Una de las manifestaciones más notorias de la delincuencia cibernética o tecnológica es el denominado phishing, que consiste en la obtención de manera engañosa y fraudulenta de los códigos de usuarios y contraseñas de los clientes de banca electrónica, con la finalidad de realizar transferencias no autorizadas. De esta manera, el usuario de servicios de banca electrónica es engañado e inducido, a través de una simulación de comunicación de su propia entidad, a realizar actos que revelan a los delincuentes cibernéticos datos suficientes para realizar esas transferencias no autorizadas.
¿En qué situación queda entonces el usuario defraudado? Una vez descubierto el perjuicio, es decir, el vaciado total o parcial de la cuenta bancaria mediante transferencias no autorizadas por el titular, la víctima se encuentra ante una denuncia y un procedimiento penal con unos resultados inciertos por lo que respecta a la recuperación del dinero que le han estafado.
Tanto la normativa europea como la estatal hacen responsables a los bancos de las estafas
vinculadas a la obtención de los datos de acceso a la cuenta bancaria
¿Es esta la única vía? NO. Las entidades bancarias que prestan servicios de pago por vía electrónica tienen una responsabilidad casi objetiva. Hay una normativa europea (la 2015/2366 de servicios de pago) y una estatal (el Real-Decreto Ley 19/2018, de 23 de noviembre, de servicios de pago) que establecen esta responsabilidad que podemos exigir a las entidades bancarias en los casos de phishing. La base de esta responsabilidad deriva del hecho que las entidades bancarias, como depositarias y custodias de nuestro dinero, tienen que velar porque las transferencias se hagan correctamente y siempre autorizadas por los titulares (del mismo modo que hay una responsabilidad también de las entidades bancarias en los casos de pago de cheques falsos).
Una entidad que presta un servicio de banca online tiene la obligación de dotarse de las medidas suficientes que garanticen al usuario la seguridad de las operaciones
Cuando una entidad bancaria presta un servicio de banca online tiene la obligación de dotarse de las medidas suficientes que garantizan al usuario la seguridad de las operaciones. Por este motivo, si hay una omisión, insuficiencia o funcionamiento defectuoso de estas medidas, tienen que ser las propias entidades bancarias las que tienen que asumir las consecuencias derivadas del fallo del sistema de seguridad. Precisamente, como el phishing es una modalidad específica de fraude informático que se basa en el análisis y el descubrimiento de brechas en el sistema informático de las entidades bancarias, el usuario-víctima no tiene que ser quien sufra las consecuencias. En otras palabras, los sistemas de verificación de autenticidad de las operaciones se diseñan y se establecen por parte de las entidades bancarias y, por este motivo, si un banco no ha sido capaz de limitar el acceso de los delincuentes a su sistema no puede pretender trasladar la responsabilidad a la propia víctima.
Este último comentario deriva del hecho que la respuesta, con frecuencia, por parte del banco, cuando el usuario denuncia que ha sido víctima del phising, consiste en imputar negligencia a la propia víctima, por haberse dejado engañar y haber facilitado a los hackers los códigos de seguridad que han permitido las transferencias no consentidas. A mi parecer, esto es una estrategia para disuadir a las víctimas de exigir la responsabilidad de la entidad bancaria y hacerlos creer que el único camino que tienen para recuperar su dinero es la incierta vía de un proceso penal, con el fin que los delincuentes devuelvan el dinero.
No es así. Es posible por la vía civil reclamar el importe de las cantidades sustraídas por el sistema del phishing a las entidades bancarias. Esta responsabilidad tiene una base legal, como acabamos de exponer, y así está recogido en las Sentencias que se dictan sobre la materia. Tenemos que pensar que la banca electrónica es una actividad de riesgo para la entidad bancaria, porque la obliga a implementar las medidas de seguridad de las transferencias dinerarias. Por tanto, si un banco cumple una orden de transferencia falsa (ordenada por el delincuente informático), tiene que reintegrar el importe de esta transferencia al cliente-víctima.
Las entidades imputan a la negligencia de las víctimas estos fraudes informáticos, pero es una estrategia para disuadirles de reclamar la responsabilidad que tienen los bancos
La excepción la encontraríamos en aquellos supuestos de negligencia real del usuario. Pero esta hipotética negligencia es muy difícil de demostrar por parte del banco en los supuestos en los que el cliente-víctima recibe el mensaje fraudulento como si fuera una simulación de comprobación de datos de la propia entidad. ¿Quién ha permitido que los delincuentes tengan acceso a los datos de la víctima como el número de teléfono o el correo electrónico? La respuesta es un fallo del sistema de seguridad del banco. En consecuencia, el hecho que el usuario-víctima haya facilitado datos o códigos de seguridad en la supuesta comprobación instada por la propia entidad bancaria nunca puede ser considerada como una actuación negligente.
Por esta razón, en un procedimiento civil, la carga de la prueba, es decir, quien tiene que demostrar que el cliente no ha sido diligente es el propio banco. Si el banco no es capaz de demostrar esta hipotética falta de responsabilidad del usuario será condenado a devolver las cantidades estafadas. En resumen, el banco ha creado el riesgo, el banco ha permitido la vulnerabilidad de su sistema de seguridad y el banco tiene que ser quien repare las cantidades pérdidas del cliente-víctima. Este es el camino a seguir en caso de sufrir esta situación.