Los bancos responden por el phishing sufrido por sus usuarios

El phishing se refiere a un conjunto de prácticas que consisten en que, partiendo de una suplantación de identidad (generalmente de una entidad bancaria), el ciberdelincuente envía una comunicación a través de un correo electrónico, mensaje de texto, whatshapp o de forma telefónica (“vishing”, en este último caso), a un usuario, ya sea particular o empresa, para que este indique o modifique datos que le son confidenciales, principalmente de naturaleza bancaria (números de tarjeta de crédito, IBAN de una cuenta corriente, clave pin…), de forma que el ciberdelincuente se hace con ellos y detrae fondos de las cuentas bancarias de la víctima.

La proliferación de este tipo de prácticas fraudulentas ha provocado que cada vez sean más los tribunales que conozcan de estos asuntos, imputando responsabilidad a la entidad bancaria, que es quien generalmente facilita la utilización de medios de pago electrónicos por medio de tarjetas y de su banca a distancia, a través de a sus aplicaciones y plataformas on line, de manera que también tienen que adoptar las medidas de seguridad necesarias para evitar este tipo de fraudes.

Se trata de una responsabilidad quasi-objetiva, es decir, una responsabilidad de la entidad que presta servicios de pago de la que solo queda exonerada mediante la prueba de la culpa grave del usuario, que deriva de lo dispuesto por el art. 44 del Real Decreto-Ley 19/2018, de 23 de noviembre, que señala que “cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponde al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico o cualquier otra deficiencia”.

Es precisamente en esos “fallos técnicos” donde el phishing tiene su encaje legal, recayendo sobre la propia entidad bancaria la carga de probar la falta de diligencia del usuario como única forma de eximir su responsabilidad, dado que es obligación de la entidad bancaria asegurarse de que toda operación se realiza efectivamente por el titular de los datos utilizados.

En este sentido, aunque pueda no resultar imprescindible, como en la mayoría de ocasiones, al informar a la entidad bancaria del fraude sufrido, esta recomendará -acertadamente- al usuario el formateo del dispositivo electrónico en el que ha tenido lugar el “hackeo”, será muy recomendable enviar a otro dispositivo electrónico fotografías de las comunicaciones recibidas para poder hacer uso de ellas en sus reclamaciones.

En definitiva, si considera que puede haber sido víctima de algún tipo de modalidad de phishing, Unive Abogados pone a su disposición un equipo de profesionales expertos en la materia para asesorarle acerca de la posibilidad de recuperar las cantidades que haya visto detraídas de sus cuentas como consecuencia de esta práctica fraudulenta.