También las entidades bancarias, como damnificadas, han reforzado su seguridad informática y, por otro lado, la pedagogía a sus clientes para intentar frenar esta ola delictiva. Pero a menudo se olvida su responsabilidad ante un robo digital. Incluso en los casos de sustracción de fondos en las cuentas corrientes, con el argumento que ha sido el titular quien ha facilitado sus datos o claves de acceso a alguien que se hacia pasar por el banco. Es obvio que el ladrón es un tercero al que será difícil perseguir policialmente, pero también que la entidad ha fallado.

Así lo dicen tanto la normativa europea (la 2015/2366 de servicios de pago) como la estatal (el Real-Decreto Ley 19/2018, de 23 de noviembre, de servicios de pago) que establecen esta responsabilidad que podemos exigir a las entidades bancarias. Como depositarias y custodias de nuestro dinero, los bancos tienen que velar para que las transferencias digitales se hagan en un entorno de seguridad, de la misma manera que tienen una responsabilidad en los casos de cheques falsos.

Esto implica la obligación de dotarse de las medidas tecnológicas suficientes que garanticen al usuario la seguridad de las operaciones. Si hay una omisión, insuficiencia o defectuoso funcionamiento de estas medidas, tienen que ser las propias entidades bancarias las que tienen que asumir las consecuencias derivadas del fallo del sistema de seguridad. La jurisprudencia cada vez va más en esta línea, a pesar que la primera respuesta que dan algunos bancos es la de lavarse las manos e imputar la responsabilidades -y las cuantías- a los clientes.

Suplantación

Pero hay otro ámbito en el que los bancos tienen también responsabilidad, en este caso de una manera más indirecta, pero igualmente reclamable. Lo expongo a partir de un caso real, que recientemente ha terminado bien para la víctima después de no pocos esfuerzos y argumentos legales de nuestro despacho para defender sus derechos. Se trata de un empresario que tenía que pagar un servicio y que lo hizo a un número de cuenta nuevo que el proveedor le facilitó por e-mail.

Como probablemente habrán adivinado, el correo electrónico que recibió era falso, y el remitente suplantaba a quien tenía que cobrar la factura. El importe se ingresó en una cuenta de un importante banco español y, al día siguiente, ya había sido redirigido a otra cuenta registrada en otro país, en este caso en el Este de Europa. Imposible recuperar el dinero.

Después de la preceptiva investigación descubrimos que el titular de la cuenta de esta entidad era una persona extranjera, con nacionalidad de las Islas Seychelles, que no acreditó NIE, simplemente se identificó con un pasaporte. Eso sí, compró un seguro de vida a la entidad financiera y respondió a ciertas preguntas sobre su salud y su estilo de vida, que parece que es más importante para que un banco te acepte que si tu perfil presenta determinadas dudas sobre tu identidad, tus actividades y los riesgos financieros que se derivan de todo ello.

Qué dice la ley

El Código Civil español, en su artículo 1902, establece que quien causa un daño, ya sea por acción o por omisión, por culpa o negligencia, está obligado a repararlo. Es evidente que en este caso sin la participación del banco el delito no podría haberse consumado. Un banco tiene que verificar que los datos de alguien que abre una cuenta son reales. Por eso, a pesar de que la estafa no la ha practicado el banco, es responsable de la misma.

No exigir el NIE a un extranjero no es de recibo, y más cuando su nacionalidad es la de un paraíso fiscal. Son, en definitiva, síntomas de priorizar el ánimo de lucro para captar clientes antes que la seguridad del propio banco y de la sociedad en general. En estos casos, los bancos son también responsables de la ciberdelincuencia y, por tanto, es legítimo reclamarla judicialmente.

Tanto en la responsabilidad directa como en la indirecta, hay que estudiar la cadena de hechos que han permitido la comisión del delito para evaluar las diferentes responsabilidades. Y superar la primera respuesta que acostumbran a dar los bancos que, como hemos dicho, pondrá el foco en la negligencia de la víctima. Afortunadamente, cada vez más jueces no lo ven así.

En este artículo mencionaremos algunas de las que, lamentablemente, están de moda, y que van mucho más allá del ya bastante conocido phishing, que consiste en un mensaje a nuestro teléfono en el que los ladrones se hacen pasar por nuestra entidad bancaria y nos piden nuestras claves de acceso que, una vez obtenidas, les permiten robarnos el dinero. Una práctica que en los últimos meses ha generado una gran alarma social, por el gran volumen de casos detectados.

La primera tendencia de la que quiero alertar es el denominado SIM phishing, que materializan redes criminales que tiene contacto con un trabajador de una compañía telefónica. Estas bandas operan en los
cajeros automáticos para robar datos de nuestro teléfono móvil, Así saben que tenemos dinero en esa entidad. Después, y gracias al colaborador necesario que trabaja en la compañía telefónica, hacen un
duplicado de la tarjeta SIM y esto les permite hacer todo tipo de transferencias, por ejemplo, con el sistema Bizum que tanto utilizamos. Esto permite esquivar los mecanismos de seguridad del banco.

Otra modalidad es el spear phishing. Consiste en hackear los ordenadores de una empresa, hacerse pasar por un proveedor suyo y reclamarle el pago de una factura, simulando un cambio de cuenta.
Incluso estimulando el pago con una quita argumentada por dificultades de tesorería. En este caso, es muy difícil reclamar la responsabilidad de la entidad financiera, porque lo que falla es el sistema de
seguridad de la empresa, y no del banco.

Tenemos también el whaling. En este caso los delincuentes actúan sobre el administrador de una empresa que termina haciendo operaciones fraudulentas de gran envergadura. Se trata de una modalidad no tan usual como las otras, pero mediante la cual se consiguen cuantías muy importantes.

Atentos también al vishing, que consiste en mensajes de voz falsificados que aseguran hablar en nombre de una administración pidiendo nuestras claves. Tenemos que estar alerta porque son mensajes
muy bien hechos, pero si tenemos en cuenta que las administraciones normalmente no se comunican por esta vía no caeremos en la trampa.

Siguiendo con este catálogo de prácticas delictivas, nos encontramos con el pharming, que se basa en la creación de páginas web falsas, muy bien construidas, que simulan las de una entidad bancaria o las de una empresa de comercio electrónico. Es una modalidad muy peligrosa, porque mientras pensamos que estamos haciendo una operación en realidad estamos facilitando nuestros datos a unos delincuentes.

Son solo algunos ejemplos, lamentablemente hay más y tenemos que suponer que irán saliendo otros nuevos, porque ya sabemos que el ingenio criminal no tiene límites. En todos ellos concurre la figura de
la mula, que es un colaborador necesario porque tiene un nombre y un número de cuenta que no son sospechosos. Y que actúa como a intermediario de una organización criminal, normalmente extranjera,
que tiene las cuentas donde acabará nuestro dinero en paraísos fiscales. Estaría bien que las entidades financieras, que también tienen mucho que perder con estos fenómenos, fuesen más rigurosas a la hora
de abrir cuentas a personas con domicilios poco claros.

¿Qué podemos hacer ante estas preocupantes? Primero, porque más vale prevenir que curar, se extremadamente prudente y desconfiado en las operaciones electrónicas. Y no es suficiente desconfiar de mensajes con faltas de ortografía o links que son claramente falsos, porque los ciberdelincuentes se van perfeccionando y sus acciones son cada vez más engañosas. Pero si, a pesar de todo, acabamos
siendo víctimas de una estafa digital, hay que poner la correspondiente denuncia ante los cuerpos policiales. Esto activará una investigación que puede identificar patrones y localizar a los delincuentes.
También tenemos que reclamar a la entidad bancaria, que si identifica su responsabilidad puede devolvernos el dinero. Y cuando todo esto no pasa, tenemos la vía de la reclamación judicial, que tendrá
más posibilidades de llegar a buen puerto si se han formalizado la denuncia policial y la reclamación a la entidad.

Si has sido víctima de alguna de estas prácticas de estafa digital, en Reverter Advocats te podemos ayudar.