Cada día llegan más consultas a nuestra Asociación sobre disposiciones patrimoniales padecidas fruto de pérdidas, hurtos o robos de tarjetas de crédito, pero también por la obtención fraudulenta de datos personales, de claves de acceso, de claves de seguridad…; bien sea porque el cliente pincha en un enlace que le redirecciona a una página idéntica a la de su suministrador de electricidad, gas, o a su entidad financiera, o bien porque facilita datos a quien fraudulentamente ha hecho creer al consumidor que se trataba de su entidad de confianza quien le requería información alegando falsas razones de seguridad . Estos tipos de fraudes, más allá de la responsabilidad penal de quien los comete, también pueden suponer la responsabilidad del banco y la devolución del dinero robado al particular.
En este artículo vamos a acometer uno de estos tipos de fraudes: El Phishing.
El Instituto Nacional de Ciberseguridad de España describe el Phishing como una técnica utilizada por ciberdelincuentes para obtener información personal y bancaria de los usuarios, por medio de la cual se envían mensajes suplantando a una entidad legítima, como puede ser un banco, para engañarles y manipularles a fin de que realicen una acción que ponga en peligro sus datos.
El fraude se inicia con un mensaje (e-mail, SMS, Whatsapp, …) que tiene por objetivo asustar al usuario, instándole a actuar según las indicaciones del mensaje, para que facilite sus datos bancarios personales.
La Ley 16/2009 de servicios de pago determina que las operaciones de pago que no hayan sido autorizadas por el titular de la cuenta deben ser reintegradas automáticamente a este siempre y cuando el cliente no haya actuado fraudulentamente o con negligencia grave o haya comunicado inmediatamente a la entidad bancaria la transferencia no consentida. Y es en este mismo ámbito en el que también se prevé explícitamente la responsabilidad del banco en caso de pago de operaciones no autorizadas, así como las indemnizaciones que por daños y perjuicios puedan corresponder según el caso
Como expone la Agencia Española de Protección de Datos (Resolución del Expediente nº E/00762/2004, de 24 de mayo de 2006), esas páginas web se alojan en un equipo conectado a Internet cuya seguridad se ha visto comprometida, que normalmente se encuentran en un país distinto al de los destinatarios del ataque. De esta forma, obtienen un fichero de datos personales con códigos de usuario y contraseñas de clientes recabados de forma engañosa y fraudulenta, que se ubica normalmente en el mismo equipo remoto en el que se aloja la página web falsificada.
Una vez que el Phisher dispone de los datos personales de los usuarios está en disposición de acceder a su banca digital y, usando sus claves y contraseñas, opera desde su cuenta haciendo transferencias, vendiendo valores, realizando compras con tarjetas de débito o crédito, o realizando disposiciones de efectivo a través de Cajeros Automáticos.
¿Cuáles son las responsabilidades del usuario y de la Entidad Bancaria?
El Real Decreto-Ley 19/2018, de 23 de noviembre, de Servicios de Pago, transpuso al ordenamiento interno la Directiva (UE) 2015/2366 del Parlamento y del Consejo, de 25 de noviembre, sobre Servicios de Pago en el Mercado Interior. El nuevo marco normativo europeo tiene por finalidad generar un entorno más seguro y fiable para los usuarios, aprovechando las innovaciones tecnológicas producidas en los últimos años, buscando darles protección por medio de un marco de responsabilidad cuasi-objetiva de la Entidad Bancaria.
La Ley de Servicios de Pago impone una serie de derechos y obligaciones a los usuarios y Entidades Bancarias.
A los usuarios le impone una serie de obligaciones:
1º.) Usar el instrumento de pago de conformidad con las condiciones pactadas en el contrato;
2º.) Tomar las medidas razonables para proteger sus credenciales de seguridad; y, 3º.) Notificar sin demora indebida el extravío, la sustracción, la apropiación indebida o la utilización no autorizada (Art. 41 LSP).
Por su parte, el proveedor del medio de pago debe cumplir con las obligaciones asumidas en el contrato, implementando las medidas de seguridad necesarias para asegurar la identidad del ordenante y la autenticación de la operación.
La Directiva de Servicios de Pago (DSP2) obliga a las entidades bancarias a que las órdenes de pago se realicen mediante una autenticación reforzada (Arts. 97 y 98) o lo que es lo mismo: que la operación esté validada (a) con la clave personal y, además, (b) con un factor biométrico (p.e. la huella dactilar) o una clave aleatoria generada en cada operación, que debe ser enviada al usuario para revalidar la operación (doble factor de autenticación/seguridad.)
La autenticación reforzada sirve para verificar que el ordenante del pago es el titular de la tarjeta, de forma que el titular valide la operación con –al menos— dos datos distintos –conocidos como factores de autenticación— que se caracterizan por: (a) Conocimiento: algo que sólo conoce el cliente, como una contraseña o código PIN; (b) Posesión: algo que posea el cliente, como una tarjeta de débito o un teléfono móvil; (c) Inherencia: algo inherente al cliente, como su huella dactilar.
Por ello, el Reglamente Delegado (UE) 2018/389 establece que los bancos (que son los proveedores de los servicios/medios de pago) deben disponer de mecanismos de supervisión de las operaciones que les permitan detectar operaciones de pago no autorizadas o fraudulentas. Debe poder detectar que los elementos de autenticación (las claves personales) han sido comprometidas o sustraídas y deben detectar señales de infección por programas informáticos maliciosos en el proceso de autenticación. Un factor indicativo es el importe de la operación.
Según la LSP, las operaciones de pago sólo se consideran autorizadas cuando el ordenante haya dado su consentimiento (Art. 36 LSP), por lo que si el usuario niega haber autorizado una operación, el banco debe devolverle de forma inmediata el importe de la operación (Art. 45 LSP).
¿Cuándo se entiende autorizada una orden de pago?
Según el Art. 36 del Real Decreto-Ley 19/2018, de 23 de noviembre, de Servicios de Pago (LSP), una orden de pago sólo se considera autorizada cuando el ordenante haya dado el consentimiento para su ejecución.
El ordenante es el titular de la tarjeta, o la persona que él haya autorizado para operar en su nombre.
Es decir, que el cliente tiene que autorizar de forma expresa y consciente la orden de pago, ya sea ordenándola él mismo, ya sea autorizando de forma expresa y consciente a un tercero para que la ordene en su nombre.
En los casos de phishing, el cliente facilita a un tercero las credenciales de seguridad. Una vez que lo ha hecho, el phisher ordena los pagos. Sin embargo, el cliente no le facilita las credenciales de seguridad de forma libre y consciente, sabiendo que ese tercero (phisher) va a ordenar un pago, sino que lo hace de forma viciada, movido por un engaño. Por ese motivo, hay un vicio en la voluntad del cliente que anula su consentimiento. O, mejor dicho, más que anular, no existe consentimiento, porque no sabía que le facilitaba las claves a un tercero (pensaba que lo hacía al banco), con lo que no hay consentimiento del cliente para ordenar esos pagos.
Sin embargo, es frecuente que la Entidad Bancaria oponga la negligencia del usuario en la protección de sus datos personales para eludir sus obligaciones. La Ley de Servicios de Pago establece que el usuario deberá soportar las pérdidas de la operación cuando haya incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, alguna de las obligaciones que le incumbe (Art. 46). Sin embargo, debe ser la Entidad Bancaria quien demuestre la negligencia grave del usuario.
¿Qué pasa si no hay consentimiento?
Según el Art. 44 de la LSP cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada el banco debe demostrar que la operación fue autenticada, registrada y contabilizada con exactitud.
En los asuntos de phishing, cuando los clientes presentan una reclamación al banco este siempre contesta que la operación fue autenticada, registrada y contabilizada.
Sin embargo, en estos asuntos no se discute que la operación fue autenticada, registrada y contabilizada. Eso está claro, porque el cliente tiene el cargo en la cuenta, sólo que él niega haberlo realizado.
Lo que se discute es que el cliente no fue quien autorizó la operación de forma expresa, consciente y voluntaria, sino que fue un tercero quien ejecutó esas operaciones, que consiguió las claves personales del cliente a través de una estafa (engañó al cliente haciéndose pasar por un tercero legítimo para conseguir sus claves).
El Art. 45 de la LSP dice que cuando se ejecute una orden de pago no autorizada el banco debe devolver al cliente el importe de la operación.
Los bancos no suelen negar que el cliente haya sido objeto de una estafa. Lo que oponen es que actuó de forma negligente (con negligencia grave) a la hora de conservar las claves de seguridad. Alegan que fue él quien facilitó las claves a un tercero, incumpliendo su obligación de custodia.
El banco sólo queda exento de la obligación de devolver los fondos si prueba que el cliente actuó con negligencia grave. Debe ser el banco quien lo pruebe.
¿Qué debe hacer un usuario que ha sido objeto de un fraude de Phishing?
Lo primero que debe hacer es informar inmediatamente a la Entidad Bancaria, para que bloquee el medio de pago y emita unas nuevas credenciales de seguridad.
Seguidamente debe interponer una denuncia ante la Policía Nacional, detallando el método usado para la comisión del fraude.
Es importante conservar los mensajes recibidos del Phisher, en orden a poder acreditar cómo se cometió el fraude, cómo se inició la orden de pago y la falta de consentimiento de la orden.
Una vez que ha comunicado a la Entidad Bancaria el fraude e interpuesto la denuncia, deberá presentar una reclamación escrita a su Entidad Bancaria, requiriéndoles para repongan su cuenta al estado que tenía con anterioridad a las operaciones, reintegrándole el importe de las operaciones que no ha autorizado.
En definitiva, el banco puede ser responsable frente al cliente por dos motivos: (a) por incumplir sus obligaciones contractuales, las obligaciones que nacen del contrato, y (b) por incumplir sus obligaciones legales.
Es una obligación de carácter cuasi-objetivo, lo que quiere decir que se presume que el titular de la tarjeta no ha autorizado la operación, de forma que es el banco el que debe probar:
a.) Que ha implementado las medidas técnicas de seguridad necesarias establecidas en la DSP2 y desarrolladas por el Reglamento 2018/389.
b.) Que remitió al titular la clave dinámica aleatoria de un solo uso y que fue él quien la recibió en su dispositivo y usó para validar la operación.
c.) Que el demandante ha incurrido en negligencia grave.
En definitiva, se trata de que el juez valore el tipo de estafa, si tiene entidad suficiente para considerarse que lleva un engaño bastante y si puede considerarse que el cliente actuó con negligencia grave cuando fue víctima de un engaño bastante.
También tiene que valorar si las medidas de seguridad del banco son suficientes para prevenir este tipo de fraudes, porque si no lo son el banco ha incumplido sus obligaciones legales y, por ese motivo, se ha podido producir la estafa y las propias órdenes de pago no autorizadas.