Home estafas bancarias PHISHING BANCARIO
PHISHING BANCARIO

PHISHING BANCARIO

0
1

RESPONSABILIDAD DE LOS BANCOS POR ESTAFA BANCARIA (“ PHISHING”) Y LOS MECANISMOS DE PROTECCION DE LOS USUARIOS DE LA BANCA ELECTRÓNICA

 

Manuel Carlos Merino Maestre.
Abogado.
Master en Derecho de Internet, Nuevas Tecnologías y Derecho de las Telecomunicaciones.
Director Equipo Legal ANFITEC

 

  1. El “Phishing”: modalidades comisivas y “roles” de los agentes que intervienen en la dinámica criminal.
      1. Las diversas tipologías de Phishing: Pharming, Wi-Phishing, Spear Phishing, Smishing y Vishing.Se conoce con la denominación de “Phishing” a una modalidad de estafa por medios informáticos que se caracteriza por el empleo de técnicas de ingeniería social por los delincuentes con la finalidad de acceder a los datos confidenciales de la víctima (claves y contraseñas) para realizar pagos y transferencias de dinero a través de Internet. Las estrategias diseñadas por las redes internacionales de “Phishing”, destacándose por su importancia los ataques dirigidos desde Rusia, China, Nigeria o países sudamericanos, parten de la premisa inicial de que “el usuario es el eslabón más débil” del sistema de seguridad bancaria. Las técnicas utilizadas por los ciberdelincuentes resultan ser muy variadas (por su interés podéis acceder a la recopilación realizada por la Oficina de Seguridad del Internauta (OSI) a través del siguiente enlace) y mutan constantemente con la finalidad de que los delincuentes alcancen sus objetivos.

        La modalidad más conocida de “Phishing” puede que sea el envío masivo de correos electrónicos indiscriminados a la población que fingen ser remitidos por una entidad de crédito la que, bajo cualquier pretexto, normalmente de seguridad y dirigida a crear alarma o inquietud en el usuario, solicitan al destinatario que acceda al enlace remitido por los ciberdelincuentes que les redirecciona a una página web falsa (“página clon”) controlada por la organización y que para no despertar sospechas en la víctima resulta ser idéntica a la página web de la entidad bancaria. Una operativa diferente consiste en infectar con un virus troyano el terminal informático de la víctima que se ejecuta al visitar la página web auténtica del banco like it. La actuación del software malicioso determina la aparición de ventanas emergentes o cuadros de dialogo con un mensaje que parece provenir de la entidad bancaria que le insta a que acceda a un determinado enlace con la finalidad de realizar una concreta operación. Otra modalidad conocida como “Pharming” consiste en modificar a través de un software el sistema de resolución de nombres de dominio ( DNS “Domain Name System”) que es el encargado de convertir la dirección tecleada en el navegador en una dirección IP numérica que le conduce directamente a una página clon de la organización. Este tipo de estafas puede ser cometida por los delincuentes utilizando las redes WiFi (Wi-phising) mediante la creación de un punto inalámbrico falso para cuyo acceso se nos solicitan ciertos datos personales.También cabe que las víctimas del “Phishing” sean elegidas por su potencial económico (método conocido como “ spear phishing”, traducido literalmente como “Phishing con lanza”). Este fraude reviste diversas variedades en la que ocupa un lugar destacado la modalidad conocida como “Fraude al CEO” o BEC ( “Business Email Compromise”) de la que resultan ser víctimas las grandes empresas y PYMES. Para perpetrar el ataque los delincuentes se sirven de hackers que acceden al correo electrónico de las empresas o de sus directivos apoderándose de sus claves de acceso por los medios más variados logrando de esta forma infectar el correo corporativo para acceder a los correos que tienen como destinatarios a las entidades financieras. Una vez localizados estos correos los ciberdelincuentes utilizan una dirección de correo similar al de la entidad financiera con la finalidad de engañar a su víctima y conseguir el acceso a las claves bancarias o redirigen los pagos de la empresa a una cuenta controlada por la organización. Otra modalidad de esta estafa consiste en dirigir un mensaje de correo que simula provenir de un directivo de la empresa a un empleado ordenando realizar una transferencia millonaria a una cuenta situada en el extranjero o aquella que utiliza como excusa para recabar los datos confidenciales la realización de una auditoria a la empresa.

        También los delincuentes se sirven de mensajes de texto SMS o MMS ( “Smishing”) al teléfono móvil de la víctima o llamadas de voz (“Vishing” contracción de “Voice Phishing” o “phising de voz”), modalidad esta última que merece ser comentada. En este caso la víctima recibe una llamada telefónica, en la que se suelen utilizar técnicas de “Spoofing” destinadas a ocultar el real origen de la llamada, en la que el interlocutor finge ser parte del equipo de seguridad y fraudes de un banco o tarjeta de crédito y comunica a la víctima que ha habido un problema de seguridad con su cuenta corriente o un uso sospechoso de su tarjeta de crédito. Con la finalidad de generar confianza en la víctima el falso empleado le proporciona todo tipo de datos personales para que aquella le facilite los códigos de seguridad o claves. También puede ocurrir que el falso empleado invite a la víctima a llamar a un número de atención al cliente. Cuando la victima efectúa la llamada se genera un tono falso de llamada de tal forma que la víctima está realmente conectando con los delincuentes que le solicitarán sus datos confidenciales o le dará instrucciones para transferir su dinero a una nueva cuenta “segura” que le han abierto.

      2. La estafa y el lavado del dinero: phiser, muleros, facilitadores y transportistas.Una vez obtenidas por los delincuentes (en el argot “Phiser”) las claves y datos confidenciales por cualquiera de los métodos descritos anteriormente aquellos suplantarán la identidad del titular de la tarjeta de crédito o cuenta corriente y accederán a las cuentas bancarias desde cualquier equipo informático ordenando a la entidad bancaria transferir los fondos a cuentas corrientes controladas por la organización ( “cuentas puente”).Esta fase, de lavado de dinero o blanqueo ( “Laundry Money”), está a cargo de miembros de la organización en la que cada uno de ellos asume un “ rol” o función concreta dentro del engranaje criminal. En esta estructura de blanqueo se sitúan en primer lugar los denominados “muleros” o personas captadas por la organización quienes, a cambio de una comisión, son los responsables de abrir cuentas corrientes en España utilizando en muchas ocasiones una identidad falsa y de documentación falsa facilitada por la organización (rol asumido por los “facilitadores”) con la finalidad de justificar los movimientos de fondos y no despertar sospechas el banco. Una vez transferido el dinero despojado a las víctimas corresponde a los “muleros” vaciar inmediatamente las cuentas corrientes y poner a disposición de la organización el dinero ilícitamente obtenido bien por ellos mismos o sirviéndose para ello de los “transportistas” que son los encargados de depositar el dinero físico en un punto de entrega concreto mediante la técnica conocida como “pitufeo” (entrega de pequeñas cantidades para no despertar sospechas) normalmente en locutorios u oficinas de transferencia internacional de dinero como “Western Union” o “ Money Gram” las que tampoco resulta infrecuente estén controladas por otro miembro de la organización criminal (así aconteció por ejemplo en el asunto del Virus de la policía ya sentenciado por la Audiencia Nacional en la que intervenimos como acusación popular) o bien se responsabilicen de una red de envió de dinero sirviéndose de otras personas que, a cambio de una comisión, viajan al país de destino con el dinero oculto en su equipaje o en su organismo.25361359600_b9f651abe6_zCuando la victima tiene conocimiento de que los delincuentes han accedido a sus
        cuentas bancarias y han efectuado transacciones o disposiciones de efectivo no consentidas ni autorizadas por éste lo normal es que denuncie los hechos en cualquier oficina de denuncias de la policía o Guardia Civil. En este caso lo más probable es que su denuncia quede archivada por falta de identificación del autor de los hechos a salvo que la víctima tenga la suerte de que estos hechos estén siendo ya investigados por cualquiera de las unidades de policía judicial especializadas en España en materia de ciberdelincuencia como la Unidad de Investigación Tecnológica de la Policía Nacional (UIT) o el Grupo de Delitos Telemáticos de la Guardia Civil (GDT) cuyo laborioso trabajo, en la mayoría de casos necesitado de la cooperación policial internacional a través de EUROPOL o INTERPOL, no siempre conduce a la identificación de los delincuentes como sucede cuando, por ejemplo, el terminal informático desde donde han sido lanzados los ataques informáticos resulta ser un “zombie” ( también denominados como “bots” ) denominación que hace referencia a un ordenador controlado remotamente por la organización y que previamente ha sido infectado con un software malicioso. En cualquier caso, aún siendo identificados los autores, detenidos, juzgados y condenados por los Tribunales las posibilidades de la víctima de recuperar su dinero son escasas puesto que los delincuentes ya dispusieron de forma inmediata del dinero transferido vaciando los muleros las cuentas puente y entregado el dinero a la organización por la red de transportistas. Cuando la víctima comunica esta incidencia al banco suele recibir por regla general , con las contadas excepciones de que el banco asuma los fallos de seguridad del sistema y reintegre a su cliente las cantidades indebidamente transferidas, una respuesta similar: “ la culpa de lo ocurrido es suya, . vd. es el responsable de custodiar en lugar seguro sus contraseñas y claves de seguridad.. Nuestro sistema informático es seguro y no tenemos por qué ser nosotros responsables de las ordenes de pago recibidas si vd. ha sido negligente en facilitar sus claves de acceso”.

     

  2. La responsabilidad bancaria por los fallos de seguridad del sistema y por la ejecución de órdenes de pago no autorizadas por su cliente.¿Debe resignarse la víctima del delito, ya sea ésta un particular o empresa, a ver como su dinero se esfuma sin posibilidad alguna de recuperarlo?. La respuesta es negativa. La víctima dispone de un mecanismo que le garantiza la recuperación de su dinero aunque quizás sea desconocido para la gran mayoría: EL BANCO DEBE DEVOLVERLE EL DINERO QUE ILÍCITAMENTE LE HA SUSTRAIDO LA ORGANIZACIÓN CRIMINAL con la única excepción de que el banco acredite la culpa o negligencia de la víctima. Cuáles son los fundamentos de ésta responsabilidad?.Trataremos de explicarlo brevemente a continuación.
    • Las medidas de seguridad de la banca online y las responsabilidades por la insuficiencia de las medidas adoptadas. Los servicios que prestan las entidades de crédito a sus clientes a través de su oficina virtual se desenvuelven en redes TCP/IP (Internet) o WAP (comunicaciones móviles). Siendo Internet una red pública de comunicaciones la seguridad de las operaciones bancarias precisa de soluciones tecnologías avanzadas que minimicen las amenazas contra la autenticidad, la integridad y la confidencialidad de los datos que viajan a través de la Red así como el no repudio de las transacciones. Por estos motivos las entidades prestadoras del servicio de banca online deben dotarse de medidas suficientes que garanticen al usuario la seguridad de las operaciones por lo que, en el supuesto de insuficiencia o mal funcionamiento de las adoptadas, deben ser las entidades bancarias las que asuman las consecuencias derivadas de los fallos de seguridad del sistema. Aparte el uso de protocolos seguros de cifrado de información SSL (Secure Sockets Layer o capa de conexión segura) que permite establecer una conexión cifrada entre el usuario y la entidad de crédito impidiendo con ello el que terceras personas no autorizadas puedan acceder a la información confidencial que viaja a través de la Red, los sistemas de seguridad empleados por las entidades de crédito en sus operaciones electrónicas están basados en última instancia en infraestructuras de claves públicas (PKI) que garantizan la autentificación del usuario mediante el uso de claves de firma digital.Normalmente las medidas establecidas por los bancos se articulan en varios niveles de seguridad complementarios y compatibles entre sí. El primer nivel , llamado por algunos como “ blando”, consiste en un código de usuario y contraseña o clave secreta privada que cada cliente podrá configurar para acceder a la oficina virtual. En otro nivel de seguridad se sitúa la denominada tarjeta de coordenadas proporcionada por la entidad bancaria a cada usuario que consiste en un código de autorización de las operaciones único y personal para cada una de ellas. Estas claves se exigen al cliente para realizar cualquier operación que no sea una mera consulta de saldos como puede ser el movimiento de dinero entre cuentas, compras o transferencias. Otra medida distinta de la tarjeta de coordenadas lo constituye el empleo de claves aleatorias perecederas de un solo uso (“One time password”) que evitan el riesgo de copia, pérdida o robo de las claves de seguridad , sistema de seguridad que cuenta además con el refrendo de la European Banking Authority ( Autoridad Bancaria Europea). Estas claves aleatorias se remiten por la entidad de crédito al teléfono móvil del cliente mediante SMS con la finalidad de autorizar la operación.El uso de la firma digital permite a la entidad de crédito imputar la autoría de la orden de pago al cliente presumiéndose por ello que ha sido válidamente emitida por éste. Sobre este particular debe recordarse que la firma electrónica avanzada o reconocida respecto de los datos consignados en forma electrónica tiene el mismo valor que la firma manuscrita en relación con los consignados en papel (artículo 3 apartados 2 y 4 de la Ley 59/2003, de 19 de diciembre de Firma Electrónica).Aparte de estas medidas las entidades de crédito advierten en su páginas web oficiales de que, en ningún caso la entidad solicitará al cliente sus claves confidenciales previniéndoles del riesgo de facilitar sus datos confidenciales a terceros. Asimismo han establecido un sistema de “ alertas” dirigidas a detectar cualquier irregularidad de las ordenes de pago y transferencias que permiten a la entidad tomar decisiones automatizadas de bloqueo de la operación antes de esta se llegue a ejecutar. Algunas entidades han llegado a adoptar medidas que permiten detectar cualquier fallo de seguridad del propio terminal informático del cliente o realizan pruebas de penetración y ataques a su propio sistema de seguridad con la ayuda de expertos informáticos en busca de vulnerabilidades del sistema ( “hacking ético”).La decidida apuesta de las entidades bancarias por la seguridad y confianza de las operaciones electrónicas no puede ponerse en tela de juicio habiéndose formado en mayo de 2004 el Grupo de Trabajo de Seguridad en el Centro de Cooperación Interbancaria ( CCI) con la finalidad de aunar esfuerzos dirigidos a neutralizar las constantes amenazas a sus sistemas de seguridad.

      Se debe tener en cuenta que las medidas de seguridad no solamente están destinadas a proteger la seguridad de las órdenes de pago emitidas por los clientes sino que su eficacia exonera a las entidades de crédito de sus responsabilidades frente a las órdenes de pago no emitidas por sus clientes de tal forma que el incumplimiento de este específico deber de vigilancia daría lugar a una responsabilidad por “ culpa in vigilando” o responsabilidad objetiva por el mal funcionamiento de los servicios de banca electrónica. En base a este fundamento la Sentencia de la Audiencia Provincial de Barcelona, Sección 11, de fecha 23 de julio 2015, declaró la responsabilidad de Barclays Bank, S.A tb4bxrl. a pagar a una clienta la cantidad de 9.979 € por cargos y extracciones de efectivo no autorizados que tuvieron su origen en la introducción por los delincuentes de un mensaje fraudulento en la página oficial del banco a través del cual se canalizó la operación. Este mismo hecho, considerado una infracción de los deberes de vigilancia del banco, fue la causa por la que el Banco de Santander fue condenado por sentencia dictada por la Audiencia Provincial de Valencia, Sección 9 de fecha 23 de abril de 2013 a restituir a su cliente la cantidad de 42.500 €.

    • La responsabilidad de los bancos por la ejecución de órdenes fraudulentas de pago. 

      –  El carácter abusivo de las cláusulas bancarias de exoneración de responsabilidad.En cualquier caso de “phishing” resulta incuestionable que los cibercriminales han conseguido burlar los sofisticados controles informáticos implantados por las entidades bancarias y han suplantando la identidad de sus clientes utilizando los datos confidenciales que solo el cliente de la entidad de crédito conoce. Si lo anterior resulta fuera de toda discusión también lo es que el cliente no ha emitido ninguna orden válida a su banco que autorice la concreta operación de pago o la transferencia de fondos. Por ello la primera cuestión que debe analizarse es si el banco podría exonerarse de toda responsabilidad en estos casos estableciendo en los contratos de servicios bancarios online alguna cláusula contractual en este sentido. La respuesta ha de ser forzosamente negativa si tenemos en cuenta que las cláusulas de exoneración de responsabilidad de las entidades bancarias por uso fraudulento de las claves y contraseñas del cliente fueron consideradas abusivas por el Tribunal Supremo ( Sala Primera de lo Civil) en sentencia de fecha 16 de diciembre de 2009 con el argumento principal de que son las entidades de crédito las que deben ser diligentes para detectar los usos indebidos de las claves de los clientes de conformidad a la experiencia y medios técnicos disponibles. Como con claridad expresaba la sentencia del Juzgado de Primera Instancia número 2 de Castellón de fecha 25 de junio de 2008 ( FJ 6), con apoyo en la dictada en la sentencia de la Audiencia Provincial de Madrid, Sección 13, de 11 de febrero de 2005:“no es dado imponer al consumidor la renuncia indiscriminada al derecho que le pueda asistir para reclamar, frente a la entidad que le proporciona los medios técnicos necesarios para una mejor o más cómoda prestación de sus servicios, en aquellos supuestos en los que, no mereciendo la consideración de caso fortuito o fuerza mayor, así como los efectivamente imputables a la entidad bancaria, le ocasionen daños y/o perjuicios”

      –  Presunciones e imputaciones de responsabilidad establecidas en la Ley 16/ 2009 de 13 de diciembre de Servicios de Pago.

      Constituye un principio general establecido en el artículo 25,1º LSP que “Las operaciones de pago se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución. A falta de tal consentimiento la operación de pago se considerará no autorizada”. En relación con las ordenes de pago y transferencias fraudulentas esta disposición resulta acorde con el principio general de que si la orden de pago o transferencia emitida por el cliente contiene una manifestación voluntad que actúa como causa del pago al tercero o la remisión de fondos al beneficiario, a “sensu contrario” puede afirmarse que sin dicha declaración de voluntad la operación de pago o transferencia de fondos se considerará no autorizada.

      Sin embargo como ya expusimos anteriormente el empleo de tecnologías de clave pública , y en particular el empleo de firma digital en la mayoría de las operaciones bancarias, implica establecer la presunción de que la operación de pago ha sido ordenada por el cliente y el banco ha procedido a ejecutarla siguiendo sus instrucciones por lo que ninguna negligencia ha cometido la entidad de crédito que le obligue a reintegrar al cliente el importe de los fondos transferidos. Esta problemática se aborda en los artículos 30, 31 y 32 LSP en los términos que analizaremos a continuación.

      El artículo 30 LSP referido a la “ autenticación y ejecución de las operaciones de pago” dispone que 1. Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá a su proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud, y que no se vio afectada por un fallo técnico o cualquier otra deficiencia. 2. A los efectos de lo establecido en el apartado anterior, el registro por el proveedor de servicios de la utilización del instrumento de pago no bastará necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que este actuó de manera fraudulenta o incumplio deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al articulo 27. Estas obligaciones a cargo del usuario respecto a las entidades de crédito se concretan en: a) tomar las medidas razonables a fin de proteger los elementos de seguridad personalizados y b) en caso de extravío, sustracción o utilización no autorizada del instrumento de pago, notificarlo sin demoras indebidas al proveedor de servicios de pago o a la entidad que este designe en cuanto tenga conocimiento de ello.

      De lo expuesto anteriormente, en unión a lo previsto en los artículos 30 y 31 LSP, ya pueden exponerse con claridad las obligaciones y deberes que asumen las entidades de crédito y sus clientes en el marco del contrato de prestación de servicios bancarios online que a la postre resultarán determinantes para fijar el régimen de responsabilidad de aquellas operaciones ejecutadas por la entidad que no han sido autorizadas por el cliente.

      Cuando la operación fraudulenta se hubiera producido por fallos de seguridad del sistema, la entidad de crédito devolverá al cliente el importe de la operación no autorizada y, en su caso, restablecerá en la cuenta de pago en que se haya adeudado dicho importe el estado que habría existido de no haberse efectuado la operación de pago no autorizada. Todo ello sin perjuicio de las indemnizaciones por daños y perjuicios a las que pudiera haber lugar conforme a la normativa aplicable al contrato celebrado entre el usuario y el banco ( art.31 LSP).

      La interpretación por los Tribunales del régimen de responsabilidad de las entidades de crédito parte de una abundante casuística. La Sentencia de la Audiencia Provincial de Barcelona ( Sección Decimocuarta) de fecha 7 de marzo de 2013 condenó a la CAIXA DE ESTALVIS DE CATALUNYA ( actualmente CATALUNYA BANK,S.A.) a devolver a una empresa víctima de “ phising” la cantidad de 32.099 € por cuanto la entidad bancaria no adoptó las medidas de seguridad adicionales previstas en las Condiciones Generales del contrato al haberse producido movimientos inusuales de fondos de la cuenta corriente y ser transferidos a cuentas sospechosas de su control por “ muleros” que la entidad debió detectar. Asimismo la entidad bancaria permitió que se sobrepasara el limite de disposición diario de las cuentas pactado en el contrato. La Sentencia de la Audiencia Provincial de Zaragoza de fecha 14 de mayo de 2013 condenó a BARCLAYS BANK a reintegrar 20.947 € al cliente víctima de phising. La Sentencia señala que la Ley de Servicios de Pago expresa con claridad que, salvo una tardanza injustificada del usuario del servicio de banca electrónica en comunicar la irregularidad de las operaciones, será el banco quien deberá devolverle de inmediato el importe de la operación no autorizada y, en su caso, restablecerá la cuenta de pago en que haya adeudado dicho importe al estado que habría existido de no haberse efectuado la operación de pago no autorizada.Por ello y salvo actuación fraudulenta o negligencia grave del titular de la cuenta, la responsabilidad de la operación es del banco al que corresponde además probar el correcto funcionamiento del sistema informático. La Sentencia de la Audiencia Provincial de Madrid de 4 de mayo de 2015 condenó a CAJAMAR a abonar a la víctima la cantidad de 17.390’35 €.En este caso la víctima facilitó sus claves y contraseñas a una página web clonada que simulaba ser la del banco. La sentencia razona que el artículo 31 de la Ley 16/09 de 13 de noviembre de Servicios de Pago establece un sistema de responsabilidad cuasi objetiva de la entidad proveedora del servicio de pago( en igual sentido la Sentencia de la Audiencia Provincial de Badajoz, Sección 2ª de 7 de febrero de 2013) con inversión de la carga probatoria al presumirse la falta de autorización de la orden de pago o transferencia si el cliente lo niega.

      La citada presunción tan solo cede en los supuestos en los cuales la Ley de Servicios de Pago imputa la responsabilidad de la operación ejecutada por el banco al cliente. Dicha situación se produce cuando el cliente hubiera actuado fraudulentamente o con negligencia grave a la hora de adoptar los medios razonables de protección sobre los elementos de seguridad personalizado que hubieran sido facilitados por el banco ( claves y contraseñas) o en los supuestos de no haber comunicado el cliente a la entidad el pago o transferencia de fondos no autorizada en cuanto tenga conocimiento de estas lo que exige que la entidad disponga de un sistema de comunicación gratuito y disponible en todo momento que permita al usuario efectuar dicha comunicación. Como resumidamente expone la Sentencia de la Audiencia Provincial de Girona de fecha 28 de mayo de 2014, que condenó al Banco de Santander a reintegrar al cliente la cantidad de 7.901,58 € en un supuesto de transferencias no consentidas ordenadas por terceros que se apoderaron fraudulentamente de las claves confidenciales de aquel, con apoyo y cita de la dictada por la Audiencia Provincial de Albacete de fecha 23 de febrero, las disposiciones contenidas en la Ley de Servicios de Pago

      “ establecen un sistema de responsabilidad cuasiobjetiva de la entidad proveedora del servicio de pago…pues en este ámbito de la contratación electrónica, el prestador del servicio deberá reembolsar el importe de la sustracción a su cliente con el que tuviera contratado el servicio de pago electrónico en operaciones no autorizadas por éste, presumiéndose la falta de autorización si lo niega, con las exclusivas salvedades previstas en el art.32 de la hincada ley: que el cliente haya actuado con negligencia grave ( no basta la simple o leve falta de diligencia) en sus obligaciones ( consistentes exclusivamente en aplicar los “ medios razonables de protección” de seguridad personalizados de que vaya provisto, y comunicar el pago no autorizado “ en cuanto tenga conocimiento del mismo”, ex art.27) o haya actuado fraudulentamente ( claro está), amén de una especie de “ franquicia” de 150 euros como máximo para los exclusivos supuestos de extravío o sustracción de los sistemas de acceso ( que incluso no se aplicaría en caso de que el expolio haya tenido lugar después de la comunicación o aviso de la falta de falta de autorización a la entidad proveedora”).

      Estas últimas sentencias ya nos advierten de los supuestos, ciertamente excepcionales, en los cuales la responsabilidad del fraude se imputa al cliente de la entidad bancaria y no a ésta última. En este sentido la Sentencia de la Audiencia Provincial de Sevilla, Sección Quinta, de fecha 26 de mayo de 2014 desestimó la demanda formulada contra BARCLAYS BANK en reclamación de la cantidad de 11.703’05 €. El fundamento de dicha desestimación fue la imputación de responsabilidad al cliente por imprudencia o“ negligencia grave” al haber hecho caso omiso de las advertencias y avisos de seguridad del banco, en particular de aquel que rezaba “ Barclays nunca le pedirá más de una coordenada de seguridad, ni por correo ni en la web”. A pesar de esta advertencia los clientes introdujeron la totalidad de las claves de su tarjeta de coordenadas en una ventana emergente que inmediatamente se abrió en la página web de la entidad bancaria. Por su parte la Sentencia de la Audiencia Provincial de Las Palmas de Gran Canaria de fecha 20 de diciembre de 2012 también desestimó la reclamación frente al BANCO SANTANDER CENTRAL HISPANO, S.A. y lo hace con un argumento alejado de las previsiones analizadas de la Ley de Servicios de Pago que ni tan siquiera cita. Para esta sentencia el banco se limitó a ejecutar una orden de pago ordenada por quien al parecer era su cliente y por ello no incurrió en responsabilidad alguna que le obligase a reintegrar las cantidades transferidas.

      Si bien no existe un pronunciamiento del Tribunal Supremo sobre la interpretación y alcance del régimen de imputación de responsabilidad por órdenes no autorizadas de pago previsto en la Ley de Servicios de Pago, ello no impide afirmar que nuestra jurisprudencia menor se haya inclinado mayoritariamente por establecer un régimen de responsabilidad “objetiva” o “cuasiobjetiva” de las entidades bancarias con desplazamiento de la carga probatoria en los supuestos de fraude por “ phising”, lo que resulta ciertamente favorable al cliente de los servicios de banca electrónica. No obstante, ello no le exonera de adoptar cuantas cautelas sean necesarias a fin de evitar caer en la trampa cada vez sofisticada de los delincuentes que, recuerden, siempre están al acecho.

      © Manuel Carlos Merino Maestre. All Right reserved. Se prohíbe la reproducción total o parcial de este articulo sin permiso expreso del autor.

       

Comment(1)

AÑADE UN COMENTARIO

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Time limit is exhausted. Please reload CAPTCHA.