédito o débito o mediante una transferencia bancaria desde su cuenta.
Una modalidad de phishing consiste en enviar un mensaje al usuario, que le insta a seguir un enlace a una página web fraudulenta, que clonando la de la Entidad Bancaria, le pide una serie de datos personales como DNI, claves de acceso personal, número de tarjeta de crédito y contraseñas.
Otra modalidad de phishing sigue una operativa similar. El usuario, a través de un buscador de internet, accede a una página web que suplanta la identidad de la Entidad Bancaria, e introduce sus datos personales en la confianza de que está accediendo a la banca online de su legítimo titular.
En ambos casos el usuario piensa que está operando a través de la página web de su Entidad Bancaria, pero en realidad es una clonación idéntica difícilmente identificable, con lo que el usuario fácilmente puede caer en el fraude.
Como expone la Agencia Española de Protección de Datos (Resolución del Expediente nº E/00762/2004, de 24 de mayo de 2006), esas páginas web se alojan en un equipo conectado a Internet cuya seguridad se ha visto comprometida, que normalmente se encuentran en un país distinto al de los destinatarios del ataque. De esta forma, obtienen un fichero de datos personales con códigos de usuario y contraseñas de clientes recabados de forma engañosa y fraudulenta, que se ubica normalmente en el mismo equipo remoto en el que se aloja la página web falsificada.
Una vez que el Phiser dispone de los datos personales de los usuarios está en disposición de acceder a su banca digital y, usando sus claves y contraseñas, opera desde su cuenta haciendo transferencias, vendiendo valores, realizando compras con tarjetas de débito o crédito, o realizando disposiciones de efectivo a través de Cajeros Automáticos.
¿Cuáles son las responsabilidades del Usuario y de la Entidad Bancaria?
El Real Decreto-Ley 19/2018, de 23 de noviembre, de Servicios de Pago, transpuso al ordenamiento interno la Directiva (UE) 2015/2366 del Parlamento y del Consejo, de 25 de noviembre, sobre Servicios de Pago en el Mercado Interior.
El nuevo marco normativo europeo tiene por finalidad generar un entorno más seguro y fiable para los usuarios, aprovechando las innovaciones tecnológicas producidas en los últimos años, buscando darles protección por medio de un marco de responsabilidad cuasi-objetiva de la Entidad Bancaria.
La Ley de Servicios de Pago impone una serie de derechos y obligaciones a los usuarios y proveedores de servicios de pago (las Entidades Bancarias).
A los usuarios le impone tres obligaciones: 1º.) Usar el instrumento de pago de conformidad con las condiciones pactadas en el contrato; 2º.) Tomar las medidas razonables para proteger sus credenciales de seguridad; y, 3º.) Notificar sin demora indebida el extravío, la sustracción, la apropiación indebida o la utilización no autorizada (Art. 41 LSP).
Por su parte, el proveedor del medio de pago debe cumplir con las obligaciones asumidas en el contrato, implementando las medidas de seguridad necesarias para asegurar la identidad del ordenante y la autenticación de la operación.
La Directiva de Servicios de Pago (DSP2) obliga a las entidades bancarias a que las órdenes de pago se realicen mediante una autenticación reforzada (Arts. 97 y 98) o lo que es lo mismo: que la operación esté validada (a) con la clave personal y, además, (b) con un factor biométrico (p.e. la huella dactilar) o una clave aleatoria generada en cada operación, que debe ser enviada al usuario para revalidar la operación (doble factor de autenticación/seguridad)
La autenticación reforzada sirve para verificar que el ordenante del pago es el titular de la tarjeta, de forma que el titular valide la operación con –al menos— dos datos distintos –conocidos como factores de autenticación— que se caracterizan por: (a) Conocimiento: algo que sólo conoce el cliente, como una contraseña o código PIN; (b) Posesión: algo que posea el cliente, como una tarjeta de débito o un teléfono móvil; (c) Inherencia: algo inherente al cliente, como su huella dactilar .
Por ello, el Reglamente Delegado (UE) 2018/389 establece que los bancos (que son los proveedores de los servicios/medios de pago) deben disponer de mecanismos de supervisión de las operaciones que les permitan detectar operaciones de pago no autorizadas o fraudulentas. Debe poder detectar que los elementos de autenticación (las claves personales) han sido comprometidas o sustraídas y deben detectar señales de infección por programas informáticos maliciosos en el proceso de autenticación. Un factor indicativo es el importe de la operación.
Además, la técnica actual permite a los bancos (a) el análisis de las pautas o hábitos de consumo de los usuarios, (b) detectar qué comercios son seguros y (c) cuál es el tráfico mercantil de ese comercio, de forma que saben o pueden saber qué operaciones son inusuales o pueden ser fraudulentas. Como la normativa les permite bloquear la operación, en caso de detectar el fraude deberían bloquear la operación y ponerse en contacto con el usuario-consumidor, para verificar que sea él quien realmente la esté realizando.
Según la LSP, las operaciones de pago sólo se consideran autorizadas cuando el ordenante haya dado su consentimiento (Art. 36 LSP), por lo que si el usuario niega haber autorizado una operación, el banco debe devolverle de forma inmediata el importe de la operación (Art. 45 LSP).
¿Cuándo se entiende autorizada una orden de pago?
Según el Art. 36 del Real Decreto-Ley 19/2018, de 23 de noviembre, de Servicios de Pago (LSP), una orden de pago sólo se considera autorizada cuando el ordenante haya dado el consentimiento para su ejecución.
El ordenante es el titular de la tarjeta, o la persona que él haya autorizado para operar en su nombre.
Es decir, que el cliente tiene que autorizar de forma expresa y consciente la orden de pago, ya sea ordenándola él mismo, ya sea autorizando de forma expresa y consciente a un tercero para que la ordene en su nombre.
En los casos de phishing, el cliente facilita a un tercero las credenciales de seguridad. Una vez que lo ha hecho, el phisher ordena los pagos. Sin embargo, el cliente no le facilita las credenciales de seguridad de forma libre y consciente, sabiendo que ese tercero (phisher) va a ordenar un pago, sino que lo hace de forma viciada, movido por un engaño. Por ese motivo, hay un vicio en la voluntad del cliente que anula su consentimiento. O mejor dicho, más que anular, no existe consentimiento, porque no sabía que le facilitaba las claves a un tercero (pensaba que lo hacía al banco), con lo que no hay consentimiento del cliente para ordenar esos pagos.
Sin embargo, es frecuente que la Entidad Bancaria oponga la negligencia del usuario en la protección de sus datos personales para eludir sus obligaciones. La Ley de Servicios de Pago establece que el usuario deberá soportar las pérdidas de la operación cuando haya incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, alguna de las obligaciones que le incumbe (Art. 46). Sin embargo, debe ser la Entidad Bancaria quien demuestre la negligencia grave del usuario.
El supuesto más habitual consiste en oponer que el usuario ha actuado de forma negligente en la conservación de sus datos personales (usuario, clave de acceso personal, contraseñas, …). Sin embargo, la jurisprudencia suele resolver a favor de los usuarios, porque la negligencia grave “consiste en no proceder ni siquiera con la más elemental diligencia” o en “la más grave falta de diligencia, no hacer lo que todos hacen, no prever lo que todos prevén”, y en la mayoría de las ocasiones el usuario es objeto de un fraude con capacidad para engañar a una generalidad de personas y por tanto no se considera que actúe con grave negligencia.
Como se expone en la SAP de Alicante, Sec. 8ª, nº 107/2018, de 12/3/2018
1º.) El proveedor de los servicios de pago (la Entidad Bancaria) “debe implementar las medidas necesarias para asegurar la autenticación e identidad del ordenante a la hora de prestar su consentimiento. Por ello y para su ejecución, el banco debe comprobar en todo caso la autenticidad de la orden”;
2º.) “La falsedad de la transferencia (es decir, que el ordenante no sea el titular de la cuenta) es un riesgo a cargo del banco porque, en principio, el deudor sólo se libera pagando al verdadero acreedor por lo que si el banco cumple una orden falsa, habrá de reintegrar en la cuenta correspondiente las cantidades cargadas”.
3º.) “La responsabilidad en estos supuestos no puede atribuirse directamente al supuesto ordenante de la transferencia por entenderse ésta autorizada al haberse realizado de acuerdo con los sistemas de autenticación del banco. Los sistemas de autenticación se establecen por los proveedores de servicios de pago y si un banco no ha sido capaz de limitar el acceso al canal de banca electrónica no puede pretender que el presunto ordenante víctima de esta práctica fraudulenta sea el único responsable, pues es el banco quien tiene responsabilidad respecto del buen funcionamiento y la seguridad del mismo”.
4º.) “Las medidas de seguridad no solamente están destinadas a proteger la seguridad de las órdenes de pago emitidas por los clientes sino que su eficacia exonera a las entidades de crédito de sus responsabilidad frente a las órdenes de pago no emitidas por sus clientes de tal forma que el incumplimiento de este específico deber de vigilancia da lugar a una responsabilidad por “culpa invigilando” o responsabilidad objetiva por el mal funcionamiento de los servicios de banca electrónica”.
¿Qué pasa si no hay consentimiento?
Según el Art. 44 de la LSP cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada el banco debe demostrar que la operación fue autenticada, registrada y contabilizada con exactitud.
En los asuntos de phishing, cuando los clientes presentan una reclamación al banco este siempre contesta que la operación fue autenticada, registrada y contabilizada.
Sin embargo, en estos asuntos no se discute que la operación fue autenticada, registrada y contabilizada. Eso está claro, porque el cliente tiene el cargo en la cuenta, sólo que él niega haberlo realizado.
Lo que se discute es que el cliente no fue quien autorizó la operación de forma expresa, consciente y voluntaria, sino que fue un tercero quien ejecutó esas operaciones, que consiguió las claves personales del cliente a través de una estafa (engañó al cliente haciéndose pasar por un tercero legítimo para conseguir sus claves).
El Art. 45 de la LSP dice que cuando se ejecute una orden de pago no autorizada el banco debe devolver al cliente el importe de la operación.
Los bancos no suelen negar que el cliente haya sido objeto de una estafa. Lo que oponen es que actuó de forma negligente (con negligencia grave) a la hora de conservar las claves de seguridad. Alegan que fue él quien facilitó las claves a un tercero, incumpliendo su obligación de custodia.
El banco sólo queda exento de la obligación de devolver los fondos si prueba que el cliente actuó con negligencia grave. Debe ser el banco quien lo pruebe.
¿Qué debe hacer un Usuario que ha sido objeto de un fraude de Phishing?
Lo primero que debe hacer es informar inmediatamente a la Entidad Bancaria, para que bloquee el medio de pago y emita unas nuevas credenciales de seguridad.
Seguidamente debe interponer una denuncia ante la Policía Nacional, detallando el método usado para la comisión del fraude.
Es importante conservar los mensajes recibidos del Phiser, en orden a poder acreditar cómo se cometió el fraude, cómo se inició la orden de pago y la falta de consentimiento de la orden.
Una vez que ha comunicado a la Entidad Bancaria el fraude e interpuesto la denuncia, deberá presentar una reclamación escrita a su Entidad Bancaria, requiriéndoles para repongan su cuenta al estado que tenía con anterioridad a las operaciones, reintegrándole el importe de las operaciones que no ha autorizado.
Si la Entidad Bancaria no atiende la reclamación, nuestra sugerencia es que se ponga en manos de abogados especialistas en delitos informático , para que intercedan en su nombre frente al banco y, en su caso, deduciendo las acciones legales necesarias para la restitución de los fondos.
Responsabilidad del banco.
El banco puede ser responsable frente al cliente por dos motivos: (a) por incumplir sus obligaciones contractuales, las obligaciones que nacen del contrato, y (b) por incumplir sus obligaciones legales.
Responsabilidad contractual.
La responsabilidad contractual nace cuando el banco incumple los términos del contrato, por ejemplo:
(a) Al no enviar un SMS de aviso por cada operación que se reciba (no es el SMS con la clave de autenticación reforzada, sino un SMS en el que se avisa al usuario que se ha ejecutado una compra), con lo que el usuario no se percata que están haciendo varias compras y no puede cancelar la tarjeta para limitar las pérdidas a una sola compra, en lugar de p.e. cinco.
(b) Al permitir que se realicen compras por encima del límite de la tarjeta. En el contrato se suelen limitar las compras o disposiciones a 1.200 € diarios. Si el banco permite que se efectúen compras por encima de ese importe está incumpliendo el límite que él mismo ha estipulado en el contrato.
(c) Permitiendo que un tercero realice compras en lugar del titular. Aunque esto enlaza con la responsabilidad legal.
Responsabilidad legal.
Las obligaciones legales del banco están reguladas en la Directiva (UE) 2015/2366 de Servicios de Pago (DSP2) y en el Real Decreto-Ley 19/2018, de 23 de noviembre, de Servicios de Pago (LSP).
Es una obligación de carácter cuasi-objetivo, lo que quiere decir que se presume que el titular de la tarjeta no ha autorizado la operación, de forma que es el banco el que debe probar:
a.) Que ha implementado las medidas técnicas de seguridad necesarias establecidas en la DSP2 y desarrolladas por el Reglamento 2018/389.
b.) Que remitió al titular la clave dinámica aleatoria de un solo uso y que fue él quien la recibió en su dispositivo y usó para validar la operación.
c.) Que el demandante ha incurrido en negligencia grave.
En definitiva, se trata de que el juez valore el tipo de estafa, si tiene entidad suficiente para considerarse que lleva un engaño bastante (o si por el contrario es un burdo engaño) y si puede considerarse que el cliente actuó con negligencia grave cuando fue víctima de un engaño bastante.
También tiene que valorar si las medidas de seguridad del banco son suficientes para prevenir este tipo de fraudes, porque si no lo son el banco ha incumplido sus obligaciones legales y, por ese motivo, se ha podido producir la estafa y las propias órdenes de pago no autorizadas.
Hay un aforismo jurídico que dice “las ventajas de una cosa aprovechan al que sufre los inconvenientes”, lo que en sentido contrario quiere decir que el quien se aprovecha de las ventajas, tiene que sufrir los inconvenientes. Quien se aprovecha de los pagos con tarjeta (el banco) debe sufrir los inconvenientes de ese negocio.
¡Contáctanos hoy mismo para obtener más información sobre cómo podemos ayudarte!
Telf.- 914 456 061
Glorieta del General Álvarez de Castro, 1, 1º Dcha. (28010-Madrid)
