Las estafas por phishing no terminan nunca y los tribunales tienen que hacer frente cada vez a más casos de ciberdelincuencia por usurpación de identidad. Los phishers suelen usurpar la imagen e identidad de los bancos, con el objetivo de engañar a los clientes para lograr que les entreguen sus credenciales y datos de acceso a las cuentas y productos bancarios. Con esa información sobre la mesa ya pueden llevar a cabo las diferentes operaciones bancarias.
Son muchos los métodos que los estafadores utilizan para llevar a cabo el fraude, aunque el más extendido es el que recurre al SMS o correo electrónico para engañar al cliente de la entidad bancaria. Lo que suele ocurrir es que la víctima recibe un mensaje de texto indicando que ha habido un problema de seguridad en su cuenta bancaria y que debe de entrar en un enlace adjunto para solventarlo.
Al acceder a dicho enlace, la víctima suele encontrarse con una página web prácticamente igual que la del banco. En ese entorno digital y creyendo que está en un lugar seguro, deja sus claves y credenciales. Los phishers ya tienen lo que estaban buscando y pueden comenzar con la segunda parte de la operación, que es la de sustraer las cantidades económicas al usuario engañado.
Cuando los clientes de los bancos se han visto en estas situaciones tan desagradables han acudido a sus entidades a informar de lo ocurrido y han solicitado la devolución del dinero. En un principio los bancos estaban reticentes a devolver el dinero, debido a que consideraban que existe negligencia por parte de la víctima, ya que hace entrega de sus datos privados a un tercero.
¿Cuándo estamos ante una negligencia grave en phishing?
Podríamos pensar que los bancos tenían razón y que es responsabilidad del usuario custodiar sus datos y debería de evitar ponerlos en conocimiento de terceros. Hasta aquí todo bien, pero la realidad es que las víctimas de phishing hacen entrega de esos datos bajo engaños, creyendo que detrás de esa página web está su sucursal bancaria, que sería un entorno de confianza para la persona estafada.
Tras las primeras negativas de los bancos, se interponen las primeras demandas por phishing a las entidades bancarias. Los jueces han sido muy claros y la jurisprudencia no da lugar a error. Los bancos tienen una responsabilidad cuasi objetiva para con los datos de sus clientes. Solo sería responsabilidad de la víctima en el caso de que existiera negligencia grave. Entregar sus credenciales bajo engaños no se considera una negligencia grave según la jurisprudencia actual.
La Ley de los Servicios de Pago (LSP) es una de las que se encuentran detrás de toda esta jurisprudencia ante las estafas por phishing. Esta ley advierte que las operaciones de pago solamente se consideran como autorizadas cuando el ordenante da su consentimiento. Esto implica que, si el cliente niega que haya ordenado dicha operación, el banco debe de practicar la devolución de todo el dinero sustraído.
Si el banco se justifica diciendo que el cliente ha actuado de manera negligente, también debe de demostrar que esto es así. Para ello, es fundamental que muestre que existe autenticación en dos pasos y que las transferencias u operaciones cumplen con todo lo exigido por la legalidad vigente.
En los casos de phishing la negligencia grave es extremadamente complicada de demostrar. La estafa está urdida precisamente para engañar al usuario mediante diferentes técnicas que le hacen creer que está tratando con la entidad bancaria.
Ejemplos
Para que un tribunal considerase negligencia grave en un caso de denuncia por phishing contra la entidad bancaria se tendrían que dar circunstancias extremas (graves) similares es éstas.
- Que el cliente pierda los datos personales y de la cuenta bancaria con las credenciales anotadas al lado (en un post it, por ejemplo).
- Que el diseño de la página web creada por los estafadores sea tan burdo que resulte muy evidente que no se trata de la entidad bancaria y aún así costaría demostrarlo.
Cabe recordar que los phishers trabajan con la intención de hacerse pasar por los bancos y el «éxito» de la operación les van en ello por lo que cada uno de los elementos de la estafa suelen estar trabajados al detalle para suplantar al banco.
Tanto es así que el Tribunal Supremo establece que el phishing es un “engaño bastante” y este tipo de engaños no contemplan la negligencia grave. Por lo tanto, se considera que el phisher estafa al usuario, que entrega sus claves sin ser consciente de que lo hace a un tercero no autorizado. El banco está obligado a custodiar correctamente las claves, las credenciales y los depósitos de sus clientes. Así que ante estafas por phishing son los bancos los que están obligados a devolver todo el dinero robado a las víctimas. Si has sufrido una estafa a través del método phishing ponte en contacto con Sello Legal y cuéntanos tu caso. Nuestro equipo de abogados expertos en phishing y estafas digitales te ayudará a recuperar cada céntimo robado.