Vishing, Smishing y Phishing bancario: Responsabilidad Bancaria

Phishing bancario

Los usuarios de banca electrónica que sean víctimas de una estafa (vishing, smishing y phishing bancario) en sus cuentas corrientes pueden reclamar a las entidades bancarias que les restituyan las cantidades sustraídas de inmediato, basta con que el usuario niegue su responsabilidad al respecto. Puesto que el banco es el proveedor de servicios y, por lo tanto, la legislación aplicable le impone el deber de disponer de medidas de seguridad suficientes, así como la carga de probar cuál de las partes actuó con negligencia grave.

En la mayoría de las ocasiones, interpuesta la correspondiente reclamación extrajudicial por los usuarios, las entidades rechazan restituir a sus clientes las cantidades que les han sido sustraídas de forma fraudulenta. No obstante, en vía judicial los tribunales en aplicación de la legislación y normativa vigente, les exigen que procedan de conformidad, salvo que prueben que el usuario actuó con negligencia grave. Lo cual, adelantamos, en la mayoría de los casos enjuiciados, no ocurre, por resultar difícilmente detectable este tipo de ataques cibernéticos para un banco, mucho menos lo será para un particular.

Acción ejercitable legislación y jurisprudencia:

La acción que debemos ejercitar ante este tipo de ciberdelitos conocidos como phishing, es una reclamación de cantidad por responsabilidad cuasi-objetiva con inversión de la carga probatoria, por incumplimiento de obligaciones de naturaleza contractual y extracontractual, por parte de la entidad bancaria, habiéndose realizado transferencias fraudulentas por parte de un tercero, el ciberdelincuente, sin el consentimiento del usuario.

Esta responsabilidad cuasi-objetiva con inversión de la carga probatoria, impone a la entidad la obligación de adoptar las medidas de seguridad necesarias ante los distintos modos de fraude informático que se puedan presentar, así como la devolución del importe sustraído íntegramente al usuario de forma inmediata, -sin perjuicio de que posteriormente se acredite la responsabilidad de cada uno- y, por último, el peso de acreditar quien falto sus obligaciones.

En este tipo de procedimientos, los juzgados y tribunales, disponen que, a tenor del artículo 217.7 de la Ley de enjuiciamiento Civil, la entidad bancaria es quien tiene la obligación de probar que hizo todo lo posible para prevenir el daño, lo que implica acreditar que ostenta las medidas de seguridad adecuadas, suficientes, eficientes y actuales al nivel de riesgo; y por otro, que el usuario no custodió debidamente las claves de su cuenta bancaria. Se trata de un criterio especial íntimamente ligado al apartado 6 del referido artículo, por medio del cual, se hace alusión a los principios de disponibilidad y facilidad probatoria, por entenderse que debe ser el banco quien tiene la posibilidad de probar estos dos extremos. Lo cual resulta lógico, puesto que el usuario no tiene acceso a los registros de estos medios de seguridad del banco.

Asimismo, no podemos sino mencionar, la asentada jurisprudencia que existe al respecto, como, por ejemplo, la Sentencia de 12 de marzo de 2018 de la Audiencia Provincial de Alicante, sec. 8ª, nº 107/2018, rec. 622/2017, que expone de forma clara:

“Y es que no es cierto que la carga de la prueba sobre la implementación de medidas de seguridad adecuadas, suficientes, eficientes y actuales al nivel de riesgo modalidades de ataques informáticos en la red bancaria de banca online lo sea a cargo del usuario del sistema, pues el marco de responsabilidad establecido para el caso de operaciones de pagos hechos por proveedores de servicios no autorizadas o ejecutadas incorrectamente, es el de la cuasi-objetividad tal cual se desprende de la regulación específica sobre la materia -a la que seguidamente aludiremos-, sin perjuicio del régimen general de la carga de la prueba.

Ahora bien, no es así cuando ” una disposición legal expresa” -art 217.6- imponga al demandado la carga de probar que hizo cuanto le era exigible para prevenir el daño; o cuando tal inversión de la carga de la prueba venga reclamada por los principios de ” disponibilidad y facilidad probatoria ” a los que se refiere el artículo 217.7 LEC, y ello sin perjuicio de que en aplicación de lo dispuesto en el artículo 386 LEC el tribunal pueda imputar a culpa del demandado el resultado dañoso acaecido cuando, por las especiales características de éste y conforme a una máxima de la experiencia, pertenezca a una categoría de resultados que típicamente se produzcan (sean realización de un riesgo creado) por impericia o negligencia, y no proporcione el demandado al tribunal una explicación causal de ese resultado dañoso que, como excepción a aquella máxima, excluya la culpa por su parte.

Por otro lado el apartado 6 del artículo 217 LEC dispone que las normas contenidas en los apartados precedentes ” se aplicarán siempre que una disposición legal expresa no distribuya con criterios especiales la carga de probar los hechos relevantes “.

En el presente caso -y con ello entramos en la segunda y tercera de las razones que justifican nuestra decisión-, la disposición expresa existe, tanto en el ámbito de consumo como en la regulación de los servicios de pago.”

Por otro lado, conviene detenernos en lo que anteriormente se conocía como Ley 16/2009, de 13 de noviembre de servicios de pago, la cual fue derogada y en su lugar, se aprobó el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera cuyo articulado determina: (i) cuales son las obligaciones y responsabilidades de la entidad bancaria y del usuario, así como, (ii) las medidas de seguridad de las que debe disponer el banco, siendo la más relevante la autenticación de identidad.

Lo que nos ofrece este articulado es la posibilidad de conocer cuáles son las obligaciones de ambas partes, lo que determinará quien es responsable de lo ocurrido. Como vemos, una vez más, resulta fundamental la carga de la prueba que hemos venido mencionando, que corresponde exclusivamente al banco en estos supuestos como criterio especial.

Pero es que, más allá de determinar quién es responsable o no, el art. 45 del referido cuerpo legislativo, indica de forma clara y contundente que, la entidad bancaria debe devolver las cantidades a las víctimas del fraude con carácter inmediato o al día siguiente hábil y, además, demostrar que la misma no incurrió en culpa.

Lo cual no ocurre en la mayoría de los casos, pues es el proveedor de servicios quien debe tener las medidas de seguridad suficientes y, habiéndose producido este tipo de estafa, lo que está claro es que, evidentemente no disponen de medios eficientes. Pero es que, además, no olvidemos que este tipo de ciberdelitos, consiguen suplantar casi a la perfección la identidad del banco, de forma que es prácticamente imposible identificarlos por parte de hackers éticos (informáticos especializados en este tipo de ataques cibernéticos), mucho menos lo será para un particular con conocimientos limitados en la materia.

En tercer lugar, resulta de aplicación la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015 cuyos considerandos vienen a abundar lo anterior, recalcando en todo momento la importancia de que la entidad bancaria devuelva al usuario las cantidades, en el momento que el titular de la cuenta bancaria afectada avise a ésta de lo acontecido. Si bien también resulta relevante tener en cuenta, la premura con la que se comunique la incidencia por parte del afectado a la entidad bancaria.

Por último, no podemos sino mencionar, la Ley General para la Defensa de Consumidores y usuarios (Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los consumidores y Usuarios) y otras leyes complementarias que protegen, necesariamente, a la víctima, en este caso el titular de la cuenta bancaria.

En este sentido, conviene citar la mencionada Sentencia de 12 de marzo de 2018 de la Audiencia Provincial de Alicante, sec. 8ª, nº 107/2018, rec. 622/2017, que hace relaciona este art. 148 con el art. 217.6 de la LEC con respecto a la carga probatoria:

Además la norma citada se complementa con el art. 148 EDL 2007/205571 conforme al cual ” se responderá de los daños originados en el correcto uso de los servicios, cuando por su propia naturaleza, o por estar así reglamentariamente establecido, incluyan necesariamente la garantía de niveles determinados de eficacia o seguridad, en condiciones objetivas de determinación, y supongan controles técnicos, profesionales o sistemáticos de calidad, hasta llegar en debidas condiciones al consumidor y usuario. “, precepto del que se desprende el fundamento de la responsabilidad presunta del proveedor de servicios en el ámbito de la sociedad de la información, en particular cuando no aparece vinculada exclusivamente a la falta de específicas medidas de autoprotección por parte de aquellos sino a la falta de un especial cuidado en atención a la naturaleza del servicio de que se trata, al modo empresarial de su prestación y al rol que en este desempeña un usuario típico, ponderado el hecho de que si el evento dañoso acaece es porque hay un déficit de la seguridad que legítimamente no cabía esperar del servicio prestado. Y dado que se produce -cuando el evento ocurredentro de un ámbito que se halla bajo el control del empresario prestador del servicio, que es quien cuenta con la información sobre las medidas de cuidado exigibles, y en su caso adoptadas, a fin de reducir el riesgo de riesgos, es el proveedor quien deviene responsable del daño

Así resulta además del particular régimen jurídico de responsabilidad en la prestación de servicios de pago que, con la llamada del 217.6 LEC, penetra en la configuración de la específica modalidad de responsabilidad que asume este prestador y con ello, la variación del régimen legal del sistema de gravamen probatorio.”

Caso de éxito de responsabilidad de la entidad bancaria frente a un phishing bancario

SE CONDENA A LA ENTIDAD BANCARIA A LA RESTITUCIÓN DE LAS CANTIDAD SUSTRAÍDAS DE FORMA FRAUDULENTA DE LA CUENTA CORRIENTE DE NUESTRO CLIENTE POR RESPONSABILIDAD CUASI-OBJETIVA COMO PROVEEDORES DE SERVICIO DE PAGO.

Nuestro cliente fue víctima de un engaño al recibir comunicaciones (llamadas y SMS) desde un número de teléfono que se correspondía con un terminal real del departamento de siniestros de la entidad bancaria donde tenía sus cuentas corrientes. Alguien, quien se hizo pasar en todo momento por empleado de esta -hasta el punto de que conocía todos sus datos bancarios-, le indicó que trabajaba en el departamento siniestros y que el motivo de su llamada era advertirle de un posible fraude, pues se habían advertido lo que parecía ser, operaciones no ordenadas por el titular en su cuenta corriente. Nuestro cliente, en su absoluto convencimiento de que se trataba de un empleado de la banca, pues el teléfono desde el que había recibido la llamada pertenecía al propio banco y, además, conocía de antemano todos sus datos, le llevó a facilitar sus datos al ciberdelincuente, quien le indicó que necesitaba ciertos códigos para cancelar las operaciones. Sin embargo, lejos de recuperar el dinero sustraído, resultó ser un fraude y terminó por ejecutar las operaciones, de forma que, a través de diferentes disposiciones fraudulentas transfirió el dinero a una misma cuenta beneficiaria, de una persona denominada “muleros”.

Tras comunicar con inmediatez lo acaecido, la entidad bancaria negó su responsabilidad y rechazó la devolución de las cantidades sustraídas achacando el fraude a la negligencia del cliente por haber facilitado sus datos para operar con la banca on-line a un tercero.

Interpuesta la oportuna demanda de reclamación de cantidad contra la entidad bancaria reclamando el pago de las cantidades que le habían sido sustraídas de sus cuentas bancarias -y, a pesar de que la entidad se opuso al pago de estas indicando que había sido la actuación negligentemente de nuestro cliente lo que provocó que se realizasen las operaciones de disposición de dinero-, el Juzgado de 1ª Instancia Nº83 de Madrid, ha estimado íntegramente nuestra demanda, acorde al entendimiento de que, en primer lugar, la entidad bancaria no ha sido capaz de acreditar debidamente que medió negligencia por parte del titular de la cuenta y que, además, este sistema de banca online debe ofrecer un servicio seguro y confiable, de forma que no puede trasladarse al usuario los posibles riesgos de este sistema salvo que pruebe que se ha actuado con negligencia grave y sin adoptar las medidas preventivas mínimas, lo cual no ocurrió. Por ello, ha estimado íntegramente nuestra demanda y condenado a la entidad bancaria a pagar al cliente la cantidad total que le fue sustraída de sus cuentas corrientes.
Establece el Fundamento de Derecho Primero de la sentencia que estima la demanda interpuesta en representación de nuestro cliente:

“la negligencia de la actora debe ser calificable de grave, no una simple imprudencia que consistió en no ser totalmente desconfiada con los servicios de banca electrónica y hacer comprobaciones por ella misma más allá de las medidas de seguridad adoptadas por el propio demandado, que hace recaer sobre la actora todo un proceso farragoso, lento y complicado de verificaciones para después ser incapaz de explicar cómo alguien puede hacerse pasar por empleado y utilizar terminales telefónicas del propio demandado para engañar a los clientes, ni que medidas adopta para que esto no pueda ocurrir, por lo que si puede ser algo confiado el uso que de la banca electrónica hace la actora no llega ni mucho menos a ser grave su negligencia, al menos comparada con la del demandado que ofrece servicios cuya seguridad y fiabilidad pone a cargo de los propios clientes y sin explicar sus fallos de seguridad.”

Defendiendo tus derechos con nuestros abogados especializados en derecho bancario

Si te encuentras en una situación similar a la descrita anteriormente y necesitas asesoramiento legal especializado en casos de reclamaciones contra entidades financieras por vishing, smishing y phishing bancario, te recomendamos consultar con nuestros abogados expertos en derecho bancario. Estamos aquí para ayudarte a defender tus derechos y recuperar las cantidades sustraídas de forma fraudulenta. Contáctanos hoy mismo para obtener asesoramiento personalizado y buscar la mejor solución para tu caso

Facebook
Twitter
LinkedIn
WhatsApp
Email
Asesoramos a nuestros clientes para ser su socio de máxima confianza.
¿Te podemos ayudar?

RESPONSABLE DE LOS DATOS: AFIANZA ASESORES, S.L.U., con domicilio en C/ Alfonso XII 20, 1ª planta, 28014 Madrid. Correo electrónico: protecciondedatos@afianza-ac.es
BASE LEGAL: Utilizaremos los datos que nos facilita para responder a su solicitud, y, si usted nos da su consentimiento, para enviarle información sobre nuestros productos.
DERECHOS DE LOS INTERESADOS: Usted podrá ejercer sus derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento, dirigiéndose al e-mail o al domicilio social arriba indicados.
INFORMACIÓN ADICIONAL: Puede acceder a información adicional requerida por la normativa aplicable, y en especial, a información sobre el tratamiento de los datos, y los destinatarios de los datos a través de la política de privacidad de nuestra página web.
TUTELA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS: En caso de entender que no hemos resuelto correctamente su solicitud, puede dirigirse a solicitar la tutela de la Agencia Española de Protección de Datos, cuyos datos puede consultar en www.aepd.es.