He sido víctima de un phishing bancario ¿Puedo reclamar a mi banco? ¿Tengo que interponer una denuncia?
Cada vez son más los casos que llegan al departamento de procesal de Baker Tilly relacionados con los delitos informáticos. Estos casos son variados y según su tipología la víctima tiene más o menos recursos para resarcirse del daño sufrido. En este artículo nos centraremos en el denominado “phishing bancario” y la posibilidad de reclamar a la entidad bancaria que se encarga de prestar el servicio de medios de pago.
Un ejemplo de “phishing bancario”
Por “phishing bancario” nos referimos a quienes han recibido SMS, correos electrónicos o llamadas de alguien que, haciéndose pasar por su entidad bancaria de confianza, le envía algún tipo de señuelo cuya finalidad es la de obtener los datos de acceso a la banca digital o sus medios de pago. Un ejemplo de este señuelo podría ser el que recibe un SMS en el que se pide al usuario que actualice su cuenta o confirme un pago. En el SMS incluye un enlace a una página falsa pero muy similar a la oficial del banco en la que la víctima, confiada, introduce sus datos personales. Una vez el hacker ha obtenido las contraseñas y puede acceder a la banca digital, ordena transferencias, se apropia de los datos de las tarjetas o incluso contrata nuevos medios de pago que les permiten vaciar la cuentas que la víctima tiene en la entidad.
¿Qué responsabilidad tiene el banco por la custodia del dinero?
Las posibilidades de encontrar al responsable del delito suelen ser escasas, pues con frecuencia el autor se encuentra fuera del territorio nacional, o bien, ha utilizado a terceros para ocultar su identidad.
Hoy en día, la responsabilidad de la entidad financiera se encuentra delimitada por el Real Decreto Ley 19/2018 de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera.
Esta normativa regula un régimen de responsabilidad cuasi objetiva de los proveedores de servicios de medios de pago. Esta clase de responsabilidad comporta que el banco ha de responder y reintegrar al cliente los importes de las órdenes de pago realizadas y que no fueron autorizadas por este, salvo que, como regla general, pueda probar la culpa grave o comportamiento fraudulento del usuario del servicio.
Además, cuando se trate de operaciones en las que no se aplicaron por el banco los controles de autenticación reforzados cuando eran exigibles por ley, la responsabilidad solo podrá excluirse cuando acredite que el cliente actuó de forma fraudulenta. Igualmente, el banco deberá soportar las pérdidas económicas que tengan lugar después de que el cliente comunique a la entidad la sustracción o el uso indebido del medio de pago, salvo que, como antes, demuestre que el cliente actuó de forma fraudulenta.
Es importante tener en cuenta que la carga de la prueba de ese comportamiento culposo o fraudulento que exonera a la entidad corresponde a la propia entidad financiera. Esta suele ampararse en la declaración del propio usuario que reconoce haber facilitado sus datos o contraseñas a una web o SMS fraudulento para exonerarse de responsabilidad por la culpa grave del usuario.
Cada vez con más frecuencia, nos estamos encontrando con resoluciones judiciales que entienden que, a pesar del reconocimiento del usuario de haber facilitado sus datos a una web falsa y de manera no intencionada, sino como consecuencia del error provocado por el delincuente, la responsabilidad sigue siendo de la entidad pues a los usuarios no les es exigible conocer aspectos técnicos tales como distinguir páginas web prácticamente similares. Esta línea de sentencias, indican que le corresponde al banco adoptar soluciones tecnológicas avanzadas para garantizar la seguridad de la banca digital.
¿Qué hacer si he sido víctima de un phishing bancario?
A pesar de la dificultad para localizar al “hacker” y recuperar del mismo el dinero sustraído, es recomendable interponer la correspondiente denuncia o querella criminal y hacer seguimiento del mismo. Estas actuaciones, aunque con poca probabilidad de éxito a corto plazo, pueden destapar la existencia de una organización y poner fin a la práctica fraudulenta.
Ahora bien, tanto en la denuncia que se haga, como en la comunicación de la incidencia a su entidad, recomendamos valorar detenidamente como se trasladará la información, sobre todo, teniendo en cuenta que las entidades se escudarán en cualquier pretexto para atribuirle una actuación gravemente negligente con el fin de esquivar la responsabilidad.
Asimismo, deben adoptarse las medidas de seguridad adecuadas tales como cambiar contraseñas y comprobar que los datos personales no se hayan visto modificados. Si se suele utilizar la misma contraseña para los distintos correos o sistemas, es probable que estos estén comprometidos, por lo que sería recomendable que se revise la seguridad de todos los dispositivos y cuentas.
También es recomendable presentar una reclamación ante la entidad financiera por las salidas de dinero que no hayan sido autorizadas por el usuario. Y si la entidad no reintegra los importes, cabe la posibilidad de formular una reclamación ante los servicios de reclamación del cliente de la propia entidad, el Defensor del Cliente de esta y finalmente, interponer una reclamación judicial. Pero, para la viabilidad de estas acciones, es vital ser muy cauteloso con la información / declaración que se realice, sobre todo, si puede ser utilizada por la propia entidad para alegar un reconocimiento del usuario de un comportamiento negligente por su parte que exonere a la entidad de su responsabilidad.
Desde el departamento procesal de Baker Tillyodemos prestar desde el primer momento, el asesoramiento que requiera cualquier persona o empresa que haya sido víctima de “phishing bancario” ofreciéndote una respuesta integral y coordinada de las diferentes áreas jurídicas y tecnológicas de la firma.