PHISHING.¿QUÉ ES? Y EJEMPLOS

phising, qué es

¿Qué es el phishing?

El Instituto Nacional de Ciberseguridad de España   describe el Phising como una técnica utilizada por ciberdelincuentes para obtener información personal y bancaria de los usuarios, por medio de la cual se envían mensajes suplantando a una entidad legítima, como puede ser un banco, para engañarles y manipularles a fin de que realicen una acción que ponga en peligro sus datos.

Normalmente el fraude se inicia con un mensaje (e-mail, SMS, …) que tiene por objetivo asustar al usuario, instándole a actuar según las indicaciones del mensaje, para que facilite sus datos bancarios personales.

HE SIDO SUJETO DE UN FRAUDE. ¿COMO PUEDO RECLAMAR EL DINERO QUE ME HAN SUSTRAIDO A TRAVÉS DE LA TARJETA DE CRÉDITO?

En los últimos meses hemos recibido numerosas consultas de diferentes personas físicas y empresas que se quejan ya que, a través de phishing u otros métodos delictivos, quieren reclamar el fraude sufrido en la cuenta corriente o tarjetas de crédito, desde las que los delincuentes han realizado transferencias o cargos, en muchas ocasiones por importes muy elevados, sin su autorización o consentimiento.

La mayoría de veces, cuando se acude a su entidad bancaria a reclamar, se rellenan formularios, te indican que vayas a  interponer la denuncia ante la policía, y después recibes la carta con la respuesta de que no son responsables.

Así que pese a ser claras víctimas de un delito de estafa, los bancos declinan toda responsabilidad y rechazo de la devolución de los importes que os han sido sustraídos, indicándote que las operaciones han sido correctamente autenticadas con su PIN.

En ABOGADO PIQUERAS te ayudamos. Así que sigue leyendo y verás cómo puedes reclamar el fraude sufrido en la cuenta corriente o tarjetas de crédito, a través de phishing u otros métodos delictivos, a tu entidad bancaria.

Te vamos a explicar por qué el banco es responsable de la devolución de dichos importes.

¿Qué es una operación de pago no autorizada?

Por un lado está la Ley de Servicios de Ley 16/2009 (LSP), de 13 de noviembre, que está derogada y la normativa vigente es el Real Decreto-ley 19/2018, de 23 de noviembre  de servicios de pago y otras medidas urgentes en materia financiera, puesto que tanto las transferencias como las tarjetas de crédito se tratan de “medios de pago”.

El titular de la tarjeta de crédito o de la cuenta corriente se denomina en la Ley “usuario de servicios de pago”, siendo la entidad bancaria “proveedora de servicios de pago”.

Así mismo, el concreto texto legal aplicable a la reclamación será el que estuviera vigente en el momento de la contratación del medio de pago, esto es, en la fecha del contrato de tarjeta de crédito o el de apertura de cuenta corriente.

No obstante, el RDL 19/2018 dispone que, para los contratos que se hallaran en vigor antes de la aprobación de dicha ley, se aplicarán las disposiciones de carácter imperativo que resulten más favorables para los consumidores o microempresas (disposición transitoria quinta)

Cuando hablamos de “operación de pago no autorizada”, nos referimos a aquélla a la que la persona que ordena la autorización, es decir, el titular de la cuenta o de la tarjeta no ha prestado su consentimiento.

Así que, si terceras personas han accedido a nuestras claves de banca por internet, datos de la tarjeta etc. de forma fraudulenta (por ejemplo, a través de un phishing) y, debido a ello, nos han sustraído o se han apropiado de determinadas cantidades, se trata de una operación de pago no autorizada.

Según el Banco de España, una transferencia se considera autorizada cuando el ordenante ha dado su consentimiento para su ejecución.

Entonces, ¿cuándo nos encontramos ante una transferencia no autorizada? ¿Y ante una ejecutada incorrectamente? El mismo Banco de España, en su página web, conteta a esa pregunta indicando que “Estaríamos ante una transferencia no autorizada en el caso de que la operación no haya sido consentida por el ordenante, sino que habría sido ordenada por un tercero no autorizado.” 

Si, como cliente no reconoces la autoría de la operación de pago, ni la falta de diligencia en el cumplimiento de tus obligaciones de custodia —tarjeta de coordenadas, etc.—, tu banco deberá reembolsarte de inmediato los fondos detraídos, salvo que pueda acreditar que se actuó de manera fraudulenta o incumpliendo, de manera deliberada o por negligencia grave, las obligaciones que te incumben; y ello con independencia de que la entidad pueda llevar a cabo, una vez efectuado el reembolso, las investigaciones que estime oportunas en defensa de sus legítimos. Podemos verlo en el siguiente enlace

La jurisprudencia suele dar la razón a los usuarios.

Como se expone en la SAP de Alicante, Sec. 8ª, nº 107/2018, de 12/3/2018

1º.) El proveedor de los servicios de pago (la Entidad Bancaria) “debe implementar las medidas necesarias para asegurar la autenticación e identidad del ordenante a la hora de prestar su consentimiento. Por ello y para su ejecución, el banco debe comprobar en todo caso la autenticidad de la orden”;

2º.) “La falsedad de la transferencia (es decir, que el ordenante no sea el titular de la cuenta) es un riesgo a cargo del banco porque, en principio, el deudor sólo se libera pagando al verdadero acreedor por lo que si el banco cumple una orden falsa, habrá de reintegrar en la cuenta correspondiente las cantidades cargadas”.

3º.) “La responsabilidad en estos supuestos no puede atribuirse directamente al supuesto ordenante de la transferencia por entenderse ésta autorizada al haberse realizado de acuerdo con los sistemas de autenticación del banco. Los sistemas de autenticación se establecen por los proveedores de servicios de pago y si un banco no ha sido capaz de limitar el acceso al canal de banca electrónica no puede pretender que el presunto ordenante víctima de esta práctica fraudulenta sea el único responsable, pues es el banco quien tiene responsabilidad respecto del buen funcionamiento y la seguridad del mismo”.

4º.) “Las medidas de seguridad no solamente están destinadas a proteger la seguridad de las órdenes de pago emitidas por los clientes sino que su eficacia exonera a las entidades de crédito de sus responsabilidad frente a las órdenes de pago no emitidas por sus clientes de tal forma que el incumplimiento de este específico deber de vigilancia da lugar a una responsabilidad por “culpa invigilando” o responsabilidad objetiva por el mal funcionamiento de los servicios de banca electrónica”.

EJEMPLOS DE PHISING

Los ciberdelincuentes, utilizan diferentes maneras para poder obtener los datos de tu cuenta, te enumero los más habituales, aunque desgraciadamente suelen utilizar muchos más. Vamos a analizar algunos ejemplos de las técnicas de phishing que más se repiten:

  • Cuentas suspendidas, Algunos mensajes de phishing parecen notificarle que su banco ha suspendido temporalmente su cuenta debido a una actividad inusual. Si recibe un correo electrónico donde se le informa de la suspensión de una cuenta en un banco que no es el suyo, elimínelo sin pensárselo dos veces. En caso de que sea su Banco el que simula quién le envía el mensaje, y no está seguro, póngase directamente en contacto con el banco antes de hacer clic.

 

      • Autenticación de dos factores, esta técnica de autenticación de dos factores se ha convertido en algo muy habitual, por lo que es probable que esté acostumbrado a recibir correos electrónicos que le piden que confirme sus datos de acceso con códigos numéricos de seis dígitos. Los estafadores también saben que este tipo de autenticación hoy en día es la norma y podrían aprovecharse de este servicio que supuestamente protege su identidad. Si recibe un correo electrónico en el que se le pide que se conecte a una cuenta para confirmar su identidad, le recomendamos lo dicho en el punto anterior, o bien elimine el mensaje,  y, si piensa que es su Banco, póngase en contacto con él antes de clicar nada.
      • ·         Devoluciones de impuestos,  los estafadores aprovechan los meses de la declaración de la renta para enviar correos electrónicos haciéndose pasar por la Agencia Tributaria. No se fíe de los mensajes que le informan de ingresos inesperados en efectivo y menos aún de los correos electrónicos que supuestamente le envía la Agencia Tributaria, ya que este organismo solo se pone en contacto con los contribuyentes mediante correo postal. Las estafas de phishing asociadas a la devolución de impuestos son especialmente peligrosas, ya que suelen pedirle su número de la Seguridad Social y los datos de su cuenta bancaria.
      • ·         Confirmaciones de pedidos. Otra de las estafas más frecuentes es la de la confirmación de pedidos de supuestas compras. Se trata de mensajes que suelen contener “recibos” adjuntos al correo electrónico o vínculos que dicen contener más información sobre su pedido. Los hackers suelen utilizar estas vías para colarse en el dispositivo de la víctima e infectarlo con malware.

En fin, hay muchos más, pero estos son los más habituales en el día a día de las reclamaciones bancarias.

¿Qué hago si he sufrido Phishing  o cualquier tipo de fraude?

El artículo 41 de la normativa vigente, nos habla sobre las obligaciones del usuario del usuario de servicios de pago en relación con los instrumentos de pago y las credenciales de seguridad personalizadas.

Obligaciones del usuario de servicios de pago en relación con los instrumentos de pago y las credenciales de seguridad personalizadas.

El usuario de servicios de pago habilitado para utilizar un instrumento de pago:

a) utilizará el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago que deberán ser objetivas, no discriminatorias y proporcionadas y, en particular, en cuanto reciba un instrumento de pago, tomará todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas;

b) en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, lo notificará al proveedor de servicios de pago o a la entidad que este designe, sin demora indebida en cuanto tenga conocimiento de ello.

Nuestra obligación como usuarios de servicios de pago, en cuanto nos demos cuenta de que han accedido sin nuestra autorización a nuestra cuenta corriente o nos han realizado cargos no autorizados en la tarjeta de crédito, es comunicarlo a la mayor brevedad posible a nuestra entidad bancaria por el medio que tenga establecido para ello (por teléfono, banca por internet…).

Por otro lado, la entidad tiene obligación, conforme a lo establecido en el artículo 42 de poner a disposición de los usuarios “medios adecuados y gratuitos que les permitan efectuar la notificación”.

Aún con todo y con eso, el Banco no devuelve las cantidades defraudadas, y los clientes nos preguntan por qué no les devuelven las cantidades defraudadas cuando es evidente que han sido víctimas de una estafa, por qué la entidad bancaria les niega la devolución de los importes que les han sido sustraídos.

Las entidades, normalmente lo que hacen es  una interpretación de la ley, algo que va  en contra del espíritu de la misma, indicando, según dispone el artículo 44 LSP, que “la operación de pago fue autenticada, registrada con exactitud y contabilizada y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago”.

Por lo que indica el banco, es que al realizar la comprobación de la operación observa que se ha realizado introduciendo las claves de seguridad de la tarjeta o de la banca online, caso de la transferencia a través de cuenta corriente, y, por ende, rechaza de forma automática su responsabilidad.

Tal actuación, como hemos observado, es contraria a las buenas prácticas bancarias y a la legislación vigente ya que, si hemos sido víctimas de una estafa informática, los delincuentes (por medios extremadamente avanzados tecnológicamente) habrán tenido acceso a toda esa información y las operaciones habrán sido correctamente autenticadas, pero ello no implica que el usuario no haya sido víctima de un fraude y se hayan realizado operaciones de pago no autorizadas de las que ha de responder la entidad.

También, en otras ocasiones las entidades alegan que el usuario del servicio de pago ha sido negligente en el cumplimiento de sus obligaciones (es decir, que no ha custodiado con diligencia sus credenciales de seguridad) o, incluso, que pudiera haber incurrido en fraude como causa de exclusión de su responsabilidad.

Si la entidad bancaria rechaza tu reclamación al SAC por las operaciones fraudulentas, ¿Qué puedes hacer?

Nuestra experiencia en estos casos, es que la entidad bancaria no da una respuesta favorable a los clientes, que tras haber sufrido un saqueo en su cuenta bancaria, ésta le indica que como no ha habido ningún error por su parte,  no se hacen responsables.

Abogado expertos en reclamaciones por operaciones no autorizadas, fraudes por internet, estafas informáticas etc. para que intercedan en vuestro nombre frente al bando y, en su caso, interponer una demanda en contra de tu entidad bancaria por responsabilidad de los daños y perjuicios ocasionados por esas operaciones de pago no autorizadas.

Te asesoraremos y ayudaremos en tu reclamación para que recuperes tu dinero.

CONTACTA CON NOSOTROS


    Acepto la política de privacidad

    * Campos obligatorios.Para ejercer sus derechos de oposición, rectificación o cancelación deberá dirigirse a la sede de la empresa en Paseo de la Independencia, nº 22,7 ª planta. 50004. Zaragoza, escribirnos al siguiente correo hola@abogadopiqueras.es o llamarnos al número de teléfono 976361283, datos cuidados por Francisco Piqueras, abogado 6868 del Reicaz. Sus datos se usarán con el fin legítimo de contestar a su consulta. Click para saber más sobre cómo trataremos tus datos personales:[RGPD]

    Mails comerciales. Acepto recibirlos