Robos contra la tarjeta bancaria o la cuenta corriente. Phishing. El caso de Unicaja. Derechos de la víctima

Los robos y estafas que recaen sobre tarjetas y/o sobre cuentas bancarias utilizando medios informáticos son cada vez más frecuentes, y España parece ocupar un lugar destacado entre los países en que se producen más ataques de este tipo, según este reportaje.

Las vías para cometer estos fraudes son muy numerosas; la web del Banco de España recoge aquí todo un elenco de ellas, con su descripción y medidas básicas para prevenirlos, aunque hay muchas más modalidades. Pueden consistir en que se obtengan los datos de la tarjeta bancaria mediante un dispositivo en el cajero automático que los copia más una cámara que graba cómo se teclea el PIN; un empleado desleal de un negocio legal puede aprovechar su puesto para obtener datos de tarjetas o cuentas que se utilizan para el pago de los servicios o bienes de ese negocio; se reciben llamadas, SMS o correos electrónicos que aparentemente son de nuestro banco o de cualquier empresa con la que tenemos alguna relación en que se nos solicitan datos como medida de seguridad, o para evitar cancelar la cuenta, o para confirmar alguna operación; hay falsos empleados de Microsoft que llaman con fuerte acento extranjero afirmando que nuestro equipo tiene algún problema informático; llegan notificaciones de falsas multas de Tráfico, de Hacienda, de la Seguridad Social; de la próxima cancelación de nuestra cuenta, de nuestra tarjeta, de alguna suscripción, de alguna relación comercial, etc., etc., etc.

Los intentos de fraude a veces son muy burdos: los SMS o correos electrónicos están plagados de faltas ortográficas, se utiliza un lenguaje muy impropio, su contenido es absurdo. Pero muchos delincuentes van perfeccionando su técnica e incluso pueden utilizar medios sofisticados que les permiten hacernos llegar SMS por el canal habitual de nuestro banco o hacen llamadas telefónicas en que aparece como número llamante el real del Banco, y simulan a veces con mucha fidelidad la web de la entidad.

Algunas precauciones elementales a adoptar consisten en no pinchar nunca un enlace que nos ha llegado por correo electrónico, chats, SMS, etc.; no facilitar nuestros datos bancarios, mucho menos las claves de la cuenta o la tarjeta, a cualquiera que llame por teléfono, por muy convincentes y razonables que parezcan sus afirmaciones. Si es preciso realizar alguna gestión para mantener nuestra operativa, nosotros tomaremos la iniciativa de acudir a la oficina o de acceder por nuestros medios a la web o app del banco. Cuando realizamos cualquier operación telemática, es preciso leer con mucha atención los mensajes que recibimos para confirmarla porque es una situación muy delicada y propicia para fraudes. Cualquier comprobación de seguridad hemos de realizar tecleando nosotros la URL del banco, no utilizando los atajos y enlaces que nos lleguen por por cualquier medio.
Qué hacer en caso de ser víctima del fraude

En el caso de que se haya consumado el fraude y los delincuentes hayan conseguido ejecutar una o varias transferencias contra nuestra cuenta corriente; o realizado compras o retiradas de efectivo con nuestra tarjeta, lo primero que hemos de hacer es comunicar la situación a nuestro banco para bloquear la cuenta y/o tarjeta e impedir así que se repita la operación; habrá que cambiar códigos y contraseñas y utilizar unas nuevas de la mayor seguridad; hay que presentar denuncia ante la Policía, de la que luego habrá que presentar copia con nuestra reclamación al Banco.

¿Es posible recuperar el dinero defraudado?
Hay que tener en cuenta que en general las transferencias, retiradas de efectivo y compras se ejecutan instantáneamente y no se pueden revertir, salvo casos excepcionales de compras fraudulentas.

Las diligencias de investigación que pueda realizar la policía y las actuaciones judiciales penales en ocasiones pueden tener éxito y lograr la identificación y detención de los estafadores, pero incluso si así ocurre puede ser difícil recuperar las cantidades defraudadas en su totalidad, en cuanto que probablemente habrán distraído ya al menos una parte del botín.

Queda, por lo tanto, la vía de la reclamación frente a nuestro banco. ¿Qué derechos tenemos tenemos en estos casos? ¿Qué responsabilidad tiene el banco? ¿Quién debe soportar la pérdida?

La regulación de esta materia se encuentra en el Real Decreto-Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, que regula un sistema común de derechos y obligaciones para proveedores y usuarios de servicios de pago y delimita las consecuencias jurídicas de operaciones de pago no autorizadas o ejecutadas incorrectamente, fijando las responsabilidades tanto del usuario como del proveedor de servicios de pago cuando el primero niegue la autoría de las operaciones.

Hay que tener en cuenta como punto de partida, y así lo han recogido ya distintas sentencias, que la banca es quien diseña la forma en que va a operar, quien crea las plataformas e instrumentos digitales al efecto; y fomenta con creciente intensidad la operativa a través de internet, de cajeros, de móviles y de tarjetas, tratando de reducir todo lo que puede la operativa personal en sus oficinas; pretende con ello reducir sus gastos y obtener un mayor margen de beneficio. Por lo tanto, estamos tratando del negocio bancario, creado y diseñado por las entidades bancarias, que se lucran con esa operativa y que, aunque en cierta medida pueda suponer una mejora de sus servicios (según para quién y cómo), también crea riesgos crecientes, por lo que parece coherente que quien crea el riesgo y se beneficia de esta forma de operar sea quien tenga que asumir las consecuencias de los perjuicios por intervenciones fraudulentas de terceros.

Conforme a las previsiones del R. Decreto-Ley citado, el usuario debe utilizar los medios que el banco ha puesto a su disposición conforme a las instrucciones que éste le haya facilitado y adoptando las medidas razonables de protección.

Si el interesado niega haber autorizado alguna operación, el Banco debe presentar la prueba que acredite cómo se ejecutó.

Si efectivamente la operación se ejecutó porque el defraudador consiguió que el interesado le facilitase sus datos o claves, no por ello se puede atribuir la pérdida a la víctima: el banco debe probar que éste actuó de forma fraudulenta o con negligencia grave.

Tanto los tribunales como los defensores del cliente de diversas entidades bancarias vienen afirmando que el mero hecho de facilitar claves o datos al defraudador en el marco de una operación de phishing, smishing o similar no constituye una negligencia grave, por lo que el banco no puede liberarse sin más de tener que soportar la pérdida indemnizando al cliente.

Es más, es el Banco quien probablemente tendrá diseñada su operativa de forma negligente, sin implementar dobles comprobaciones de la identidad del cliente y de la autorización de cada operación, además de que habrá instalado filtros informáticos para detectar patrones de usos fraudulentos.

El R. Decreto-Ley obliga a la entidad a reembolsar el dinero defraudado, salvo que tenga una sospecha razonable de fraude por parte de su cliente y la comunique al Banco de España, si bien se establece un mínimo o "franquicia" a soportar por el cliente de 50 euros, mínimo que no aplican la mayoría de sentencias sobre la materia cuando no se puede demostrar la negligencia grave o la actuación fraudulenta del cliente.

Otra circunstancia que justifica que sea la entidad financiera quien deba soportar la pérdida cuando el cliente no ha actuado fraudulentamente o con negligencia grave es que aquélla ha de tener contratado un seguro que le cubra las pérdidas. La aplicación de los criterios propios de la disciplina conocida como "análisis económico del Derecho" justifica que sea la financiera quien soporte el perjuicio porque es quien tiene más posibilidades e incentivos para crear medios eficaces de prevención del fraude, quien tiene el conocimiento del mercado y su operativa, quien lo diseña y quien tiene la mayor facilitad para asegurarse.

Los afectados por cualquiera de estas modalidades de fraude han de presentar en primer lugar reclamación ante su oficina de reembolso de la cantidad defraudada, con copia de la denuncia a la policía; si no se les hace el reembolso de inmediato, han de continuar con la reclamación ante el Departamento de Atención al Cliente de la entidad; y si éste no da respuesta favorable en el plazo de quince días, se puede presentar reclamación judicial.

Recientemente se ha producido un evento de fraude masivo a clientes de un banco español: con ocasión del traspaso de la operativa en web de la plataforma de Liberbank a la de Unicaja, los clientes no tuvieron acceso telemático a sus cuentas durante un fin de semana. Había delincuentes bien preparados para aprovechar la ocasión y consiguieron obtener los datos de docenas, posiblemente centenares de clientes de Liberbank, según informa la Unión de Consumidores de Asturias en su web. Utilizaron una combinación de técnicas, al menos SMS y llamadas telefónicas, en ambos casos con toda la apariencia de que procedían del Banco. Consiguieron así obtener cantidades muy importantes de las cuentas de los clientes de Unicaja, en algunos casos la totalidad del saldo de sus cuentas.

Creo que aquí concurrieron varias deficiencias en la actuación del Banco:

-No informó a sus clientes con antelación de la operación de cambio de plataformas que iba a realizar, advirtiéndoles de que debían adoptar medidas especiales de protección. En cambio, remitió un mensaje con una advertencia muy elemental algún tiempo después de que se produjese el fraude y le llegasen multitud de reclamaciones.

-No implementó ninguna medida específica de protección de las cuentas de sus clientes durante el tiempo en que se iba a realizar esa operación de cambio de las plataformas.

-No tenía filtros que detectasen operaciones fraudulentas; a este respecto es significativo que en varias de las transferencias ejecutadas se hizo constar como concepto alguna expresión de pitorreo y burla por el éxito del fraude.

-Los teléfonos para comunicar fraudes y tramitar el bloqueo de cuentas y tarjetas no funcionaron correctamente; algún cliente explica que tuvo que realizar numerosas llamadas y estar en espera mucho tiempo antes de poder contactar; y una vez que se logró contactar, no se le bloqueó la cuenta o tarjeta, de forma que después de esta gestión aún se ejecutó alguna nueva operación fraudulenta.

-Cuando los interesados fueron a la oficina a presentar reclamación, se les dijo que el fraude se había producido por su culpa, por su negligencia, sin presentar la prueba de ello.

-No se están reembolsando las cantidades defraudadas en la forma y plazo que establece el R. Decreto-Ley 19/2018.

-El hecho de que los defraudadores hayan accedido a los números de teléfono de un número elevado de clientes del banco permite sospechar que se ha producido una brecha de seguridad informática importante. No sé si Unicaja la ha comunicado a la Agencia de Protección de Datos, pero desde luego no lo ha comunicado a sus clientes.

En esta situación, las víctimas de estos fraudes tienen la vía de reclamación que he resumido más arriba, con grandes posibilidades de éxito ante los tribunales, en el caso de que el Banco siga sin atender su reclamación, ante la evidencia de la falta de medidas de seguridad. Y añadiría la posibiliad de denunciar estos hechos ante la Agencia de Protección de Datos, por la brecha de seguridad de la que no se les informó, lo que constituye un perjuicio adicional, ya que los datos personales digitales gozan de particular protección y su violación es indemnizable.