El desarrollo de los sistemas informáticos supone un gran avance en la operativa de los bancos y otras entidades de crédito, al permitir a los clientes operar de forma telemática. Sin embargo, los trámites online abren la puerta a múltiples riesgos, desarrollando nuevas formas de delincuencia, que se conocen como ciberdelitos o delitos informáticos.
¿Qué es phishing?
Entre las técnicas más utilizadas destaca el “phishing”, a través del cual los ciberdelincuentes consiguen obtener las contraseñas o los datos bancarios de numerosos usuarios. Este método consiste en suplantar a empresas u otras instituciones de confianza para el usuario, mediante el envío de correos electrónicos, SMS y otras comunicaciones en las que el delincuente se hace pasar por la cuenta oficial de la entidad suplantada.
El usuario, creyendo que se trata de una comunicación realizada por una entidad de confianza, accede a una página web ficticia que pretende imitar a la de la entidad suplantada. Cuando el cliente ingresa sus credenciales o datos bancarios (cuenta corriente, tarjeta de crédito, etc.), el ciberdelincuente se hace con ellos.
¿Quién es el responsable?
En estos casos, podrían existir dudas sobre si los bancos debían hacerse responsables del dinero que sustraían a sus clientes por medio de estos ciberataques, o si, de lo contrario, nos encontramos ante una negligencia del propio usuario y, por tanto, la entidad de crédito no puede ostentar responsabilidad alguna. Pues bien, la jurisprudencia viene reconociendo a los bancos cierto grado de responsabilidad.
Y así, la Audiencia Provincial de Pontevedra ha condenado recientemente a un banco a abonar los 4.000 euros que le habían sido sustraídos a un cliente a través de un phishing, al haber obtenido los datos de la tarjeta de débito de dicho cliente. Los magistrados consideran responsable al Banco por no ser diligente en el control de este tipo de operaciones bancarias.
La demanda fue desestimada en primera instancia por considerar que se trataba de una actuación negligente, imputable al usuario demandante. No obstante, la Audiencia Provincial de Pontevedra revoca la sentencia del Juzgado y declara la responsabilidad de la entidad bancaria condenándola a reintegrar la cantidad. Según el fallo, las cantidades sustraídas de su cuenta bancaria respondieron a órdenes de pago realizadas por un tercero que usó de manera fraudulenta los datos de su tarjeta de débito.
El tribunal considera que se trata de un engaño premeditado
El tribunal considera que debe tenerse en cuenta que existió un engaño premeditado de un tercero para ganarse la confianza del cliente, lo que impide que pueda apreciarse una negligencia grave en su conducta. Según la sentencia, el cliente explicó que estaba esperando un pedido de mascarillas y creyó que a él se refería la entrega del paquete que se le anunciaba en el correo electrónico.
La Audiencia Provincial de Pontevedra considera que existe un incumplimiento de los deberes de diligencia en la prevención del fraude. Los magistrados entienden que la entidad debía conocer que el teléfono desde el que se le había solicitado la activación no se encontraba entre los que había registrado a su nombre el cliente en su ficha de cliente.
Por todo ello, se condena a la entidad de crédito a abonarle las cantidades sustraídas al cliente, al no haber actuado con la diligencia exigible en la autenticación de las operaciones de pago, y al no haber probado tener implementado un mecanismo “antiphising” de protección de los usuarios.