El phishing es una es una forma de fraude cibernético en la que los delincuentes engañan a las personas para que revelen información confidencial, una amenaza creciente en el mundo digital que puede llevar a la realización de transferencias bancarias no autorizadas, afectando tanto a particulares como a empresas. En este escenario, es esencial comprender el marco jurídico que rige las reclamaciones contra las entidades bancarias por estas transferencias fraudulentas.
El término phishing proviene del inglés «fishing«, que significa pescar, aludiendo al cebo que los delincuentes ponen a los usuarios de la red a la espera de que muerdan el anzuelo. Este tipo de estafa digital es una adaptación de la estafa clásica al contexto de la era digital, donde los estafadores se aprovechan de la tecnología para manipular a sus víctimas. En términos legales, el phishing se define como una acción delictiva en la que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, se consigue una transferencia no consentida, conforme al Artículo 248.2 del Código Penal.
La normativa europea clave en esta materia es la Directiva (UE) 2015/2366 Sobre Servicios De Pago En El Mercado Interior, conocida como PSD2 (Payment Services Directive 2), que tiene como objetivos principales mejorar la seguridad de los pagos electrónicos y aumentar la protección de los consumidores frente al fraude mediante el establecimiento de requisitos estrictos para la autenticación de los usuarios y la seguridad de los datos, incluyendo la autenticación de dos factores para la mayoría de las transacciones en línea. Además, determina que los proveedores de servicios de pago deben reembolsar inmediatamente al pagador cualquier transacción no autorizada, a menos que puedan probar que la transacción fue autorizada o que el usuario actuó con negligencia grave o de forma fraudulenta. También establece mecanismos para la resolución de conflictos entre dichos proveedores y los usuarios, incluyendo la obligación de los primeros de proporcionar información clara a los segundos y accesible sobre cómo presentar reclamaciones.
En España, la transposición de la PSD2 se realizó mediante el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, que adapta la normativa española a los requisitos de la directiva, garantizando la protección de los usuarios de servicios de pago y especifica los derechos y obligaciones de los usuarios y proveedores de servicios de pago, incluyendo medidas de seguridad y autenticación. La normativa establece que, en caso de una transferencia no autorizada, la entidad bancaria debe reembolsar al usuario el importe total de la operación no autorizada, salvo que se pueda demostrar que el usuario actuó con negligencia grave o de forma fraudulenta. También se establecen procedimientos claros para la resolución de disputas, incluyendo la posibilidad de que los usuarios acudan al Banco de España si no están satisfechos con la resolución proporcionada por su entidad bancaria.
Estos ataques de phishing pueden llevarse a cabo a través de diversos medios como mensajes de texto, correos electrónicos con enlaces fraudulentos e incluso llamadas telefónicas simultáneas pero, todos ellos, con un objetivo común: engañar al usuario para que revele información que permita a los delincuentes realizar operaciones financieras no autorizadas. Entre los métodos más comunes se encuentra el clonado de SIM, que implica la duplicación de la tarjeta SIM de un usuario para interceptar mensajes y llamadas; la suplantación de identidad de socios de negocio, donde los ciberdelincuentes se hacen pasar por socios comerciales de una empresa, enviando correos electrónicos falsos con instrucciones para realizar transferencias a cuentas fraudulentas y; los enlaces a páginas web fraudulentas, donde los usuarios reciben correos electrónicos que parecen provenir de su banco, con enlaces a sitios web falsos donde se les solicita ingresar sus credenciales bancarias.
Una vez que el estafador ha obtenido la información necesaria y ha realizado la operación de pago no autorizada, el dinero es rápidamente retirado en efectivo por un tercero. Este tercero suele quedarse con una comisión y luego transfiere el resto del dinero a cuentas internacionales, lo que hace casi imposible rastrear los fondos. Esta falta de trazabilidad de los fondos y la dificultad para identificar a los perpetradores contribuyen a la impunidad del delito de phishing.
Debido a la naturaleza de estos delitos y las dificultades inherentes a su investigación, el legislador ha imputado una responsabilidad casi objetiva a los proveedores de servicios de pago, como lo son las entidades bancarias. Esta responsabilidad implica que, como garantes de los servicios que ofrecen, los bancos deben restituir a sus clientes los fondos sustraídos ilícitamente mediante este sistema.
El Artículo 36 del antemencionado Real Decreto-ley 19/2018, determina que las operaciones de pago se consideran autorizadas solo cuando el ordenante haya dado su consentimiento para su ejecución. A falta de tal consentimiento, la operación de pago se considera no autorizada. Si tenemos en cuenta que el usuario nunca autorizó la operación porque su consentimiento fue viciado y obtenido mediante estafa informática y engaño, la conclusión es que la operación jamás se autorizó.
Basta, por tanto, que el usuario niegue haber prestado su consentimiento, pero debe cumplir con el protocolo de notificación al banco que establece el apartado primero del Artículo 43, véase;
“1. El usuario de servicios de pago obtendrá la rectificación por parte del proveedor de servicios de pago de una operación de pago no autorizada o ejecutada incorrectamente únicamente si el usuario de servicios de pago se lo comunica sin demora injustificada, en cuanto tenga conocimiento de cualquiera de dichas operaciones que sea objeto de reclamación, incluso las cubiertas por el artículo 60, y, en todo caso, dentro de un plazo máximo de trece meses contados desde la fecha del adeudo.”
Es crucial que el usuario notifique a su entidad bancaria tan pronto como sea consciente de la transferencia no autorizada. Esto puede hacerse a través de los canales de atención al cliente del banco y, de acuerdo con el Artículo 45 del Real Decreto-ley 19/20218, la entidad bancaria está obligada a investigar la reclamación. Durante este proceso, el banco evaluará si la transacción fue autorizada por el usuario o si el usuario actuó con negligencia grave y, si no puede demostrar que la transferencia fue autorizada o que el usuario actuó con negligencia grave, debe reembolsar el importe total de la operación no autorizada.
Si el banco no resuelve la reclamación de manera satisfactoria, el usuario puede presentar una reclamación ante el Banco de España, que actuará como mediador. Como último recurso, si las resoluciones administrativas no son satisfactorias, el usuario puede emprender acciones judiciales contra la entidad bancaria.
Asimismo el Artículo 16 del Real Decreto-ley 19/2018, establece que los proveedores de servicios de pago deben contar con un seguro de responsabilidad civil. Esta disposición subraya la importancia de proteger a los usuarios mediante normativas que garanticen la restitución de fondos en transacciones no autorizadas.
Finalmente, según la doctrina jurisprudencial establecida en la Sentencia 141/2021 del Pleno de la Sala Civil del Tribunal Supremo:
“En estos supuestos de actividades peligrosas permitidas, por ser socialmente útiles, colisionan los intereses de los terceros de no resultar perjudicados, con el propio y legítimo de los titulares que las gestionan de obtener los mayores rendimientos económicos posibles derivados de su explotación, a veces sometida, aunque no siempre, a un régimen de responsabilidad objetiva bajo aseguramiento obligatorio. Esa desigualdad, en las posiciones de ambas partes, se pone fácilmente de manifiesto por la circunstancia de que mientras los terceros soportan la amenaza eventual de sufrir daños significativos, con la única ventaja de obtener a cambio, en el mejor de los casos, un beneficio meramente difuso, el titular de la actividad, por el contrario, se beneficia de las ganancias generadas de su explotación en su particular provecho. Esta asimetría conduce a la posibilidad de justificar decisiones normativas que, por razones de justicia conmutativa, impongan a quien se aproveche de ese stock de riesgos, las cargas económicas de los perjuicios causados a los terceros ajenos a la misma, con la finalidad de compensar esa especie de daños expropiatorios o de sacrificio. De esta manera, se han utilizado las fórmulas latinas ubi emolumentum, ibi onus (donde está la ganancia está la carga) o cuius commoda, eius incommoda (quien obtiene una ventaja debe padecer los inconvenientes)”.
En conclusión, la amenaza del phishing en el entorno digital actual resalta la necesidad imperativa de normativas sólidas que protejan a los usuarios contra transferencias no autorizadas, asegurando la restitución de fondos y estableciendo responsabilidades claras para los proveedores de servicios de pago.
A la luz de lo expuesto, a los efectos de profundizar más en su caso, si quiere ser asesorado por especialistas en la materia, póngase en contacto con nosotros en el número 931 22 91 91 o a través del correo electrónico blf@cerrillogomez.com y le atenderemos encantados.
Arnau Moreno i del Campo
Letrado