Phishing: ¿Son responsables los bancos?
Phishing: ¿Son responsables los bancos?
La responsabilidad de los bancos en incidentes de phishing se destaca en la legislación española, especialmente a través del Real Decreto-Ley 19/2018, que tiende a responsabilizar a los bancos por fraudes, exigiéndoles la implementación de sistemas de seguridad avanzados. Los precedentes jurídicos actuales favorecen a los consumidores, eximiéndolos de negligencia en casos de fraudes difíciles de detectar y resaltando la obligación de los bancos de prevenir proactivamente estos ataques.
En los últimos años, y como consecuencia del crecimiento de los fraudes informáticos y su perfeccionamiento y, por ende, de los delitos de estafas de phishing sufridos por los usuarios, han aumentado exponencialmente las reclamaciones contra los proveedores de servicios de pago.
¿En qué consiste el phishing?
Los ataques de phishing son correos electrónicos, mensajes de texto, llamadas telefónicas o sitios web fraudulentos diseñados para manipular personas para que descarguen un virus informático (malware), compartan información confidencial (p. ej., números de la seguridad social y tarjetas de crédito, números de cuentas bancarias, credenciales inicio de sesión) o realicen otras acciones que los exponga a ellos mismos o a sus organizaciones al ciberdelito.
¿Qué tipos de pishing son los más frecuentes?
Ante el fuerte crecimiento de este tipo de delitos y sus millonarias consecuencias económicas tanto para las entidades bancarias como para los usuarios, se consideró necesario transponer de inmediato la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior, también denominada DSP2. La principal introducción de la DSP2 es la autenticación fuerte o de doble factor del cliente.
Así pues, en España, los derechos y obligaciones (responsabilidades) de los proveedores y de los usuarios en relación con los servicios de pago vienen determinados en el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (en adelanten RDL 19/2018). La principal finalidad de dicho RDL, y con esto se observa la voluntad real del legislador, es que los usuarios deben gozar de la debida protección frente a los riesgos inherentes a los medios de pago digitales.
En nuestra opinión, dicho RDL ha establecido un sistema más que discutible de responsabilidad cuasi objetiva o de riesgo para las entidades bancarias (Art. 45 RDL 19/2018). Y ello es así porque la única defensa del banco para sortear la obligación de devolver los importes sustraídos es que el usuario haya actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41 del RDL 19/2018 (Art. 46 RDL 19/2018), es decir, que haya incumplido la obligación de custodiar las claves personales con “todas las medidas razonables”.
Sin embargo, y aunque la Jurisprudencia actual no es uniforme, la gran mayoría de los Tribunales se inclinan por excluir la negligencia del usuario, porque el phishing (que cumple con todos los elementos del tipo penal de la estafa, Ex. Art. 248.2 Código Penal) y su grado actual de sofisticación y profesionalidad utilizado por los delincuentes, hace que el engaño sea muy difícil de detectar por parte del usuario. Es decir, el engaño bastante sufrido por el usuario excluye la negligencia grave y desplaza la responsabilidad objetiva al proveedor de pagos. Además, le corresponde al Banco la carga de probar que existió negligencia grave por parte del usuario (Art. 31 RDL 19/2018).
Por su parte, las entidades bancarias también serán responsables y obligadas a restituir los fondos sustraídos, si no están dotadas de la tecnología antiphishing (sistemas de ciberseguridad), es decir, que deben implementar las medidas necesarias para prevenir y detectar los ataques fraudulentos y así evitar el resultado lesivo. Además, deberá realizar un análisis de riesgos en tiempo real para detectar cuándo una orden de pago es fraudulenta y anticiparse a la estafa.
Actualmente, los sistemas de ciberseguridad más utilizados son la autenticación reforzada o de doble factor (sistema 2FA), así como el acceso a la banca digital mediante llaves de seguridad USO y NFC o el acceso a la banca digital mediante un certificado digital. A pesar de todos estos sistemas de seguridad, los ciberdelincuentes están tecnológicamente preparados para sobrepasarlos.
De un análisis exhaustivo de la Jurisprudencia actual, aunque la misma no sea uniforme y dependerá de cada caso concreto, observamos una clara imputación de responsabilidad objetiva a los bancos, liberando de toda culpa a los usuarios, al considerar que no puede existir negligencia grave en supuestos de estafas por phishing. Es decir, observamos una clara tendencia a culpabilizar únicamente a las entidades bancarias por los fraudes informáticos en pagos digitales, por lo que la única opción para ellas pasa por reforzar su ciberseguridad e intentar prevenir y avanzarse a todos los ataques fraudulentos. De lo contrario, y según la actual posición de los Tribunales, estarán obligados a restituir los importes sustraídos a los usuarios.
Veremos si la jurisprudencia cambia en un futuro, pero la actual penaliza, en ocasiones de forma desmedida, a la Banca.
¿En qué consiste el phishing?
Los ataques de phishing son correos electrónicos, mensajes de texto, llamadas telefónicas o sitios web fraudulentos diseñados para manipular personas para que descarguen un virus informático (malware), compartan información confidencial (p. ej., números de la seguridad social y tarjetas de crédito, números de cuentas bancarias, credenciales inicio de sesión) o realicen otras acciones que los exponga a ellos mismos o a sus organizaciones al ciberdelito.
¿Qué tipos de pishing son los más frecuentes?
- A través de correos electrónicos masivos.
- Suplantación de identidad.
- Compromiso de correo electrónico de la empresa (BEC)
- Por SMS o smishing
- Por voz o vishing
- Por redes sociales
- SIM- Swapping (duplicado tarjeta SIM)
Ante el fuerte crecimiento de este tipo de delitos y sus millonarias consecuencias económicas tanto para las entidades bancarias como para los usuarios, se consideró necesario transponer de inmediato la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior, también denominada DSP2. La principal introducción de la DSP2 es la autenticación fuerte o de doble factor del cliente.
Así pues, en España, los derechos y obligaciones (responsabilidades) de los proveedores y de los usuarios en relación con los servicios de pago vienen determinados en el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (en adelanten RDL 19/2018). La principal finalidad de dicho RDL, y con esto se observa la voluntad real del legislador, es que los usuarios deben gozar de la debida protección frente a los riesgos inherentes a los medios de pago digitales.
En nuestra opinión, dicho RDL ha establecido un sistema más que discutible de responsabilidad cuasi objetiva o de riesgo para las entidades bancarias (Art. 45 RDL 19/2018). Y ello es así porque la única defensa del banco para sortear la obligación de devolver los importes sustraídos es que el usuario haya actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41 del RDL 19/2018 (Art. 46 RDL 19/2018), es decir, que haya incumplido la obligación de custodiar las claves personales con “todas las medidas razonables”.
Sin embargo, y aunque la Jurisprudencia actual no es uniforme, la gran mayoría de los Tribunales se inclinan por excluir la negligencia del usuario, porque el phishing (que cumple con todos los elementos del tipo penal de la estafa, Ex. Art. 248.2 Código Penal) y su grado actual de sofisticación y profesionalidad utilizado por los delincuentes, hace que el engaño sea muy difícil de detectar por parte del usuario. Es decir, el engaño bastante sufrido por el usuario excluye la negligencia grave y desplaza la responsabilidad objetiva al proveedor de pagos. Además, le corresponde al Banco la carga de probar que existió negligencia grave por parte del usuario (Art. 31 RDL 19/2018).
Por su parte, las entidades bancarias también serán responsables y obligadas a restituir los fondos sustraídos, si no están dotadas de la tecnología antiphishing (sistemas de ciberseguridad), es decir, que deben implementar las medidas necesarias para prevenir y detectar los ataques fraudulentos y así evitar el resultado lesivo. Además, deberá realizar un análisis de riesgos en tiempo real para detectar cuándo una orden de pago es fraudulenta y anticiparse a la estafa.
Actualmente, los sistemas de ciberseguridad más utilizados son la autenticación reforzada o de doble factor (sistema 2FA), así como el acceso a la banca digital mediante llaves de seguridad USO y NFC o el acceso a la banca digital mediante un certificado digital. A pesar de todos estos sistemas de seguridad, los ciberdelincuentes están tecnológicamente preparados para sobrepasarlos.
De un análisis exhaustivo de la Jurisprudencia actual, aunque la misma no sea uniforme y dependerá de cada caso concreto, observamos una clara imputación de responsabilidad objetiva a los bancos, liberando de toda culpa a los usuarios, al considerar que no puede existir negligencia grave en supuestos de estafas por phishing. Es decir, observamos una clara tendencia a culpabilizar únicamente a las entidades bancarias por los fraudes informáticos en pagos digitales, por lo que la única opción para ellas pasa por reforzar su ciberseguridad e intentar prevenir y avanzarse a todos los ataques fraudulentos. De lo contrario, y según la actual posición de los Tribunales, estarán obligados a restituir los importes sustraídos a los usuarios.
Veremos si la jurisprudencia cambia en un futuro, pero la actual penaliza, en ocasiones de forma desmedida, a la Banca.