• Twitter
  • Youtube
  • Google+
  • LinkedIn

Blog

Ciberfraudes y la responsabilidad de las entidades financieras
Ciberfraudes y la responsabilidad de las entidades financieras

Jurisprudencia reciente sobre la responsabilidad de las entidades financieras ante los ciberfraudes

Los ciberfraudes más comunes comparten tres características básicas: i) implican la obtención ilícita y oculta de datos sensibles del titular del servicio, ii) utilización de dichos datos para la suplantación electrónica de su identidad y iii) generan un perjuicio económico al usuario o la asunción de obligaciones económicas no autorizadas. Una vez el ciberdelincuente se encuentra en posesión de datos del usuario pueden darse varios supuestos de interacción con la entidad financiera: a) Interacción Directa, en la medida que el delincuente, suplantando al usuario, contacta con la entidad vía correo electrónico solicitando la ejecución de transferencias o, b) Interacción Indirecta, cuando el ciberdelincuente, sin contractar con la entidad, ordena electrónicamente transferencias utilizando la banca electrónica con claves del usuario o firma contratos vía electrónica con claves del usuario.

La CNMV ha alertado en varias ocasiones sobre los ciberdelitos e incluso ha anunciado que va a poner en marcha un plan de acción contra el fraude financiero. En concreto, sobre el phishing el Supervisor ha publicado la siguiente infografía en su cuenta de LinkedIn, con el objetivo de definir esta conducta:

Con respecto a esta cuestión, el Banco de España ha publicado en su página web lo siguiente sobre las estafas por bizum: “Entre las tretas que utilizan está la del falso comprador. Una persona interesada en un artículo de segundo mano que has puesto en venta te pide el número de móvil para hacerte un bizum en concepto de señal, pero en vez de enviarte el dinero hace uso de la funcionalidad de solicitarlo. Aunque en el mensaje se especifica claramente que es una solicitud, los estafadores saben que con las prisas es probable que no nos fijemos en ello y caigamos en el engaño.En el caso del falso vendedor, que vende cosas muy apetecibles a un precio por debajo del de mercado, te pide que le adelantes el dinero o una parte para hacer el envío, pagas por Bizum, el producto nunca llega y el vendedor desparece con el dinero rápidamente. Otro caso que se ha producido es el de las falsas prestaciones de la seguridad social o ERTEs. Pueden contactarte, bien por SMS o por llamada (vishing), simulando ser un organismo público en relación con una prestación que has de recibir y bajo el pretexto de que se realizará el envío de dinero por Bizum. De nuevo, realmente se está solicitando el dinero en vez de recibirlo. Los organismos oficiales no utilizan este cauce para estos trámites y nunca te solicitarán datos personales”.

Recientemente se han pronunciado diferentes Audiencias Provinciales, determinando la responsabilidad de las entidades financieras ante este tipo de ataques informáticos, apuntando que no puede entenderse que hubiera falta de diligencia de las víctimas de los ataques, destacamos entre otras las siguientes:

  • SAP de Cáceres, Sección 1ª, nº 132/2022 de 16 de febrero, Rec. 1370/2021:

“Pues bien, la conjunción de estos tres preceptos conduce a aseverar (trasladadas sus disposiciones normativas al supuesto que se somete a la consideración de este Tribunal por mor del Recurso de Apelación interpuesto) que el demandante observó toda la diligencia que objetivamente le puede ser exigible cuando comprobó la realización en sus cuentas bancarias de operaciones que no había realizado ni autorizado y que, indudablemente, eran fraudulentas, como son, fundamentalmente, las siguientes actuaciones: la denuncia de los hechos ante la Guardia Civil y la comunicación de las disposiciones de efectivo a la entidad bancaria. Luego no le fue imposible evitar, ni la primera disposición, ni las demás, sucedidas -algunas- incluso después de la denuncia de los hechos y de su comunicación a la entidad financiera. (…) Debe tenerse en cuenta que estos mecanismos de pago, tanto por medio de tarjetas, como a través de la banca a distancia o digital, no solo los articula la entidad financiera a través de las correspondientes aplicaciones y software, sino que potencia su utilización por sus clientes y usuarios bancarios, por lo que tiene -y debe- implementar todas las medidas de seguridad necesaria para evitar fraudes, incluida la suplantación de identidad; y, si el fraude es externo, es decir, a través de estafas informáticas (o «phishing»), lo único que puede exigirse al usuario es que el dispositivo que utilice para la realización de este tipo de operaciones tenga un mantenimiento de seguridad que, en principio, pudiera evitarlo, exigencia que, en el supuesto que examinamos, ha verificado el demandante quien goza -no debe olvidarse- de la condición de «consumidor» y, en consecuencia, de una protección reforzada”.

  • SAP Cuenca, Sección 1ª, nº 350/2021, de 2 de noviembre, rec. 278/2021:

“Los sistemas de autenticación se establecen por los proveedores de servicios de pago y en el supuesto que nos ocupa el banco no fue capaz, (como acaba de decirse), de limitar el acceso al canal de banca electrónica; razón por la cual, (y en consonancia con lo que se indica en la Sentencia anteriormente ya mencionada de la Audiencia Provincial de Alicante, Sección 8ª, de 12.03.2018, recurso 622/2017), no puede pretender la entidad bancaria que la víctima de la práctica fraudulenta sea la única responsable, ya que es el banco quien tiene responsabilidad respecto del buen funcionamiento y la seguridad del sistema (…) el marco de responsabilidad establecido para el caso de operaciones de pagos hechos por proveedores de servicios no autorizadas o ejecutadas incorrectamente es, (en consonancia con lo indicado por la Juzgadora a quo), el de la cuasi objetividad, (y así se viene estableciendo por los Tribunales; por ejemplo, por la Audiencia Provincial de Alicante, Sección 8ª, en la Sentencia anteriormente ya citada de 12.03.2018, recurso 622/2017, cuyo criterio ya se ha indicado que comparto).Por tanto, se desestimará en su integridad el recurso de apelación formulado”.

  • SAP Madrid, Sección 11ª, nº 74/2022 de 28 de febrero, rec. 35/2021:

“La responsabilidad contemplada en esta Ley es cuasi-objetiva, es decir, se trata de una responsabilidad de la entidad que presta servicios de pago que sólo permite exonerarse mediante la prueba de la culpa grave del ordenante (….)”.

Sacristán&Rivas Abogados recomienda a todos aquellos que hayan sido víctimas de un ciberfraude, acudir, tan pronto sea posible, a expertos cualificados en la materia para la realización de un estudio del caso concreto y de las posibilidades de defensa, estando este Despacho a su disposición a tales efectos.

 

Sacristán&Rivas Abogados