RESPONSABILIDAD DE LAS ENTIDADES FINANCIERAS FRENTE A LAS ESTAFAS BANCARIAS DIGITALES

El actual cambio de paradigma que se está produciendo con la revolución tecnológica de nuestros días y que en el ámbito bancario se manifiesta con la digitalización de sus servicios a sus clientes, también trae consigo un aumento de los delitos de estafa bancaria, también conocido como phishing.

Lo que hasta no hace mucho tiempo se producía de forma presencial y violenta, mediante atracos y asaltos en la que los delincuentes irrumpían encapuchados y a mano armada aterrorizando a clientes y empleados (con algunas víctimas mortales) con el objetivo de llevarse el contenido de la caja, hoy en día se lleva a cabo de una forma más sofisticada, no tan violenta, detrás de un equipo informático y utilizando tecnología de inteligencia artificial alojada en territorios a miles de kilómetros de donde se produce el delito, lo que hace prácticamente imposible su persecución.

COMO SE PRODUCE EL PHISHING.

La técnica de engaño que utilizan estos ciberdelincuentes para robar los datos personales y bancarios de los clientes se produce en su mayoría a través de una página web falsa del propio banco o de alguna institución oficial (AEAT, TGSS, etc), o de cualquier empresa o tienda que se consideraría  de total confianza. En primer lugar, llega un mail, SMS, whatsapp o similar con una excusa como confirmar la cuenta bancaria porque ha habido problemas con una transferencia o pago, desbloqueo de tarjeta de crédito o débito, etc…y que contiene un enlace que redirige a una página web falsa que simula ser la oficial del banco o institución.

Una vez allí,  piden al usuario que introduzca sus datos de acceso (usuario y contraseña) y es entonces cuando se produce la sustracción porque han conseguido la información que necesitan para cometer el delito.

RESPONSABILIDAD DE LAS ENTIDADES FINANCIERAS Y BANCARIAS FRENTE AL PHISING.

No obstante, el Reglamento Delegado de la Unión Europea 2018/389 establece que los bancos, que son los proveedores de los servicios/medios de pago, deben disponer de mecanismos de supervisión de las operaciones que les permitan identificar las operaciones de pago no autorizadas o fraudulentas y detectar que los elementos de autenticación han sido comprometidos o sustraídos

En nuestra legislación la Ley de Servicios de Pago (Real Decreto-Ley 19/2018), establece que cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada, el banco debe demostrar que la operación fue autenticada, registrada y contabilizada con exactitud, y concretamente su artículo 45 señala que el banco tiene la obligación de devolver las cantidades sustraídas por operaciones no autorizadas por el cliente bancario.

De modo que la entidad emisora incurre en responsabilidad por la ejecución defectuosa de la obligación de atender sólo los pagos procedentes del legítimo titular de la tarjeta. En este sentido, la Recomendación 88/590/CEE establece, en su norma 7.1, que el emisor responderá frente al titular de las operaciones no autorizadas por el titular.

POSTURA DE LOS JUZGADOS Y TRIBUNALES.

La mayoría de los Juzgados y Tribunales en España coinciden en sus resoluciones en que es la entidad financiera quien tiene la obligación de reintegrar las cantidades estafadas por “phising”, como depositarias y custodios de los fondos de sus clientes.

No obstante, no tendrán tal obligación de restitución, si el banco puede demostrar que el cliente bancario actuó con negligencia grave en la protección de sus datos personales y bancarios, sin embargo no se considera negligencia el aportar dichos datos como consecuencia de entrar en un correo o página web pirateada con apariencia de autenticidad.

COMO RECLAMAR AL BANCO POR PHISHING.

En primer lugar, la víctima de phishing deberá informar (por escrito) a su banco que ha realizado una operación fraudulenta y no autorizada solicitando el bloqueo de la tarjeta y de la cuenta corriente con el objetivo de evitar nuevas estafas, seguidamente deberá acudir a la comisaría de policía más cercana para interponer la preceptiva denuncia adjuntando el justificante donde acredite la sustracción de las cantidades (extracto o movimientos) y una vez con la copia de la denuncia solicitar formalmente por escrito ante el Servicio de Atención al Cliente del banco la restitución de las cantidades estafadas por phishing.

Una vez solicitado dicho reintegro al banco, es muy probable que este conteste de forma negativa alegando motivos peregrinos como que el cliente aporto negligentemente sus datos, claves, etc, y ello con el objetivo de no reintegrar el dinero y lograr que la víctima se canse y desista de su legítimo derecho a la restitución, por ello una vez recibida la negativa al reintegro de la entidad financiera hay que interponer la correspondiente reclamación previa por escrito ante el SAC del banco.

Documentación necesaria para la reclamación.

  • Listado de movimientos y extracto bancario correspondientes a las cantidades sustraidas.
  • Denuncia policial con la fecha del delito, cantidades y entidad emisora de la tarjeta o CC junto con copia de los movimientos y extracto del los importes sustraidos.
  • Solicitud / reclamación del reintegro de las cantidades a la entidad financiera.
  • Respuesta negativa a la solicitud del reintegro por parte de la entidad bancaria.

Lois García Cacheiro

Abogado de DEFENSA & JURIDICA LEGALSHA S. L.

Política de privacidad y cookies
Privacy & Cookies policy
Cookie name Active
eu_cookies_bar
eu_cookies_bar_block

Who we are

Suggested text: Our website address is: https://www.abogadoslegalsha.es/wp-admin

Comments

Suggested text: When visitors leave comments on the site we collect the data shown in the comments form, and also the visitor’s IP address and browser user agent string to help spam detection. An anonymized string created from your email address (also called a hash) may be provided to the Gravatar service to see if you are using it. The Gravatar service privacy policy is available here: https://automattic.com/privacy/. After approval of your comment, your profile picture is visible to the public in the context of your comment.

Media

Suggested text: If you upload images to the website, you should avoid uploading images with embedded location data (EXIF GPS) included. Visitors to the website can download and extract any location data from images on the website.

Cookies

Suggested text: If you leave a comment on our site you may opt-in to saving your name, email address and website in cookies. These are for your convenience so that you do not have to fill in your details again when you leave another comment. These cookies will last for one year. If you visit our login page, we will set a temporary cookie to determine if your browser accepts cookies. This cookie contains no personal data and is discarded when you close your browser. When you log in, we will also set up several cookies to save your login information and your screen display choices. Login cookies last for two days, and screen options cookies last for a year. If you select "Remember Me", your login will persist for two weeks. If you log out of your account, the login cookies will be removed. If you edit or publish an article, an additional cookie will be saved in your browser. This cookie includes no personal data and simply indicates the post ID of the article you just edited. It expires after 1 day.

Embedded content from other websites

Suggested text: Articles on this site may include embedded content (e.g. videos, images, articles, etc.). Embedded content from other websites behaves in the exact same way as if the visitor has visited the other website. These websites may collect data about you, use cookies, embed additional third-party tracking, and monitor your interaction with that embedded content, including tracking your interaction with the embedded content if you have an account and are logged in to that website.

Who we share your data with

Suggested text: If you request a password reset, your IP address will be included in the reset email.

How long we retain your data

Suggested text: If you leave a comment, the comment and its metadata are retained indefinitely. This is so we can recognize and approve any follow-up comments automatically instead of holding them in a moderation queue. For users that register on our website (if any), we also store the personal information they provide in their user profile. All users can see, edit, or delete their personal information at any time (except they cannot change their username). Website administrators can also see and edit that information.

What rights you have over your data

Suggested text: If you have an account on this site, or have left comments, you can request to receive an exported file of the personal data we hold about you, including any data you have provided to us. You can also request that we erase any personal data we hold about you. This does not include any data we are obliged to keep for administrative, legal, or security purposes.

Where we send your data

Suggested text: Visitor comments may be checked through an automated spam detection service.
Save settings
Cookies settings