El phishing y la responsabilidad de los bancos
Los bancos no pueden escurrir el bulto ante los crecientes fraudes tecnológicos ni lavarse las manos porque sus clientes piquen y faciliten sus contraseñas. Algunas sentencias han comenzado a avalar este principio, pero pocas con la contundencia de la Audiencia de Badajoz en una resolución firme y que condena a Unicaja.
M.A., una vecina de Zafra (Badajoz), recibió un mensaje que su teléfono identificó como de Unicaja: “A partir del 23 de febrero del 2022 no puedes utilizar tu tarjeta. Tienes que activar el nuevo sistema de seguridad online en este enlace”. La mujer lo hizo e introdujo sus claves. Y acto seguido… Más de 3.440 euros se volatilizaron de su cuenta corriente. Es un phishing de manual, contra el que alertan los bancos, que recuerdan que jamás piden contraseñas o datos clave por teléfono o correo electrónico. Los piratas informáticos, sin embargo, disfrazan cada vez mejor sus engaños. Las entidades se escudan entonces en que los clientes hicieron “un mal uso de sus claves”.
Esta sentencia, sin embargo, rebate ese argumento con cuatro palabras: “Hay responsabilidad del banco”. La resolución condena a la entidad al pago de las costas y obliga a devolver a la clienta la cantidad estafada. Su abogada calificó a su clienta “como una simple consumidora sin conocimientos financieros”. Resulta “casi imposible que alguien así se dé cuenta del fraude o detecte la simulación”.
La sentencia recuerda que “los medios digitales se han implantado en el negocio bancario”. Agrega que “el auge de las entidades financieras se explica justamente por el abandono cada vez mayor de la presencialidad: la banca digital ha permitido un crecimiento exponencial de los servicios con un enorme ahorro de costes”, por lo que los bancos “tienen la doble condición de beneficiarios y generadores del riesgo”.
“No basta con medidas genéricas de protección o avisos estereotipados de cuidado”, subraya el tribunal, que señala el problema y el remedio: “La seguridad de las operaciones precisa de una o de dos soluciones tecnológicas avanzadas con el fin de garantizar tanto la autenticidad como la integridad y la confidencialidad de los datos”. El ponente admite que el objetivo de los estafadores es hurtar las claves.
Pero “la responsabilidad del banco, que no es un convidado de piedra, no se agota con facilitar unas contraseñas y confiar en la providencia”. Tampoco se puede apelar “al sálvese quien pueda”. Unicaja “achaca al usuario haber pinchado en el enlace, como si fuera un crimen”. Y la sentencia replica que antes de llegar a eso “hay una cascada de recursos y medios que, al menos en este supuesto, la entidad no agotó”.
Hacen falta “comunicaciones más seguras, más formación a los clientes, más inversión en seguridad para evitar la clonación de páginas y, si es necesario, bloquear las cuentas para la mejor protección de los usuarios” porque “el mero hecho de ser engañado, de ser una víctima, no implica la comisión de una grave negligencia”.
Los ciberdelincuentes, concluye la Audiencia, son “cada vez más astutos” a la hora de suplantar la identidad de las entidades bancarias. Pero el ciudadano “confía en que sus ahorros están más protegidos en el banco que en su casa. En fin, la víctima no puede ser el cliente. Será en todo caso el banco (…) salvo ante engaños patentes o burdos, lo que no es aquí el caso”.
En FFACT, en el apartado TO THE EXCELLENCE encontrará un interesante cuestionario de 40 preguntas sobre «el disponible» que le ayudará a reflexionar sobre este importante tema.
Feliz semana a tod@s.