Villapún&Mata - Abogados en Alcalá de Henares, Madrid y Guadalajara

Derecho bancario / Derecho de consumo

Reclamaciones bancarias por phishing o cargos fraudulentos

 

   Debido a la generalización del uso de internet, en nuestro despacho de abogados en Alcalá de Henares, cada vez observamos con mayor frecuencia estafas y defraudaciones en las que las víctimas son los clientes y usuarios de los servicios de banca electrónica.

   Uno de los más habituales es el phishing, pero pueden existir muchos tipos de defraudaciones tales como transferencias no autorizadas, extracciones de dinero en cajeros, duplicación de tarjetas u obtención de préstamo a través de mecanismos de suplantación de identidad.

¿Qué es el phishing? 

   «Phishing» es un concepto informático que denomina el uso de un tipo de fraude caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria).

    El estafador, conocido como «phisher», envía a numerosas personas correos electrónicos masivos en los que se hace pasar por una empresa de confianza (por ejemplo, una entidad bancaria, o una compañía telefónica, etc); otras veces lo hace mediante la creación de páginas «web» que imitan la página original de esa entidad bancaria o empresa de reconocido prestigio en el mercado; en ocasiones también se realiza por medio de llamadas telefónicas masivas realizadas a numerosos usuarios en las que se simula ser un empleado u operador de esa empresa de confianza.

   En todo caso, siempre se trata de una aparente comunicación «oficial» que pretende engañar al receptor o destinatario a fin de que éste le facilite datos bancarios o de tarjeta de crédito, en la creencia de que es a su entidad bancaria o a otra empresa igualmente solvente y conocida a quien está suministrando dichos datos.

   Finalmente, en otras ocasiones el sistema consiste simplemente en remitir correos electrónicos o SMS (Smishing) que inducen a confianza (simulando ser de entidades bancarias, etc) que cuando son abiertos introducen «troyanos» en el ordenador o teléfono móvil del usuario, susceptibles de captar datos bancarios cuando este realiza pagos en línea.

   En todo caso, fuere cual fuere el «modus operandi» elegido, el objetivo del defraudador son clientes de banco y servicios de pago en línea y conseguir las credenciales de acceso a los servicios online de la banca electrónica.

Deber de autenticación reforzada

   Las entidades bancarias están obligada a reforzar la autenticación en las operaciones financieras en línea y pagos electrónicos.

   Consiste en que el cliente debe identificarse con al menos dos elementos de entre los siguientes:

a) Conocimiento: algo que el cliente conoce, como una contraseña o un PIN.

b) Posesión: algo que el cliente posee, como una tarjeta de débito o un teléfono móvil.

c) Inherencia: algo inherente al cliente, como su huella dactilar o el reconocimiento facial.

   Esta medida se basa en la normativa europea PSD2 (Segunda Directiva de Servicios de Pago), que entró en vigor en septiembre de 2019. 

   El objetivo de esta medida es reforzar la seguridad, la transparencia y la eficiencia de los servicios de pago en la Unión Europea para reducir el riesgo de fraude.

   Todas las entidades bancarias están obligadas a aplicar la autenticación reforzada en la mayoría de las operaciones que realicen sus clientes, salvo algunas excepciones como la consulta del saldo o el pago de pequeñas cantidades. Además, deben informar a sus clientes sobre los métodos de autenticación disponibles y las condiciones de uso.

   Es por ello que no basta con que las entidades bancarias avisen de forma genérica, sino que tienen que implementar sistemas y medidas de seguridad tendentes a impedir las disposiciones fraudulentas.

   De igual forma, las entidades bancarias deberían implementar algoritmos y protocolos de seguridad que deberían activarse de inmediato cuando se está intentando disponer fraudulentamente de fondos de los clientes bancarios (P.ej. compras inhabituales por medio de tarjeta bancaria en establecimientos en el extranjero, pagos inhabituales por alto valor, intentos repetidos de transferencias por altos importes a múltiples cuentas bancarias abiertas recientemente, etc..)

Reclamación a la entidad bancaria.

   Ante un cargo fraudulento, el cliente o usuario de banca debe actuar rápidamente, aconsejando:

1) Bloquea de inmediato tu tarjeta. Así será imposible que otra persona pueda utilizar tu tarjeta. Debes contactar para ello con la entidad bancaria, bien presencialmente o por teléfono en el número gratuito facilitado por el Banco. No devuelvas nunca ninguna llamada recibida supuestamente del Banco.

2) Cambia las credenciales de seguridad de acceso a los servicios de banca online. Si el fraude se hizo mediante un mensaje malicioso o un enlace en el que te solicitaron tus datos personales o bancarios (phishing o smishing), debes cambiar tus contraseñas y claves de acceso de lo antes posible para evitar que puedan volver a acceder a tu cuenta bancaria.

3) Solicita a la entidad bancaria la cancelación de las órdenes de pago ejecutadas fraudulentamente.

4) Presenta denuncia ante la Policía o Guardia Civil relatando los hechos acontecidos lo más exactamente posible y conservando copia justificativa de la denuncia interpuesta.

5) Solicita a la entidad bancaria copia del contrato de acceso a los servicios online de la entidad bancaria, y en su caso, contrato de la tarjeta bancaria usada en el fraude. Igualmente, solicita que te certifiquen los cargos no autorizados.

   Será necesario interponer una reclamación ante la entidad bancaria, siendo lo más aconsejable que la reclamación sea supervisada o redactada por abogado.

   Si la entidad bancaria no atiende la reclamación, amparándose en una supuesta negligencia por parte del cliente, debes conocer que existe una normativa (RDL 19/2018 de servicios de pago) que protege los intereses de los clientes bancarios y declara la obligación de las entidades bancarias de reintegrar las cantidades extraídas por técnica de phishing o similares, según han declarado numerosas resoluciones judiciales.

Jurisprudencia de los tribunales sobre phishing y operaciones fraudulentas.

    Existe una abundante jurisprudencia que obliga a las entidades a devolver cuantías defraudadas a clientes,

   La sentencia de la Audiencia Provincial de Barcelona de 7 de marzo de 2013 condenó a una entidad bancaria a devolver a una sociedad la cantidad de 32.099 euros por cuanto la entidad no adoptó las medidas de seguridad adicionales previstas en las Condiciones Generales del Contrato, al haberse (i) producido movimientos inusuales de fondos de la cuenta corriente, y (ii) ser transferidos a cuentas sospechosas que la entidad debió detectar.

   En otro caso, juzgado por la sentencia de la Audiencia provincial de Zaragoza, en mayo de 2.013, se condenó a la entidad bancaria a la devolución a un cliente del importe de las transferencias ejecutadas fraudulentamente.

   Y la Audiencia Provincial de Madrid, en sentencia recaída en fecha 4 de mayo de 2.015, analizó el supuesto de una condena a la Entidad, en que se argumentaba que la víctima había facilitado sus claves a una página web clonada, considerando inverosímil que la víctima hubiera facilitado 90 o 100 claves de la tarjeta de coordenada.

   Por último, en la sentencia de la Audiencia Provincial de Badajoz de 7 de febrero de 2.013 se condenó a la Entidad a reembolsar al cliente y usuario de los servicios de banca electrónica cantidades que fueron objeto de operaciones no autorizadas y negadas por el cliente.

  En todos estos casos se ha condenado a la entidad bancaria a reponer a la víctima la situación del saldo bancario preexistente a las operaciones no autorizadas.

     En resumen, ante un cargo no autorizado o fraudulento, asesórate con nuestros  abogados expertos en phishing y derecho bancario en nuestro despacho de abogados en Alcalá de Henares o Madrid.