Si te han mandado un enlace engañoso haciéndose pasar por tu banco y has picado, debes saber que puedes reclamar: a veces los bancos tienen responsabilidad ante los casos de phishing bancario, como han establecido varias sentencias.
La última es la del juzgado de primera instancia de Oviedo [PDF] que ha obligado al Banco Santander a restituir a un cliente 18.500 euros que le habían sido birlados por medio de phishing. Alguien desde Lituania se ha quedado con ese dinero, pero es el banco quien tendrá que reintegrarlos a su cliente.
SMS más phishing igual smishing
Los confinamientos de la pandemia, que trajeron un traslado de las actividades al espacio online; y el cierre de oficinas bancarias, que ha complicado la gestiones cotidianas de una parte de la población, suman a favor de la multiplicación de los delitos online.
Uno de los más comunes es la estafa, y aquí se incluye el phishing, una práctica maliciosa que consiste en hacerse pasar por otra persona o entidad -como Hacienda, el banco, la Seguridad Social…- y conseguir así contraseñas, datos personales o acceso a cuentas bancarias. En España, los fraudes online son el 88% de los ciberdelitos denunciados en 2019, según informes del Sistema Estadístico de Criminalidad, gestionado desde el Ministerio del Interior.
En este caso, el cliente del banco Santander recibía ocasionalmente SMSs de su banco. En esa línea de mensajes apareció uno en octubre de 2020 que decía que su cuenta había sido bloqueada, y le derivaba a una dirección de internet que se correspondía con una página de características muy similares a las del banco.
Allí el cliente entró poniendo sus claves y comprobó que todo estaba en orden. Al día siguiente aparecieron en su cuenta dos cargos que él no había hecho, uno por 6.000 y otro por 12.500 euros, como explica la sentencia, a la que Newtral ha tenido acceso.
Es posible que ese mensaje fuera similar al que alguien nos envió al servicio de verificación de WhatsApp y pudimos desmontar:
El mensaje malicioso también se había difundido vía email, y advertía lo siguiente: “Lamentamos informarle que su cuenta ha sido desactivada. Por seguridad, le rogamos que complete la siguiente verificación”. La oleada de phishing se repitió unos meses después, afectando también a otros bancos, como Sabadell, Bankinter o Caixabank.
Tanto el Instituto Nacional de Ciberseguridad como el banco emitieron avisos para alertar de este timo, que se ha repetido con otras entidades bancarias, empresas de mensajería, Correos y la Agencia Tributaria.
Cómo saber si puedes reclamar ante el banco por un caso de phishing
En estos casos aplica la Ley de Servicios de Pago que establece que las entidades bancarias tienen obligación de devolución inmediata de aquellas operaciones que no han sido autorizadas.
“(…) en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine (…)”.
Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera
La responsabilidad de la banca online es cuasi-objetiva, ya que está obligada a adoptar medidas de seguridad para evitar fraudes informáticos. Únicamente está exenta de responsabilidad si acredita que el usuario incurrió en “negligencia grave”.
Íñigo Serrano, socio de Sello Legal, la firma que ha presentado la demanda al banco Santander, explica que la responsabilidad de la entidad financiera, como custodiante de los fondos y depositaria, es establecer mecanismos de seguridad elevados para que no sucedan estas estafas. “Máxime cuando observamos que, cada día, nos empujan más a operar online en detrimento de la operativa tradicional en ventanilla”, añade.
La ley establece también obligaciones para el usuario de servicios de pago, y es necesario tener claro que las hemos cumplido antes de demandar al banco. El artículo 41 las define y dice que el usuario “utilizará el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago que deberán ser objetivas, no discriminatorias y proporcionadas y, en particular, en cuanto reciba un instrumento de pago, tomará todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas”.
También añade que “en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, lo notificará al proveedor de servicios de pago o a la entidad que este designe, sin demora indebida en cuanto tenga conocimiento de ello”.
La negligencia grave en el phishing
El phishing, cuyo nombre viene de fishing, pescar, en inglés, era bastante fácil de detectar hace unos años, porque eran mensajes que solían tener una dudosa redacción y faltas de ortografía. Pero estas técnicas se han sofisticado.
El spearphishing es un tipo de phishing que incluye una personalización casi artesanal para engañar a la víctima. Con nuevas modalidades aparecen otros nombres para describir el tipo de fraude: vishing (voice + phishing), cuando es una llamada telefónica la que pretende engañar al usuario; o de smishing, cuando como en el caso del cliente del Santander, el canal utilizado es un mensaje de SMS. También existe phishing a través de códigos QR.
Rubén Sánchez, secretario general de FACUA, dice que últimamente ven más casos de smishing, pero el argumentario legal es igual que al del resto de estafas de phishing.
Con estafas de apariencia cada vez más veraz, ¿a qué se le llama negligencia grave? Serrano explica que como no hay una definición clara, los perfiles se van construyendo jurisprudencialmente. En España no es la primera vez que se tiene en cuenta la responsabilidad bancaria, condenando al banco.
Varias audiencias provinciales han dictado ya sentencias sobre esta materia, como le consta a ADICAE. Desde la asociación de usuarios de bancos, cajas y seguros mencionan las de las Audiencias Provinciales de Pontevedra (2021), Ourense (2021), Toledo (2020), Alicante (2018) o Madrid (2018). Asesority, un plataforma de abogados, agrega a esta lista otras anteriores, como las de Vizcaya (2016), Barcelona (2015), Madrid (2015), Badajoz (2013), Zaragoza (2013), Valencia (2013), y Barcelona (2013).
Lo primero: avisar del phishing al banco
El SMS fraudulento suele entrar dentro del mismo hilo de SMS que envía el banco legítimamente, por lo que el usuario cree que proviene de la entidad bancaria. El consejo de no abrir enlaces o descargar archivos de remitentes desconocidos no nos sirve de mucho en este caso. Pero si ya te ha tocado esta mala experiencia, tienes que tener en cuenta algunas cosas.
- Lo fundamental: actuar rápidamente y llamar al banco inmediatamente para ponerles en conocimiento del phishing. La rapidez es fundamental y puede hacer que se eviten las transferencias al delincuente.
- Incluso antes de haber picado, si te llega un mensaje de tu banco pidiéndote que hagas algo, llámales y asegúrate. Los bancos nunca piden que envíes datos personales por teléfono o email.
- Desde FACUA recomiendan acudir a la Policía o a la Guardia Civil como primer paso y aportar esa denuncia luego al banco, lo que sirve para reclamar. Si alguien está estafando vía SMS es importante ponerlo en conocimiento de las autoridades policiales para que puedan investigar y prevenir más casos. Este es el protocolo que los propios bancos plantean, aunque luego pese a tener denuncia nieguen al usuario el derecho a recuperar el dinero.
- Si éste es el caso, posteriormente se puede acudir a alguna asociación de usuarios o denunciar ante la Justicia
Otras recomendaciones clave cuando ya ha sucedido el phishing incluyen cambiar contraseñas, bloquear la tarjeta bancaria y tratar de identificar qué tipo de información sensible se ha puesto en peligro.
- Rubén Sánchez, secretario general de FACUA
- Íñigo Serrano, abogado y socio de Sello Legal
- ADICAE Asociación de usuarios de bancos, cajas y seguros
- Ley de Servicios de Pago, Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera
- Sentencia del Juzgado de Primera Instancia de Oviedo contra el Banco Santander [PDF]
