Ciberdelitos: responsabilidad de la entidad financiera por no aplicar los controles de verificación

Ciberdelitos: responsabilidad de la entidad financiera por no aplicar los controles de verificación

BBVA responde frente a un cliente por un ciberdelito cometido a través de SMS, al no aplicar los preceptivos controles de verificación de la identidad 

Los servicios financieros han ido evolucionando dentro de un entorno económico cada vez más disruptivo como consecuencia de las innovaciones tecnológicas[1]. En los últimos años, el incremento de la operativa electrónica bancaria, si bien ha mejorado en términos de eficacia los procesos operativos de servicios de pago y, en general, de la operativa bancaria, también ha introducido nuevos riesgos para los usuarios relacionados con la ciberdelincuencia. Los términos phishing, smishing, pharming o sniffing, hasta ahora desconocidos para la mayoría de los clientes bancarios, han tomado notoriedad, al sucederse, con cada vez más frecuencia[2], situaciones de suplantación de identidad electrónica con ejecución de transferencias, compras no autorizadas, disposiciones de dinero desde la banca electrónica, o incluso firmas de contratos, sin la autorización de los verdaderos titulares. La ciberdelincuencia ha puesto el foco en el sector bancario con un incremento exponencial de los ataques a sus sistemas informáticos.

Los ciberfraudes más comunes comparten tres características básicas: i) implican la obtención ilícita y oculta de datos sensibles del titular del servicio, ii) utilización de dichos datos para la suplantación electrónica de su identidad y iii) generan un perjuicio económico al usuario o la asunción de obligaciones económicas no autorizadas. Una vez el ciberdelincuente se encuentra en posesión de datos del usuario pueden darse varios supuestos de interacción con la entidad financiera: a) Interacción Directa, en la medida que el delincuente, suplantando al usuario, contacta con la entidad vía correo electrónico solicitando la ejecución de transferencias o, b) Interacción Indirecta, cuando el ciberdelincuente, sin contractar con la entidad, ordena electrónicamente transferencias utilizando la banca electrónica con claves del usuario o firma contratos vía electrónica con claves del usuario.

El Banco de España ha publicado en su página web lo siguiente sobre las estafas por bizum: “Entre las tretas que utilizan está la del falso comprador. Una persona interesada en un artículo de segundo mano que has puesto en venta te pide el número de móvil para hacerte un bizum en concepto de señal, pero en vez de enviarte el dinero hace uso de la funcionalidad de solicitarlo. Aunque en el mensaje se especifica claramente que es una solicitud, los estafadores saben que con las prisas es probable que no nos fijemos en ello y caigamos en el engaño.En el caso del falso vendedor, que vende cosas muy apetecibles a un precio por debajo del de mercado, te pide que le adelantes el dinero o una parte para hacer el envío, pagas por Bizum, el producto nunca llega y el vendedor desparece con el dinero rápidamente. Otro caso que se ha producido es el de las falsas prestaciones de la seguridad social o ERTEs. Pueden contactarte, bien por SMS o por llamada (vishing), simulando ser un organismo público en relación con una prestación que has de recibir y bajo el pretexto de que se realizará el envío de dinero por Bizum. De nuevo, realmente se está solicitando el dinero en vez de recibirlo. Los organismos oficiales no utilizan este cauce para estos trámites y nunca te solicitarán datos personales”.

BBVA ha devuelto 5.800 euros a un cliente, cantidades que se le habían sustraído a través de SMS. El cliente recibió el un mensaje, supuestamente de BBVA, donde se le decía que su cuenta había sido «bloqueada por motivos de seguridad» y se la invitaba a acceder a un enlace, en el que debía introducir sus credenciales bancarias. El dispositivo reconoció el mensaje como de BBVA, archivándose en la cadena de mensajes reales anteriores del banco (localizadores, contraseñas, etc.) por lo que el cliente no sospecho. Dos horas después cuando el cliente accedió a la app de su móvil para comprobar el saldo de su cuenta, puedo observar como los estafadores habían contratado seis tarjetas nuevas, con las que habían efectuado 45 cargos de entre 90 y 100 euros, habiendo, además, transferido por Bizum la cantidad de 480 euros. También hicieron tres movimientos con su tarjeta personal, dos de algo más de 90 euros y otra de 1.000 euros, es decir, un total de 5.800 euros en tan solo dos horas. Tan pronto tomó conciencia de la situación, el cliente llamó al número de atención 24 horas de BBVA, bloqueando la entidad todas sus tarjetas, su cuenta y el acceso al a banca online. Interpuso denuncia en la policía y acudió a la oficina para gestionar reclamación frente a la entidad, que se excuso en que no podían evitar que se hiciese efectivos los movimientos y le devolvieron la cantidad de 480 euros relativa a la transferencia por Bizum[3].

La entidad financiera presentó un expediente a VISA por cada una de las seis tarjetas en las que habían sido cargados los movimientos fraudulentos, expediente que no fue atendido. El cliente presentó una reclamación a través de una asociación de consumidores, en la que se argumentaba que BBVA permitió que los estafadores sortearan los códigos de seguridad de los medios de pago de la perjudicada, no pudiendo acreditar la entidad que había llevado a cabo la doble autentificación (mecanismo diseñado para reforzar la verificación de la identidad de usuarios que todos los Estados europeos deben implementar obligatoriamente por una directriz europea, y que exige que el servicio de pago utilice al menos dos datos distintos, conocidos como factores de autenticación). BBVA tampoco había verificado la identidad de la persona que contrató las seis tarjetas nuevas en cuestión de minutos. Finalmente, BBVA accedió a la devolución del total de las cantidad, sin necesidad de interponer demanda[4].

En conclusión podría entenderse que las entidades financieras que prestan servicios de pago asumen una responsabilidad de riesgo cuasi objetiva que se traduce en la asunción de una obligación general de restitución de toda disposición de fondos no autorizada por el usuario, salvo en casos de actuación fraudulenta o gravemente negligente de este (medida en el marco de su condición no profesional) que deberá ser acreditada por parte de la entidad financiera.

Sacristán&Rivas Abogados recomienda a todos aquellos que hayan sido víctimas de un ciberfraude, acudir, tan pronto sea posible, a expertos cualificados en la materia para la realización de un estudio del caso concreto y de las posibilidades de defensa, estando este Despacho a su disposición a tales efectos.

Sacristán&Rivas Abogados

 

[1] PÉREZ GARCÍA, J.A.: “La regulación de la innovación tecnológica en el mercado financiero: Fintech, Crowdfunding y Bitcoin”, en Diario La Ley, Nº 9132, Sección Doctrina, 5 de febrero de 2018, Wolters Kluwer.

[2] Brunet, J.M.: La Fiscalía denuncia el imparable aumento de los delitos informáticos, Diario. El País de 7 de septiembre de 2020. Puede encontrarse en:

https://elpais.com/espana/2020-09-07/la-fiscalia-denuncia-el-imparable-aumento-de-delitos-informaticos.html

[3] FACUA Euskadi logra que BBVA devuelva 5.300 euros estafados usando SMS

[4] FACUA Euskadi logra que BBVA devuelva 5.300 euros estafados usando SMS