Las entidades bancarias responden ante el cliente de los fraudes debidos al pishing bancario, salvo que acrediten la negligencia del usuario y la ausencia de fallos técnicos de seguridad
¿En qué consiste el pishing?
Es la práctica fraudulenta por la que sus autores se hacen pasar por una entidad conocida como podría ser una red social, alguna entidad financiera o algún sitio de ventas en línea, y roban información confidencial como podrían ser credenciales de acceso.
¿Qué clases de pishing existen?
- #1 Phishing tradicional; Este tipo de ataque es el más sencillo a la hora de analizarlo técnicamente; normalmente está vinculado a la copia de un sitio (una url o web) conocido por la víctima, en el cual se cambia la dirección a donde llegan los datos ingresados. De este modo, el ciberdelincuente roba las credenciales ingresadas por la víctima.
A esta modalidad corresponde el clásico supuesto en que la víctima facilita sus claves y contraseñas a una página web clonada que simulaba ser la del banco.
Asimismo, la introducción por los delincuentes de un mensaje fraudulento en la página oficial del banco a través del cual se canalizó la operación.
- #2 Phishing redirector; Si bien son conceptos distintos, todos tienen en común que utilizan una redirección para reflejar un sitio almacenado en determinado servidor desde otro servidor. Este será visible solo bajo un estudio del código fuente. De esta manera, los delincuentes intentan alargar el tiempo que le toma a los equipos de seguridad detectar y eliminar el contenido de los sitios fraudulentos.
- #3 Spear phishing; Esta clase tiene como principal diferencia que está dirigido a personas o grupos reducidos. De esta manera las campañas son mucho más personificadas y con un porcentaje mayor de víctimas. Esto significa que las víctimas podrían recibir correos personificados con nombre y apellido, incluso falsificando direcciones conocidas para generar una mayor empatía y confianza de un navegante incauto.
- #4 Smishing (SMS); Este tipo de phishing está relacionado con el uso de otro canal digital como son los teléfonos celulares. Normalmente los delincuentes se hacen pasar por entidades conocidas y envían un mensaje de texto alertando a la víctima de que ha ganado un premio. Comúnmente las victimas deben responder con algún tipo de código o número especial para validar su falso premio. Los smishers usan la Ingeniería Social para que las víctimas hagan una de tres cosas:
– Hacer clic en un hipervínculo
– Llamar a un número de teléfono
– Responder a un mensaje de texto
- #5 Vishing; existe la instauración de falsos centros de atención telefónica que realizan llamadas con el objetivo de realizar un fraude
¿Cuáles son las obligaciones de las entidades bancarias y de los usuarios de banca electrónica?.
Ley de servicios de Pago (LSP) establece la carta de la prueba de que una operación no ha sido autorizada por el usuario / cliente, a la entidad bancaria o proveedor de los servicios de pago, en su art. 30:
”1. Los Estados miembros exigirán que, cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que esta se ejecutó de manera incorrecta, corresponda a su proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico o cualquier otra deficiencia.
2. Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ejecutada, la utilización del instrumento de pago registrada por el proveedor de servicios de pago no bastará necesariamente para demostrar que la operación de pago fue autorizada por el ordenante, ni que este actuó de manera fraudulenta o incumplió deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 56.“.
Y en el art. 31 se dice que ” en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante le devolverá de inmediato el importe de la operación no autorizada y, en su caso, restablecerá en la cuenta de pago en que se haya adeudado dicho importe el estado que habría existido de no haberse efectuado la operación de pago no autorizada. ”
En conclusión, la responsabilidad del proveedor de los servicios de banca online , es de riesgo y consecuentemente, es por ley que a la entidad corresponde acreditar que la operación ordenada sí fue auténtica y que no estuvo afectada por un fallo técnico o por otra deficiencia como, por ejemplo, por un ataque informático de naturaleza fraudulenta al sistema bancario que hubiera permitido el acceso a las cuentas de sus clientes y disponer ilícitamente, de las mismas ordenando operaciones en detrimento de aquellos.
Los sistemas de autenticación se establecen por los proveedores de servicios de pago y si un banco no ha sido capaz de limitar el acceso al canal de banca electrónica no puede pretender que el presunto ordenante, víctima de esta práctica fraudulenta, sea el único responsable, pues es el banco quien tiene responsabilidad respecto del buen funcionamiento y la seguridad del mismo.
Dispone a tal efecto el art. 25,1º LSP que ” Las operaciones de pago se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución. A falta de tal consentimiento la operación de pago se considerará no autorizada”.
Por tanto, en el caso de órdenes de pago y transferencias fraudulentas esta disposición supone que, si la orden de pago o transferencia emitida por el cliente contiene una manifestación voluntad que actúa como causa del pago al tercero o la remisión de fondos al beneficiario, a “sensu contrario” puede afirmarse que sin dicha declaración de voluntad la operación de pago o transferencia de fondos se considerará no autorizada.
Por su parte los clientes tienen un deber de custodia respecto de sus claves de acceso a la banca electrónica similares al que tienen los titulares de tarjetas de crédito respecto de su correspondiente número secreto.
En consecuencia, hay responsabilidad bancaria por los defectos de seguridad del sistema que determina la ejecución de órdenes de pago no autorizadas por su cliente, con la única excepción de que el banco acredite la culpa o negligencia de la víctima.
Dice al respecto el art. 32.2 LSP que ” El ordenante soportará el total de las pérdidas que afronte como consecuencia de operaciones de pago no autorizadas que sean fruto de su actuación fraudulenta o del incumplimiento, deliberado o por negligencia grave, de una o varias de sus obligaciones con arreglo al artículo 27. ”
Estas obligaciones a cargo del usuario respecto a las entidades de crédito se concretan – art 27 LSP – en tomar las medidas razonables a fin de proteger los elementos de seguridad personalizados y en caso de extravío, sustracción o utilización no autorizada del instrumento de pago, notificarlo sin demoras indebidas al proveedor de servicios de pago o a la entidad que este designe en cuanto tenga conocimiento de ello.
Constituye, por tanto, obligación esencial de las entidades prestadoras del servicio de banca online el dotarse de medidas suficientes que garanticen al usuario la seguridad de las operaciones por lo que, en el supuesto de insuficiencia o mal funcionamiento de las adoptadas, deben ser las entidades bancarias las que asuman las consecuencias derivadas de los fallos de seguridad del sistema.
Se entiende que media un incumplimiento contractual del banco al ejecutar una orden de pago sin comprobar su legitimidad, es decir, que provenía efectivamente del titular (o autorizado) de la cuenta, al no disponer de un sistema adecuado de seguridad que previniera tal tipo de órdenes fraudulentas ni adoptar medidas concretas y específicas en el caso cuando toma conocimiento de una situación operativa anormal que debió, cuando menos de forma puntual y excepcional, a verificar cualquiera orden que se diera en relación a las cuentas de la ordenante.
Resulta una doctrina consolidada en diversas sentencias recaídas ya que, salvo actuación fraudulenta o negligencia grave del titular de la cuenta (por ejemplo, una tardanza injustificada del usuario del servicio de banca electrónica en comunicar la irregularidad de las operaciones), será el banco quien deberá devolverle de inmediato el importe de la operación no autorizada y, en su caso, restablecerá la cuenta de pago en que haya adeudado dicho importe al estado que habría existido de no haberse efectuado la operación de pago no autorizada.
Asimismo, está plasmado en las sentencias el sistema de responsabilidad cuasi objetiva de la entidad proveedora del servicio de pago con inversión de la carga probatoria, de modo que debe presumirse la falta de autorización de la orden de pago o transferencia si el cliente lo niega, salvo que la entidad acredite lo contrario.
Asimismo, al banco corresponde probar el correcto funcionamiento del sistema informático.
Vicent Bellido. Abogado. Hispajuris