Obligaciones de las Entidades bancarias, en relación con el phishingGarantizar la seguridad de las operacionesEl articulo 39 dispone que la entidad financiera garantizará que las credenciales de seguridad personalizadas del usuario no sean accesibles a terceros y que las operaciones se realicen a través de canales seguros y eficientes.Devolver importes de operaciones no autorizadasEn caso de que se ejecute una operación no autorizada, el banco tiene la obligación de devolver de inmediato al cliente el importe de la misma. El artículo 45 de la Ley de Servicios de Pago dispone además que esta devolución se efectuará a más tardar al final del día hábil siguiente al que se le haya notificado la operación.Cumplir el contratoLos bancos deben cumplir estrictamente las condiciones establecidas en el contrato convenido con el cliente. Y ese contrato debe contener las medidas de seguridad oportunas que garanticen la identidad de la persona en cada operación.En estos artículos se sintetizan las responsabilidades fundamentales que tiene el banco en relación phishing. ¿Qué prácticas de seguridad exige a los bancos la Ley de Servicios de Pago para evitar el phishing?Los casos de phishing suelen ser conflictivos. La asistencia de un abogado especialista permitirá contar con asesoramiento valioso en cada etapa del proceso que se siga para resolver el caso. Además, podrá maximizar la compensación, recuperando el dinero perdido y hasta reclamando daños y perjuicios adicionales.Las medidas que los bancos implementan para cumplir con su obligación de evitar el phishing a sus clientes son:Autorización reforzadaLa autorización reforzada implica que cada operación que el cliente realiza se valida por dos vías, la contraseña personal y un dato biométrico (huella dactilar o reconocimiento facial).Comunicaciones segurasLos fraudes por los canales de comunicación suelen ser los más frecuentes. Los ciberdelincuentes se comunican con la persona a través de vías muy semejantes a las que utiliza el banco.El cliente supone que se comunica con su banco, pero en realidad, lo hace con un estafador. Entonces, introduce sus datos en una web idéntica a la de su banco o los envía por un email o SMS, sin tener consciencia de que quien los recibe es un delincuente.Para evitar estos riesgos, el banco debe disponer de medios de comunicaciones seguras, en lo posible cifradas.Educación del clienteEs responsabilidad de la entidad financiera que el usuario conozca las prácticas de seguridad y entienda que es imprescindible que las utilice.Bloqueos de cuentasEn caso de que el banco sospeche que una operación no ha sido autorizada legítimamente por su cliente, tiene la obligación de bloquear inmediatamente la cuenta. Comunicará esta medida a su cliente para conocer si existía o no la autorización. En caso de que no exista riesgo, desbloqueará la cuenta.Denegar una operaciónUna medida de la que el banco dispone para cumplir con su obligación de evitar el phishing es denegar una operación por razones objetivamente justificadas relacionadas con acceso no autorizado o fraudulento. Informará al cliente y este confirmará o no su autorización.Comunicar medidas al Banco de EspañaLa ley establece que cuando el banco deba tomar alguna medida de prevención de phishing por sospecha de fraude, debe comunicar al Banco de España el incidente. Esta entidad evaluará el caso y, si es necesario, adoptará otras medidas.Preguntas y respuestas¿Qué ocurre si el banco argumenta que el cliente fue negligente en el manejo de sus datos de identidad personal?En caso de que el banco considere que el cliente cometió una negligencia grave, se resistirá a reembolsar el dinero sustraído. Una negligencia grave es, por ejemplo, extraviar un papel o libreta en los que estén anotados los números de cuentas, contraseñas y otros datos bancarios. Los Tribunales tienden a no considerar negligencia grave cuando el usuario es víctima de engaño.¿Cómo se solicita el reembolso del dinero sustraído por phishing?Para que el banco reembolse el dinero robado por phishing, el primer paso es informar inmediatamente a la entidad del fraude. El banco dará instrucciones, por ejemplo, pedirá completar un formulario o proporcionar más información.Al mismo tiempo, se debe presentar la denuncia ante la policía o guardia civil.¿Existe un límite de tiempo para informar al banco que se ha sido víctima de phishing?Muchos bancos establecen en los contratos límites de tiempo para informar sobre actividades fraudulentas. Siempre conviene comunicar inmediatamente de constatado el fraude.
