La posibilidad de recuperar su dinero es más alta de lo que pensamos, porque se trata de una estafa, no de una acción voluntaria en la que una persona realiza una transferencia porque quiere
Índice de temas
¿Qué es una estafa bancaria?
Esta entrevista con el experto legal Miguel de Prada trata sobre el phishing en la banca, una estafa bancaria en la que los delincuentes suplantan la identidad de entidades legítimas, como bancos, para robar información personal y dinero. Aunque los bancos son responsables de asegurar la autenticidad de las transacciones, la claridad de su responsabilidad es aún debatida, aunque cada vez más se les obliga a reembolsar a las víctimas, especialmente si no tomaron medidas suficientes para prevenir la estafa. Las víctimas tienen mayores posibilidades de recuperar su dinero de lo que se suele pensar, y existen precedentes legales que apoyan estas reclamaciones.
¿Cómo definiría legalmente una estafa bancaria mediante phishing?
El phishing es una estafa basada en la obtención de información de una víctima mediante la suplantación de la identidad de un actor legítimo, como puede ser un banco o una compañía, marca o incluso persona física. El objetivo es conseguir información personal o bancaria a través de una comunicación electrónica enviada a la víctima, con el objetivo de obtener posteriormente dinero a través de acciones directas que realiza la víctima o datos que se puedan convertir en dinero mediante acciones que realizarán los ciberdelincuentes valiéndose de ellos. El ejemplo paradigmático es el envío de un correo electrónico a una persona, en nombre de su banco, solicitándole que realice alguna operación cuyo resultado será el robo del dinero o la obtención de contraseñas, nombres de usuario o códigos PIN con los que posteriormente obtener el dinero de su cuenta. El phishing es engañar para robar.
¿Cuáles son las técnicas más comunes que utilizan los delincuentes para suplantar la identidad de los bancos?
La técnica más habitual en phishing es suplantar la identidad del banco, copiando de forma más o menos eficiente la identidad gráfica original de la entidad para que sea más creíble para la víctima. Después, y utilizando esa identidad, se envía un mensaje a la víctima, que reconoce los colores, grafía, logos e incluso el tono habitual de las comunicaciones reales con su banco, lo que otorga entidad a la estafa y hace más susceptible a la víctima de caer en ella, ya que la única arista que suele haber en este plan está en las direcciones URL de los enlaces sugeridos o en las de correo electrónico del remitente, que claramente se observa que no son reales. En muchos otros casos, cada vez con más frecuencia, estos detalles también se pueden simular con bastante acierto, haciendo mucho más difícil desenmascarar la estafa. Por eso se incide en recomendaciones como no proporcionar nunca claves, contraseñas o datos personales a través de estos canales si no se ha realizado ninguna acción previa por parte del usuario.
Lo primero, contactar con su entidad bancaria para ponerlo en su conocimiento y conocer los protocolos de la entidad en estos casos. Y, después, lo recomendable es poner una denuncia explicando los hechos de la forma más pormenorizada posible y aportando tantas pruebas como se pueda
¿Cuáles son los primeros pasos que debería tomar una persona que ha sido víctima de una estafa bancaria?
Lo primero, contactar con su entidad bancaria para ponerlo en su conocimiento y conocer los protocolos de la entidad en estos casos. Y, después, lo recomendable es poner una denuncia explicando los hechos de la forma más pormenorizada posible y aportando tantas pruebas como se pueda. Ambos pasos son complementarios y en dPG Legal, pensamos que necesarios, siempre con el apoyo, a poder ser, de una entidad especializada en la defensa de las víctimas de este tipo de estafas, como es dPG Legal.
¿Hasta qué punto son responsables las entidades bancarias en estos casos? ¿Qué dice la ley al respecto?
No está claro el grado de responsabilidad de una entidad bancaria cuya identidad ha sido suplantada para cometer un delito. A menudo se escudan en que desconocen y no pueden controlar lo que hacen terceros en su nombre, pero cada vez hay más indicios de que las entidades bancarias tienen un importante grado de responsabilidad a la hora de evitar que estos episodios de phishing se puedan ejecutar con éxito para el ciberdelincuente. La entidad está obligada a asegurar que la identidad de quien ordena una transacción bancaria es real, por cuantos medios sea preciso. Y si un ciberdelincuente ha conseguido el PIN de la tarjeta de una persona mediante técnicas de engaño y realiza una operación en su nombre con éxito, es obvio que la entidad no ha contado con medidas de seguridad suficientes como para detectarlo. Además, las entidades también pueden incurrir en responsabilidad civil si se demuestra que no fueron diligentes a la hora de proteger la información y seguridad de sus clientes. Por eso hay cada vez más sentencias a favor de los usuarios estafados y condenando a las entidades, y por eso desde dPG Legal siempre aconsejamos denunciar estos hechos a través de despachos como el nuestro, especializados en estas casuísticas. Está claro que los bancos tienen aún mucho margen para evitar el phishing, y aunque están redoblando esfuerzos para ello, creo que todavía no es suficiente.
¿Cuáles son las probabilidades reales de recuperar el dinero perdido en una estafa bancaria?
Muchas víctimas piensan que la posibilidad de recuperar su dinero si han sido víctimas de phishing es remota, en parte porque se consideran culpables de haber picado y en parte porque las acciones que transfieren el dinero desde la cuenta de la víctima hasta la del delincuente muchas veces son realizadas directamente y, digamos, voluntariamente por el estafado. Por eso no se animan a denunciarlo para poder recuperar su dinero. Pero, en realidad, la posibilidad de recuperar su dinero es más alta de lo que pensamos, porque se trata de una estafa, no de una acción voluntaria en la que una persona realiza una transferencia porque quiere. El componente de estafa reviste de delito la acción y elimina cualquier atisbo de voluntariedad en los hechos por parte de la víctima, lo que abre la puerta a poder reclamar con éxito. Máxime si, como decíamos antes, se demuestra que la entidad no ha puesto todos los medios para evitar ser utilizada como herramienta para cometer este tipo de estafas.
¿Qué procedimientos legales existen para que los bancos reembolsen el dinero sustraído?
Depende de cada caso en particular y de las circunstancias en que se haya producido el delito; pero, en general, el banco solo estaría eximido de reembolsar el dinero a la víctima si se demostrase que esta actuó bajo negligencia grave. Se suelen aferrar a eso para evitar devolver el dinero, ya que saldrá de sus propios fondos o de sus aseguradoras contratadas, pero la realidad es que si la víctima fue engañada y se demuestra, pese a ello, diligencia por su parte, el banco podrá ser condenado porque tiene parte de responsabilidad en el caso, al ser el intermediario a través del que se realiza la operativa.
Además, toda orden de pago no autorizada por el cliente de forma específica, como suele suceder cuando el delincuente se ha hecho con las claves y se hace pasar por la víctima para transferirse dinero a sus cuentas, deberá ser revertida por el banco. Esto lo vemos muchas veces a pequeña escala cuando nos aparece un cargo en la tarjeta de crédito que no hemos realizado: llamamos al banco y generalmente, sobre todo si se trata de importes pequeños y el movimiento es sospechoso, por producirse en el extranjero o salirse de la norma, el banco nos devuelve el dinero sin más. ¿Por qué se resisten a hacer lo mismo cuando se trata de phishing? Pues porque generalmente hablamos de cantidades económicas mucho mayores. Pero el trasfondo es prácticamente el mismo.
¿Hay algún caso emblemático que haya sentado un precedente legal importante en este ámbito?
Hay muchas sentencias a favor de las víctimas de phishing en la que se han recuperado cantidades de hasta 20 000 euros, incluso condenando a la entidad a pagar las costas judiciales. En nuestro despacho acumulamos historias de éxito de clientes víctimas de phishing que han denunciado con nosotros a su banco y han ganado, recuperando su dinero.
¿Qué consejos darían a los consumidores para que se mantengan alertas y eviten caer en estafas bancarias?
La norma básica y esencial es no proporcionar nunca ningún tipo de dato personal o bancario a través del teléfono o Internet, a nadie y bajo ninguna circunstancia, sobre todo si se trata de una comunicación que hemos recibido. Me explico: no es lo mismo que yo llame a mi banco para contratar un producto y me pidan un dato personal, que recibir una llamada supuestamente de mi banco en la que me piden un dato personal. Si es mi banco, ¿no debería tener ya ese dato? Otro ejemplo: si abro una cuenta bancaria a través de Internet, tiene lógica que en cierto momento me pidan que configure mi clave de acceso. Lo que no tiene sentido es que reciba un email de mi banco en el que, por alguna razón, se me pida mi clave de acceso. Este aspecto es clave, y observarlo evitará en el 99 % de los casos que una estafa de este tipo pueda tener éxito. Pero también debemos observar otros detalles, como la naturaleza de las URL que recibimos en ese email o SMS (es muy fácil ver si se trata de una URL de aspecto real o extraño) o la forma en que nos trata el operador en una llamada telefónica: generalmente, nos meterá prisa y miedo, ya que así pueden mermar nuestra capacidad de razonar y es más fácil que actuemos movidos por estos sentimientos, picando en la estafa. Una llamada muy frecuente es la que nos indica que alguien está intentando sacar dinero de nuestra cuenta, que el banco lo ha detectado y que podemos evitar que tengan éxito si transferimos en ese momento todo nuestro saldo a una cuenta segura del propio banco. Lo curioso es que el operador nos dará un número de cuenta para que seamos nosotros mismos los que hagamos la transferencia. En ese momento es difícil ver que no tiene ningún sentido que un banco nos pida algo así, pero el miedo y las prisas nos hacen picar. No aceptemos hacer ningún movimiento: si el banco hubiera detectado un posible intento de acceso no autorizado a nuestra cuenta, más razón para estar tranquilos como consumidores si el robo llega a buen puerto, porque se demostrará que no han sido diligentes al custodiar nuestro dinero. Pensemos con mayor frialdad, aunque no sea fácil, para evitar caer en estos timos que tienen más de psicología que de tecnología.