Odice Abogados

Phishing: reclamar al banco por estafas digitales

ÓDICE ABOGADOS

¿Qué es el phishing?

El phishing es una de las estafas más conocidas de Internet porque muchas personas lo han sufrido en los últimos años. 

Para explicar de qué se trata haremos referencia a tres factores característicos:

  1. El ataque se realiza mediante comunicaciones electrónicas, como un correo electrónico, un mensaje whatsApp, un SMS, una llamada de teléfono e incluso a través de plataformas como Wallapop o Vinted.
  2. El atacante se hace pasar por una persona u entidad de confianza (suplantación), como tu banco, tu compañía de telefonía o tu aseguradora.
  3. Su objetivo es obtener información personal confidencial para acceder a tu tarjeta de crédito. Por lo general, a través de credenciales de inicio de sesión donde esté vinculada tu tarjeta o directamente, solicitando los números de la misma.

Cuando el atacante consigue estos datos, normalmente hace tres operaciones:

  • Pagos con tu tarjeta.
  • Sacar dinero del cajero.
  • Hacer transferencias a su tarjeta.

En la mayoría de casos, resulta muy difícil conocer la identidad del estafador porque estas acciones no suelen dejar rastro. 

Phishing: marco legal

El Real Decreto-Ley 19/2018, de 23 de noviembre, de Servicios de Pago, traspuso al ordenamiento interno la Directiva (UE) 2015/2366 del Parlamento y del Consejo, de 25 de noviembre, sobre Servicios de Pago en el Mercado Interior.

El objetivo de este Decreto-Ley es generar un entorno más seguro y fiable para los usuarios y establecer un marco de responsabilidad cuasi-objetiva de la Entidad Bancaria.

De esta manera, la Ley de Servicios de Pago impone los siguientes derechos y obligaciones a los usuarios y proveedores de servicios de pago (las Entidades Bancarias).

“Las operaciones de pago solo se consideran autorizadas cuando el ordenante haya dado su consentimiento (Art. 36). Si el usuario niega haber autorizado una operación, el banco le debe devolver de forma inmediata el importe de la operación (Art. 45)”.

Ley de Servicios de Pago

Phishing: obligaciones de los usuarios:

  1. Usar el instrumento de pago de conformidad con las condiciones pactadas en el contrato
  2. Tomar las medidas razonables para proteger sus credenciales de seguridad
  3. Notificar sin demora indebida el extravío, la sustracción, la apropiación indebida o la utilización no autorizada.
Estafas digitales_ Phishing

Phishing: obligaciones del proveedor del medio de pago:

Además de las estipuladas en el contrato, debe implementar las medidas de seguridad necesarias para asegurar la identidad del ordenante y la autenticación de la operación con el objetivo de detectar a tiempo operaciones de pago no autorizadas o fraudulentas.

Autenticación reforzada

La Directiva de Servicios de Pago (DSP2) obliga a las entidades bancarias a que las órdenes de pago se realicen mediante una autenticación reforzada (Arts. 97 y 98).

Esto quiere decir que la operación debe estar validada con la clave personal -o con un factor biométrico como la huella dactilar o el reconocimiento facial-, o con una clave aleatoria generada en cada operación que debe ser enviada al usuario para revalidar la operación (doble factor de autenticación/seguridad).

Operaciones fraudulentas

Del mismo modo, la entidad debe ser capaz de detectar el momento en el que los elementos de autenticación (las claves personales) han sido comprometidas o sustraídas , bloquear la operación y contactar con el usuario para verificar si es él o ella quien la está realizando.

A efecto de verificar la operación, la entidad bancaria deberá hacer uso, entre otros factores, de:

  • El análisis de las pautas o hábitos de consumo de los usuarios
  • Las tarjetas de coordenadas.
  • El código de autorización para determinadas operaciones.
  • Avisos en la web de las operaciones.
  • El concepto, el importe y el tipo de operación.
  • Detectar qué comercios son seguros.
  • La persona destinataria de la operación.
Estafas digitales_ reclamar al banco por Phishing

¿Puedo recuperar el dinero si he sufrido phishing?

Una vez explicado el marco legal de Ley de Servicios de Pago, podemos concluir que las operaciones de pago solo se consideran autorizadas cuando el ordenante haya dado su consentimiento (Art. 36). Si el usuario niega haber autorizado una operación, el banco le debe devolver de forma inmediata el importe de la operación (Art. 45), salvo que demuestre que el titular ha actuado de forma fraudulenta o con negligencia grave a la hora de conservar sus claves de seguridad.

En este sentido, los bancos alegan que el hecho de facilitar las claves voluntariamente al estafador (phishing) supone una negligencia grave, por incumplimiento del titular de su obligación de conservar las claves de seguridad.

Sin embargo, según el Tribunal Supremo, el phishing es una estafa, que conceptualmente es un “engaño bastante y por lo tanto, se anula la “negligencia grave”.

¿Qué hacer si me han estafado haciendo phishing?

El Instituto Nacional de Ciberseguridad (INCIBE), indica que es importante que en el momento en el que seas consciente de que es un timo, contactes con tu banco inmediatamente “para cancelar cualquier pago no autorizado o nuestra tarjeta en caso necesario”.

De esta manera, el banco no pondrá objeciones para devolverte el dinero de cualquier operación tras haber informado del ataque de phishing.

Además, el INCIBE destaca el hecho de recopilar todas las pruebas posibles para poner una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.

No obstante, si has sufrido este u otro fraude cibernético o tu banco no se hace responsable del ataque, no dudes en contactar con nosotros y gestionaremos su demanda de la mejor manera posible.

Compartir

Otros Artículos
Contacto

¿Necesitas asesoramiento y representación legal? En Ódice Abogados, despacho de abogados en Málaga, ofrecemos distintos medios de comunicación para que pueda contactar con nosotros.