RESPONSABILIDAD DE LAS ENTIDADES FINANCIERAS FRENTE A LAS ESTAFAS BANCARIAS DIGITALES
El actual cambio de paradigma que se está produciendo con la revolución tecnológica de nuestros días y que en el ámbito bancario se manifiesta con la digitalización de sus servicios a sus clientes, también trae consigo un aumento de los delitos de estafa bancaria, también conocido como “phishing”.
Lo que hasta no hace mucho tiempo se producía de forma presencial y violenta, mediante atracos y asaltos en la que los delincuentes irrumpían encapuchados y a mano armada aterrorizando a clientes y empleados (con algunas víctimas mortales) con el objetivo de llevarse el contenido de la caja, hoy en día se lleva a cabo de una forma más sofisticada, no tan violenta, detrás de un equipo informático y utilizando tecnología de inteligencia artificial alojada en territorios a miles de kilómetros de donde se produce el delito, lo que hace prácticamente imposible su persecución.
COMO SE PRODUCE EL PHISHING.
La técnica de engaño que utilizan estos ciberdelincuentes para robar los datos personales y bancarios de los clientes se produce en su mayoría a través de una página web falsa del propio banco o de alguna institución oficial (AEAT, TGSS, etc), o de cualquier empresa o tienda que se consideraría de total confianza. En primer lugar, llega un mail, SMS, whatsapp o similar con una excusa como confirmar la cuenta bancaria porque ha habido problemas con una transferencia o pago, desbloqueo de tarjeta de crédito o débito, etc…y que contiene un enlace que redirige a una página web falsa que simula ser la oficial del banco o institución.
Una vez allí, piden al usuario que introduzca sus datos de acceso (usuario y contraseña) y es entonces cuando se produce la sustracción porque han conseguido la información que necesitan para cometer el delito.
RESPONSABILIDAD DE LAS ENTIDADES FINANCIERAS Y BANCARIAS FRENTE AL PHISING.
No obstante, el Reglamento Delegado de la Unión Europea 2018/389 establece que los bancos, que son los proveedores de los servicios/medios de pago, deben disponer de mecanismos de supervisión de las operaciones que les permitan identificar las operaciones de pago no autorizadas o fraudulentas y detectar que los elementos de autenticación han sido comprometidos o sustraídos
En nuestra legislación la Ley de Servicios de Pago (Real Decreto-Ley 19/2018), establece que cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada, el banco debe demostrar que la operación fue autenticada, registrada y contabilizada con exactitud, y concretamente su artículo 45 señala que el banco tiene la obligación de devolver las cantidades sustraídas por operaciones no autorizadas por el cliente bancario.
De modo que la entidad emisora incurre en responsabilidad por la ejecución defectuosa de la obligación de atender sólo los pagos procedentes del legítimo titular de la tarjeta. En este sentido, la Recomendación 88/590/CEE establece, en su norma 7.1, que el emisor responderá frente al titular de las operaciones no autorizadas por el titular.
POSTURA DE LOS JUZGADOS Y TRIBUNALES.
La mayoría de los Juzgados y Tribunales en España coinciden en sus resoluciones en que es la entidad financiera quien tiene la obligación de reintegrar las cantidades estafadas por “phishing”, como depositarias y custodios de los fondos de sus clientes.
No obstante, no tendrán tal obligación de restitución, si el banco puede demostrar que el cliente bancario actuó con negligencia grave en la protección de sus datos personales y bancarios, sin embargo no se considera negligencia el aportar dichos datos como consecuencia de entrar en un correo o página web pirateada con apariencia de autenticidad.
COMO RECLAMAR AL BANCO POR PHISHING.
En primer lugar, la víctima de phishing deberá informar (por escrito) a su banco que ha realizado una operación fraudulenta y no autorizada solicitando el bloqueo de la tarjeta y de la cuenta corriente con el objetivo de evitar nuevas estafas, seguidamente deberá acudir a la comisaría de policía más cercana para interponer la preceptiva denuncia adjuntando el justificante donde acredite la sustracción de las cantidades (extracto o movimientos) y una vez con la copia de la denuncia solicitar formalmente por escrito ante el Servicio de Atención al Cliente del banco la restitución de las cantidades estafadas por phishing.
Una vez solicitado dicho reintegro al banco, es muy probable que este conteste de forma negativa alegando motivos peregrinos como que el cliente aporto negligentemente sus datos, claves, etc, y ello con el objetivo de no reintegrar el dinero y lograr que la víctima se canse y desista de su legítimo derecho a la restitución, por ello una vez recibida la negativa al reintegro de la entidad financiera hay que interponer la correspondiente reclamación previa por escrito ante el SAC del banco.
Documentación necesaria para la reclamación.
- Listado de movimientos y extracto bancario correspondientes a las cantidades sustraidas.
- Denuncia policial con la fecha del delito, cantidades y entidad emisora de la tarjeta o CC junto con copia de los movimientos y extracto del los importes sustraidos.
- Solicitud / reclamación del reintegro de las cantidades a la entidad financiera.
- Respuesta negativa a la solicitud del reintegro por parte de la entidad bancaria.
Lois García Cacheiro
