Una de las modalidades de estafa más comunes últimamente a usuarios de entidades bancarias en el ámbito digital es el phishing. Este fenómeno proviene del inglés que de su traducción literal significa acción de pescar, nombre que resulta muy gráfico por el modo de picar el anzuelo que tienen los consumidores ante este tipo de delitos. Se podría definir como un delito informático por el cual el defraudador suplanta la identidad del banco para conseguir mediante el engaño acceder a información confidencial del cliente o sustraer cantidades dinerarias a través del envío de correos electrónicos. Este delito se encuentra enmarcado en el art.248 del Código Penal:
“por los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro.”
Generalmente, en este tipo de estafas la víctima recibe un email que aparentemente es de su entidad bancaria, donde se le pide que cambie sus datos personales o facilite información personal; siendo otra de las formas de actuación el enlace a una web que aparentemente es la web de tu banco pero no lo es, momento en el que se sustrae información de la cuenta bancaria como el nombre de usuario y la contraseña.
Ante esta situación cabe preguntarse: ¿los usuarios de entidades bancarias tienen alguna opción de poder recuperar su dinero? Pues sí, y los responsables de recuperar el dinero por asombroso que pueda parecer son las entidades bancarias.
Reclamación a entidades bancarias
El marco legal que permite la reclamación de la cantidad estafada a los usuarios de banca se encuentra en el Real Decreto Ley 19/2018 de Servicios de pago y otras medidas urgentes en materia financiera con motivo de la trasposición de la Directiva (UE) 2015/2366 del Parlamento y del Consejo.
En este sentido ha de tenerse en cuenta lo dispuesto en el art. 36 de la citada ley en la que se recuerda que “las operaciones de pago se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución” y “a falta del consentimiento la operación de pago se considerará no autorizada.” Este precepto tiene suma importancia ya que está unido al art. 45 que recuerda que “en caso de que se ejecute una operación de pago no autorizada de inmediato, y en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que se haya observado o se le haya comunicado la notificación tendrá que devolver la cantidad extraída el proveedor de servicios de pago (el banco).
Pero la responsabilidad bancaria no queda ahí, ya que estas entidades deben disponer de mecanismos de supervisión de las operaciones que les permitan detectar transferencias de pago no autorizadas o fraudulentas. Es decir, que los bancos deben poder detectar que los elementos de autenticación han sido comprometidos o sustraídos, así como que tendrán que detectar señales de infección de programas informáticos. Así lo recoge el fragmento de la sentencia de la Audiencia Provincial de Alicante de 12 de marzo de 2008:
“la responsabilidad del proveedor de los servicios de banca online es de riesgo y consecuentemente, es por ley que a la entidad corresponde acreditar que la operación ordenada sí fue auténtica y que no estuvo afectada por un fallo técnico o por otra deficiencia como, por ejemplo, por un ataque informático de naturaleza fraudulenta al sistema bancario que hubiera permitido el acceso a las cuentas de sus clientes y disponer ilícitamente, de las mismas ordenando operaciones en detrimento de aquellos…Las medidas de seguridad no solamente están destinadas a proteger la seguridad de las órdenes de pago emitidas por los clientes sino que su eficacia exonera a las entidades de crédito de sus responsabilidades frente a las órdenes de pago no emitidas por sus clientes de tal forma que el incumplimiento de este específico deber de vigilancia da lugar a una responsabilidad por ”culpa in vigilando” o responsabilidad objetiva por el mal funcionamiento de los servicios de banca electrónica.”.
Para finalizar, cabe añadir que entre las obligaciones del usuario afectado de acuerdo al art. 43 de la ya mencionada ley está el deber de notificar lo ocurrido para que haya una rectificación por parte del proveedor de servicios de pago, dentro del plazo máximo de 13 meses.
