¿Qué es el Phishing?
El Phishing es un fraude que se origina con la suplantación de identidad del banco por parte del phisher (el delincuente) con la finalidad de adquirir información confidencial sobre contraseñas de cuentas bancarias, o cualquier otra información en relación con el banco, que permita entrar en las cuentas de los usuarios en Internet de banca electrónica.
La víctima recibe una llamada, un correo electrónico, un sms o cualquier tipo de mensaje instantáneo en el que le dice que debe cambiar sus claves bancarias y le facilita un link a través del cual realizar la modificación aconsejada.
Lo importante de todo esto, es la verdadera apariencia de entidad bancaria que tiene tanto la llamada, el correo, sms, … así como el link donde debe modificar las contraseñas o incluso es en la propia app real del banco.
¿Cuál es la forma de estafa más frecuente?
El fraude se comente a través de los medios de pago del usuario, por ejemplo mediante la tarjeta de crédito o débito o mediante una transferencia bancaria desde su cuenta.
Una modalidad de phishing consiste en enviar un mensaje al usuario, que le insta a seguir un enlace a una página web fraudulenta, que clonando la de la Entidad Bancaria, le pide una serie de datos personales como DNI, claves de acceso personal, número de tarjeta de crédito y contraseñas.
Otra modalidad de phishing sigue una operativa similar. El usuario, a través de un buscador de internet, accede a una página web que suplanta la identidad de la Entidad Bancaria, e introduce sus datos personales en la confianza de que está accediendo a la banca online de su legítimo titular.
En ambos casos el usuario piensa que está operando a través de la página web de su Entidad Bancaria, pero en realidad es una clonación idéntica difícilmente identificable, con lo que el usuario fácilmente puede caer en el fraude.
Una vez que el Phiser dispone de los datos personales de los usuarios está en disposición de acceder a su banca digital y, usando sus claves y contraseñas, opera desde su cuenta haciendo transferencias, vendiendo valores, realizando compras con tarjetas de débito o crédito, o realizando disposiciones de efectivo a través de Cajeros Automáticos.
¿Qué hace el phiser una vez tiene los datos bancarios que quería?
- Realiza pagos con tarjeta: En este caso, los pagos dejan un rastro y se sabe en qué comercio se han realizado las compras. El banco puede verificar si las compras han sido autorizadas o no. En caso de que no hayan sido autorizadas se puede pedir que se devuelva el dinero.
Normalmente también lo que se hace una transferencia a través de empresas de envío de dinero para obtener tu dinero en una cuenta de su titularidad. - Sacar dinero del cajero: En este caso no hay forma de rastrear el dinero.
- Transferencias: El banco se puede dirigir al banco destinatario de la transferencia para pedirle que la retrotraiga (que la deje sin efecto). Pero el banco de destino tiene que autorizar la retrocesión. Si el cliente del banco de destino no autoriza la retrocesión o el dinero ha sido nuevamente transferido a una tercera cuenta, no va a autorizarla, que es lo que suele pasar.
¿Cuáles son las responsabilidades del usuario?
A los usuarios se les impone 3 obligaciones:
- Usar el instrumento de pago de conformidad con las condiciones pactadas en el contrato.
- Tomar las medidas razonables para proteger sus credenciales de seguridad.
- Notificar sin demora indebida el extravío, la sustracción, la apropiación indebida o la utilización no autorizada.
¿Y a las entidades bancarias?
La Directiva de Servicios de Pago (DSP2) obliga a las entidades bancarias a que las órdenes de pago se realicen mediante una autenticación reforzada (Arts. 97 y 98) o lo que es lo mismo: que la operación esté validada (a) con la clave personal y, además, (b) con un factor biométrico (p.e. la huella dactilar) o una clave aleatoria generada en cada operación, que debe ser enviada al usuario para revalidar la operación (doble factor de autenticación/seguridad).
Lo más importante es que la legislación establece que las operaciones de pago sólo se consideran autorizadas cuando el ordenante haya dado su consentimiento (Art. 36 LSP), por lo que si el usuario niega haber autorizado una operación, el banco debe devolverle de forma inmediata el importe de la operación (Art. 45 LSP).
Por tanto, ¿cuándo se entiende autorizada una orden de pago?
Cuando el cliente autoriza de forma expresa y consciente la orden de pago, ya sea ordenándola él mismo, ya sea autorizando de forma expresa y consciente a un tercero para que la ordene en su nombre.
En los casos de phishing, el cliente facilita a un tercero las credenciales de seguridad. Una vez que lo ha hecho, el phisher ordena los pagos. Sin embargo, el cliente no le facilita las credenciales de seguridad de forma libre y consciente, sabiendo que ese tercero (phisher) va a ordenar un pago, sino que lo hace de forma viciada, movido por un engaño. Por ese motivo, hay un vicio en la voluntad del cliente que anula su consentimiento. O mejor dicho, más que anular, no existe consentimiento, porque no sabía que le facilitaba las claves a un tercero (pensaba que lo hacía al banco), con lo que no hay consentimiento del cliente para ordenar esos pagos. Por lo que, el Banco debería hacerse responsable del dinero sustraído y devolvérselo al cliente.
¿Suelen devolver los bancos el dinero?
Es frecuente que el banco se oponga inicialmente a devolver el dinero, y alegue que ha habido negligencia por parte del usuario, que no ha llevado a cabo las medidas necesarias para proteger sus contraseñas o que no ha notificado inmediatamente el extravío, la sustracción, la apropiación indebida o que la operación fue autentificada, registrada y contabilizada.
De hecho, Ley de Servicios de Pago establece que el usuario deberá soportar las pérdidas de la operación cuando haya incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, alguna de las obligaciones que le incumbe (Art. 46). Sin embargo, debe ser la Entidad Bancaria quien demuestre la negligencia grave del usuario.
Por lo que, si has actuado correctamente, no hay de que preocuparse, ya que deberá ser el banco el que demuestre lo contrario.
Además, la jurisprudencia suele resolver a favor de los usuarios, porque la negligencia grave “consiste en no proceder ni siquiera con la más elemental diligencia” o en “la más grave falta de diligencia, no hacer lo que todos hacen, no prever lo que todos prevén”, y en la mayoría de las ocasiones el usuario es objeto de un fraude con capacidad para engañar a una generalidad de personas y por tanto no se considera que actúe con grave negligencia.
Por lo que, ya sea extrajudicial o judicialmente hay muchas probabilidades de recuperar el dinero.
¿Qué debe hacer un usuario que ha sido objeto de este tipo de fraudes?
- Informar a la entidad bancaria, para que bloquee el medio de pago y emita unas nuevas credenciales de seguridad.
- Interponer una denuncia ante la Policía Nacional, detallando el método usado para la comisión del fraude. Es importante conservar los mensajes recibidos del Phiser, en orden a poder acreditar cómo se cometió el fraude, cómo se inició la orden de pago y la falta de consentimiento de la orden.
- Presentar una reclamación escrita a su Entidad Bancaria, requiriéndoles para repongan su cuenta al estado que tenía con anterioridad a las operaciones, reintegrándole el importe de las operaciones que no ha autorizado.
- En caso de que no atiendan a la reclamación escrita o se opongan a ella, contactar con nosotros y lo reclamaremos en su nombre. Primero vía extrajudicial y, si no tuviera éxito esta vía, judicialmente.
¿Has sufrido un caso de phishing? Ponte en contacto con nosotros y estudiaremos tu caso para intentar devolverte lo que te pertenece.
Tenemos un equipo especializado en defender tus derechos, desde reclamar al banco por ser víctima de phishing hasta 15
O rellena nuestro formulario para que nos pongamos en contacto contigo.
Conoce todos nuestros servicios en www.moyaemery.com