Me han vaciado la cuenta mediante un phishing, ¿Qué puedo hacer?
“Me di cuenta cuando fui al cajero y observé un montón de movimientos en mi cuenta corriente que yo no había ordenado, había dos transferencias por importe de 1.000 y 1.200 euros...”; “...habían realizado varias trasferencias a otros bancos, robándome unos 12.000 euros”; “...comprobé el estado de mi cuenta a través de Internet y ví que mi saldo estaba al descubierto, habían realizado una transferencia que yo no había ordenado por importe de 2.432,43 euros”; “Me han robado todos mis pocos ahorros, 3.125 euros. Me dejaron solo 35 euros”...
Cientos de personas ya nos han contado su caso, les han vaciado las cuentas corrientes y no saben que hacer. No entienden qué ha podido ocurrir, los bancos no responden, y las oficinas de consumo no tienen claro cómo hay que actuar ante este tipo de situaciones.
El phishing, es el fraude on-line más complicado con el que se están encontrando las entidades bancarias y sus clientes en los últimos cinco años, porque no está claro quien responde de la desaparición de los fondos.
La Wikipedia define el phishing como “un tipo de delito encuadrado dentro del ámbito de las estafas y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria).
El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas”. Según esto, parece que es el cliente del banco quien siempre resulta engañado para entregar las claves de sus cuentas a los estafadores, y por tanto, quien debería responder de lo que ocurre con los fondos que hay depositados en ellas. Este es el principal argumento de los bancos cuando sufren phishing, sin embargo, la Comisión de Seguridad de la Asociación de Internautas recibe cada día decenas de correos que preguntan qué hacer ante una cuenta corriente vacía, que ha sufrido dos o tres transferencias sin que sus titulares las hubiesen ordenado y, casi siempre, recalcando en el relato que no han recibido ningún correo sospechoso pidiéndoles las claves, ni han realizado consultas on-line a su cuenta desde ordenadores compartidos o públicos.
La realidad es que los ataques directos a los bancos también existen, las manipulaciones informáticas de sus sistemas de seguridad, que ponen de manifiesto las vulnerabilidades de la banca on-line, están a la orden del día. ¿Cómo se explica si no que los usuarios de unos bancos se vean más afectados que los de otros? ¿Son unos usuarios más imprudentes que otros? No parece factible. Para entender el papel del responsable de las consecuencias de un phishing, debemos tener en cuenta que al abrir una cuenta bancaria se está celebrando un Contrato de Depósito Irregular, con obligaciones y deberes tasados por Ley, donde el depositante es el usuario y el depositario es el banco: (art. 306 CCo.) – “El depositario está obligado a conservar la cosa objeto del depósito según la reciba, y a devolverla con sus aumentos, si los tuviere, cuando el depositante se la pida.
En la conservación del depósito responderá el depositario de los menoscabos, daños y perjuicios que las cosas depositadas sufrieren por su malicia o negligencia, y también de los que provengan de la naturaleza o vicio de las cosas, si en estos casos no hizo por su parte lo necesario para evitarlos o remediarlos, dando aviso de ellos además al depositante inmediatamente que se manifestaren”.. Con todo ello tenemos que el banco (depositante) es quien debe guardar los fondos de sus clientes y por tanto quien debe responder de ellos. Si esta entidad sufre directamente un ataque a su sistema de seguridad informática, si resulta ser víctima de la estafa, entonces le corresponderá exigir la responsabilidad civil subsidiaria derivada del delito a los estafadores. Los clientes quedan al margen de la investigación del delito y, deben recuperar su dinero directamente del depositario (de la entidad bancaria) sin discusón ni demora ninguna.
Hay otra posibilidad, que es considerar que el estafado es el cliente del banco. En estos casos, igualmente el banco debe responder ante él, porque tiene por ley esa responsabilidad civil subsidiaria, por la/s negligencia/s cometida/s por sus empleados o, en los casos de banca on-line, los sistemas informáticos que gestionan su actividad económica: (art. 120.3 CP).
Las personas naturales o jurídicas, en los casos de delitos o faltas cometidos en los establecimientos de los que sean titulares, cuando por parte de los que los dirijan o administren, o de sus dependientes o empleados, se hayan infringido los reglamentos de policía o las disposiciones de la autoridad que estén relacionados con el hecho punible cometido, de modo que éste no se hubiera producido sin dicha infracción.” ¿Por qué entonces tantos usuarios de banca on-line afectados por phishing, tardan meses o años en recuperar su dinero? Los bancos no reconocen nunca que su sistema de banca on-line no es seguro porque les supondría pérdidas millonarias y un notable desprestigio. Esto se traduce en no realizar ni un solo acto que pudiera significa que aceptan sus errores sin antes pelearlo, es decir, prefieren repercutir la responsabilidad de la custodia de claves y fondos en sus clientes, dejando en sus manos la denuncia de la estafa y la investigación del delito para recuperar su dinero.
Los bancos responden que su seguridad es infalible y que lo más probable es que el cliente haya sido engañado y negligente. Es cierto que esto puede ocurrir, pero no siempre es así, las denuncias nos suelen llegar en bloques, por banco afectado, y es difícil creer que haya tantos internautas que se aventuren a utilizar la banca on-line sin haberse informado antes y haber adoptado unas mínimas cautelas. Conclusión: David y Goliat ante el juez.
Parece que las entidades bancarias han optado por proteger su imagen y que sea un juez el que determine en cada caso quién debe responsabilizarse del phishing, quien ha sido negligente en el cuidado de las claves, el banco o el usuario. Los forenses informáticos tienen mucho trabajo por delante...
Asociación de Internautas - Defensor del Internauta : defensor@internautas.org
---------------------------------- Consejos si usted fue victima de este tipo de engaño,
1.- Actué rápido.
2.- Cambien las claves privadas por unas nuevas.
3.- Notifique lo antes posible la incidencia a su entidad, no espere a mañana llame de inmediato.
4.- Denuncie el fraude a las Fuerzas de Seguridad del Estado.
----------------------------------