¿Eres víctima de 'phishing' y el banco no te devuelve el dinero? Cada vez más clientes en Málaga van a juicio... y lo ganan

El 'phishing' es una técnica que consiste en el envío de un correo electrónico (o un mensaje SMS, en cuyo caso se llama 'smishing') en el que los ciberdelincuentes suplantan la identidad de un banco, una red social, una entidad pública o una empresa con el objetivo de obtener información confidencial, realizar un cargo económico o infectar el dispositivo. Para ello adjuntan archivos infectados o enlaces a páginas fraudulentas.

En Málaga ya se han dictado numerosas sentencias que condenan a bancos a restituir las cantidades robadas a sus clientes en ataques de 'phishing'. Hay bufetes que se están especializando en este tipo de casos, como el de Belén Rincón, una abogada experta en derecho bancario que explica: «Nos llegan cada vez más casos y con estafas cada vez más elaboradas. El primer paso si se ha sido víctima es denunciarlo ante la Policía y, si el banco se niega a devolver el dinero, presentar una reclamación formal. Hay pocos que las acepten; BBVA, por ejemplo. Pero la mayoría las rechaza por sistema o, cuando es un caso en el que es evidente que ha habido un fallo de seguridad del banco, propone devolver la mitad del dinero sustraído». La letrada insiste: «No hay que conformarse porque la Ley de Servicios de Pago y la jurisprudencia protegen al consumidor. El banco debe devolver todo el dinero».

¿Qué dice exactamente la ley? El Real Decreto-Ley 19/2018, de 23 de noviembre, de Servicios de Pago impone una serie de derechos y obligaciones a los usuarios y proveedores de servicios de pago. A los usuarios le impone tres obligaciones: usar el instrumento de pago de conformidad con las condiciones pactadas en el contrato; tomar las medidas razonables para proteger sus credenciales de seguridad y notificar sin demora el extravío o la apropiación indebida. Por su parte, el proveedor del medio de pago debe implementar las medidas de seguridad necesarias para asegurar la identidad del ordenante y la autenticación de la operación. Concretamente se obliga a las entidades a que las órdenes de pago se realicen mediante una autenticación reforzada: que la operación esté validada con la clave personal y, además, con un factor biométrico (por ejemplo la huella dactilar) o una clave aleatoria generada en cada operación, que debe ser enviada al usuario para revalidar la operación. Además, deben disponer de mecanismos de supervisión que les permitan detectar operaciones de pago no autorizadas o fraudulentas.

Según la ley, las operaciones de pago sólo se consideran autorizadas cuando el ordenante haya dado su consentimiento, por lo que si el usuario niega haber autorizado una operación, el banco debe devolverle de forma inmediata el importe. En los casos de 'phishing', el cliente facilita a un tercero las credenciales de seguridad, pero no lo hace de forma libre y consciente, sino movido por un engaño. Los bancos suelen argumentar que ha habido negligencia, ya que es el único caso en el que la ley prevé que el banco está exonerado de responder por el fraude. Pero la jurisprudencia juega a favor de los clientes, ya que es difícil probar que haya habido una negligencia grave, pues los ataques de 'phishing' tienen éxito precisamente por ser muy creíbles.

Es significativa la argumentación de la Audiencia Provincial de Málaga en una de sus sentencias sobre este tema: «La negligencia que le hace responder al cliente es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que ha sido inducido por un delincuente profesional. Tampoco puede calificarse como grave dicho comportamiento conforme a la normativa del Código Civil, pues siendo exigible al demandante la diligencia que exija la naturaleza de la obligación y correspondan a las circunstancias de las personas, tiempo y lugar, el método fraudulento empleado 'phishing' es de una complejidad y grado de perfección difícilmente detectable por un cliente de las características del demandante».

¿Por qué entonces los bancos no se avienen desde el primer momento que un cliente alerta de haber sido víctima de 'phishing' a devolverles el dinero robado? Para Rincón, «Es una cuestión de probabilidades: cuentan con que un porcentaje de los clientes se conformarán con esa negativa y no irán a juicio, sobre todo si es una cantidad pequeña».