En las últimas semanas se ha disparado una cierta alarma social por los robos en las cuentas bancarias de particulares perpetrados a partir del phishing. Esta modalidad de ciberdelincuencia consiste en captar los datos de acceso de un usuario de banca electrónica mediante un engaño, normalmente vía mensaje SMS, para poder vaciarle fácilmente su cuenta corriente. Varios medios de comunicación han explicado la proliferación de casos de esta amenaza, que no es nueva, pero que realmente está acelerándose de una manera muy preocupante. Una tendencia que ha provocado que las entidades bancarias hayan reforzado la pedagogía a sus clientes para intentar frenar la ola delictiva.
Pero más allá de que, como en tantas cosas de la vida, aquí también más vale prevenir que curar, hay una cuestión que está pasando demasiado desapercibida: la responsabilidad de los bancos en estos robos. Obviamente, la víctima del robo, en primera instancia, tiene que denunciar los hechos para iniciar el procedimiento para localizar a sus autores ya hacerlos rendir cuentas de su delito (una vía particularmente compleja cuando hablamos de ciberdelincuencia). Pero los derechos de la víctima no terminan aquí. Porque las entidades bancarias que prestan servicios de pago por vía electrónica tienen una responsabilidad casi objetiva. Hay una normativa europea (la 2015/2366 de servicios de pago) y una estatal (el Real-Decreto Ley 19/2018, de 23 de noviembre, de servicios de pago) que establecen esta responsabilidad que podemos exigir a las entidades bancarias en los casos de phising. La base de esta responsabilidad deriva del hecho que las entidades bancarias, como depositarias y custodias de nuestro dinero, tienen que velar para que las transferencias se hagan correctamente y por las personas debidamente autorizadas (igual que hay una responsabilidad también de las entidades bancarias en los casos de pago de cheques falsificados).
Cuando una entidad bancaria presta un servicio de banca online tiene la obligación de dotarse de las medidas suficientes que garanticen al usuario la seguridad de las operaciones. Entonces, si hay una omisión, insuficiencia o funcionamiento defectuoso de estas medidas, tienen que ser las propias entidades bancarias las que tienen que asumir las consecuencias derivadas del fallo del sistema de seguridad. Precisamente, como el phishing es una modalidad específica de fraude informático que se basa en el análisis y la localización de las brechas del sistema informático de las entidades bancarias, el usuario-víctima no tiene que ser quien tiene que sufrir las consecuencias. En otras palabras, los sistemas de verificación de autenticidad de las operaciones los diseñan y establecen las entidades bancarias y si un banco no ha sido capaz de limitar el acceso de los delincuentes informáticos a su sistema no puede pretender trasladar la responsabilidad a la propia víctima.
Este último comentario deriva del hecho que la respuesta, con frecuencia, por parte del banco, cuando el usuario denuncia que ha sido víctima del phishing, consiste en imputar negligencia a la propia víctima, por haberse dejado engañar y haber facilitado a los hackers los códigos de seguridad que han permitido las transferencias no consentidas. A mi parecer, esto es una estrategia para disuadir a las víctimas de exigir la responsabilidad de la entidad bancaria y hacerles creer que el único camino que tienen para recuperar el dinero es la incierta vía de un proceso penal, a fin de que los delincuentes devuelvan el dinero. No es así. Es posible por la vía civil reclamar el importe de las cantidades sustraídas por el sistema del phishing a las entidades bancarias. Esta responsabilidad tiene una base legal como acabamos de exponer y así se está recogiendo en las Sentencias que se dictan sobre la materia. Tenemos que pensar que la banca electrónica es una actividad de riesgo para la entidad bancaria, porque la obliga a implementar las medidas de seguridad de las transferencias dinerarias. Por tanto, si un banco cumple una orden de transferencia falsa (ordenada por un delincuente informático) tiene que reintegrar el importe de esta transferencia al cliente-víctima.
La excepción la encontraríamos en esos supuestos de negligencia real del usuario. Pero esta hipotética negligencia es muy difícil de demostrar por parte del banco, en esos supuestos en los que el cliente-víctima recibe el mensaje fraudulento como si fuera una simulación de comprobación de datos por parte de la propia entidad. ¿Quién ha permitido que los delincuentes tengan acceso a los datos de la víctima (número de teléfono o correo electrónico)? En consecuencia, el hecho que el usuario-víctima haya facilitado datos o códigos de seguridad en la supuesta comprobación instada por la propia entidad bancaria, nunca puede ser considerada una actuación negligente.
Por esta razón, en un procedimiento civil, la carga de la prueba, es decir, quien tiene que demostrar que el cliente no ha sido diligente es el propio banco. Si el banco no es capaz de demostrar esta hipotética falta de responsabilidad del usuario, será condenado a devolver las cantidades estafadas. En resumen, el banco ha creado el riesgo, el banco ha permitido la vulnerabilidad de su sistema de seguridad y el banco tiene que ser quien compense al usuario-víctima del phishing de las cantidades perdidas. Este es el camino a seguir en caso de sufrir esta situación.