Los casos de phishing sigue en aumento, exponiendo a los clientes a pérdidas financieras y conflictos legales ante las entidades bancarias. Estos ataques de phishing utilizan cada vez más técnicas sofisticadas de suplantación de identidad, comúnmente de la entidad bancaria o de otros servicios, para obtener información confidencial que permita acceso a cuentas bancarias o la realización de transacciones no autorizadas.
¿Qué es el phishing y cómo funciona?
El phishing es un tipo de fraude en el que los ciberdelincuentes se hacen pasar por una entidad legítima (frecuentemente un banco) para obtener información confidencial del usuario. Este fraude puede presentarse de diversas formas:
- Correos electrónicos fraudulentos: que imitan la apariencia y el lenguaje del banco, instando al usuario a hacer clic en enlaces que redirigen a una web falsa.
- Mensajes SMS (smishing): mensajes que incluyen enlaces o instrucciones que llevan al usuario a páginas fraudulentas.
- Llamadas telefónicas (vishing): en las que el delincuente finge ser un representante del banco y solicita datos confidenciales.
- Duplicado de la tarjeta SIM (SIM swapping): el estafador logra clonar el número de teléfono de la víctima, lo que le permite recibir las contraseñas de verificación enviadas por el banco.
A través de estos métodos, los estafadores consiguen los datos de acceso a las cuentas bancarias de las víctimas, lo que les permite realizar transferencias, compras u otras operaciones sin la autorización real del titular de la cuenta.
Marco legal en España sobre la responsabilidad de las entidades bancarias en casos de phishing
En España, la responsabilidad de las entidades bancarias en casos de phishing está regulada por la Directiva Europea de Servicios de Pago (DSP2) y el Real Decreto-ley 19/2018, de 23 de noviembre, de Servicios de Pago y otras medidas urgentes en materia financiera. Este marco normativo establece que los bancos están obligados a:
-
- Implementar medidas de seguridad adecuadas: como la autenticación reforzada o de doble factor (2FA) y contar con sistemas avanzados de detección de fraudes.
- Actualizar continuamente sus protocolos de seguridad: dado el avance de los fraudes digitales, los bancos deben revisar y mejorar sus mecanismos de autenticación y control para prevenir ataques.
- Proteger los datos personales y la privacidad de los usuarios: de acuerdo con el Reglamento General de Protección de Datos (RGPD).
- Responsabilizarse de las operaciones no autorizadas: si un usuario niega haber autorizado una operación, el banco está obligado a reembolsar el importe salvo que pueda demostrar que el usuario actuó con negligencia grave o de manera fraudulenta.
La carga de la prueba recae en el banco. Esto significa que la entidad debe demostrar que el cliente fue negligente o que autorizó voluntariamente la transacción para poder evitar el reembolso de los fondos. Sin embargo, en la práctica, muchos bancos intentan alegar negligencia por parte del cliente para evitar la devolución del dinero, lo que lleva a un conflicto que, en muchos casos, termina en los tribunales.
¿Qué se considera negligencia grave?
La negligencia grave es el incumplimiento de las mínimas medidas de seguridad por parte del usuario, como compartir sus contraseñas o datos de seguridad sin verificar la autenticidad de la solicitud. En el contexto actual, la jurisprudencia tiende a diferenciar entre negligencia leve y grave, y espera que los usuarios promedio tomen precauciones razonables, aunque sin exigir un conocimiento técnico avanzado. Ejemplos típicos de negligencia grave en casos de phishing incluyen:
-
- Anotar las contraseñas en un lugar accesible o poco seguro, como en una hoja de papel que puede ser fácilmente extraviada.
- Facilitar información personal o bancaria en una web que claramente no es la oficial del banco o a través de un enlace sospechoso en un correo electrónico.
- Ignorar las advertencias del banco sobre medidas de seguridad, especialmente si el banco ha proporcionado instrucciones específicas para evitar este tipo de fraudes.
Sin embargo, la jurisprudencia reciente ha sido en muchos casos favorable a los usuarios, considerando que los ataques de phishing son cada vez más sofisticados y que el engaño al que se enfrenta el usuario es tan avanzado que no puede considerarse negligencia grave. Esto ha llevado a que, en la mayoría de los casos, los tribunales exijan a los bancos que devuelvan el dinero a la víctima.
Pasos a seguir si eres víctima de phishing
Si has sido víctima de phishing y deseas reclamar el dinero sustraído, se recomienda seguir los siguientes pasos:
1. Notificar al banco inmediatamente
Tan pronto como descubras que has sido víctima de phishing, contacta a tu banco. La entidad debe actuar de inmediato para:
-
- Bloquear la cuenta y los accesos.
- Detener posibles transacciones adicionales.
- Generar un reporte que documente la fecha y hora en que denunciaste el incidente.
Es importante tener en cuenta que algunos bancos pueden intentar argumentar que hubo una demora en la notificación por parte del cliente. Para evitar esto, es esencial comunicar el fraude al banco en cuanto se tenga conocimiento del mismo.
2. Reunir pruebas del fraude
Es fundamental recopilar toda la evidencia del incidente. Esta información puede incluir:
-
- Capturas de pantalla del mensaje de phishing (email, SMS, etc.).
- Detalles de la transacción: fechas, importes y datos del destinatario del dinero.
- Comunicación con el banco: guardando los correos electrónicos, mensajes o comunicaciones telefónicas en los que reportaste el fraude.
Este tipo de evidencia puede ser determinante para demostrar que el usuario fue víctima de una estafa y que no autorizó voluntariamente la operación.
3. Presentar una denuncia formal ante las autoridades policiales
Denunciar el fraude a las autoridades no solo ayuda a documentar el caso, sino que también respalda la reclamación frente al banco. La denuncia debe incluir toda la información posible: mensajes de texto, correos electrónicos, capturas de pantalla, etc. Esto sirve como prueba del engaño y refuerza la posición de la víctima en el proceso de reclamación.
4. Presentar una reclamación formal al banco
Tras comunicar el incidente y recopilar pruebas, es recomendable presentar una reclamación formal por escrito al banco. La reclamación debe incluir:
-
- Descripción detallada del incidente y cómo se produjo el fraude.
- Solicitud del reembolso del importe sustraído.
- Copia de la denuncia policial y todas las pruebas documentales.
En la reclamación, es conveniente hacer referencia a la normativa vigente, como el Real Decreto-ley 19/2018, y al principio de responsabilidad bancaria en fraudes de phishing, para reforzar la posición del cliente.
5. Buscar asesoría legal de un abogado especializado
Si el banco se niega a realizar el reembolso, es conveniente recurrir a un abogado especializado en fraudes bancarios y ciberseguridad. Un abogado con experiencia en este tipo de casos puede ayudar a la víctima a reclamar sus derechos y presentar la reclamación judicialmente, si es necesario. Además, puede asesorar sobre la normativa y los argumentos más efectivos en estos casos.
6. Escalar el caso a una autoridad de consumo o al Banco de España
Si el banco sigue sin dar una respuesta favorable, la víctima puede escalar el caso a una autoridad de consumo o al Banco de España. Estas entidades pueden actuar como mediadoras en el conflicto y ayudar a proteger los derechos del consumidor. Esta intervención suele ser útil para casos de negativa injustificada del banco a devolver los fondos.
7. Interposición de una demanda contra el banco
En España, el marco jurídico que regula la responsabilidad de las entidades bancarias en fraudes de phishing permite que el cliente, en caso de negativa del banco, pueda presentar una demanda civil. A través de este procedimiento, el cliente busca que el banco le restituya el dinero sustraído en la operación no autorizada.
En la demanda, el usuario solicita que el tribunal ordene al banco la devolución del importe perdido y, en algunos casos, puede exigir también daños y perjuicios derivados de la falta de diligencia del banco en la protección de sus datos y transacciones.
Una de las principales ventajas en este tipo de procedimientos es que la carga de la prueba recae en el banco. Esto significa que la entidad bancaria debe demostrar que el usuario actuó de forma negligente o fraudulenta, lo cual no siempre es sencillo. Para eximirse de responsabilidad, el banco deberá presentar pruebas concluyentes de que la conducta del cliente constituye una negligencia grave. Sin embargo, dado el alto grado de sofisticación de muchos fraudes de phishing, la jurisprudencia suele ser favorable a la víctima, reconociendo que no puede esperarse que un usuario promedio detecte técnicas avanzadas de suplantación de identidad.
¿Qué se considera negligencia grave?
La negligencia grave es el incumplimiento de las mínimas medidas de seguridad por parte del usuario, como compartir sus contraseñas o datos de seguridad sin verificar la autenticidad de la solicitud. Ejemplos típicos de negligencia grave en casos de phishing incluyen:
-
- Anotar las contraseñas en un lugar accesible o poco seguro, como en una hoja de papel que puede ser fácilmente extraviada.
- Facilitar información personal o bancaria en una web que claramente no es la oficial del banco o a través de un enlace sospechoso en un correo electrónico.
- Ignorar las advertencias del banco sobre medidas de seguridad, especialmente si el banco ha proporcionado instrucciones específicas para evitar este tipo de fraudes.
Sin embargo, la jurisprudencia reciente ha sido en muchos casos favorable a los usuarios, considerando que los ataques de phishing son cada vez más sofisticados y que el engaño al que se enfrenta el usuario es tan avanzado que no puede considerarse negligencia grave. Esto ha llevado a que, en la mayoría de los casos, los tribunales exijan a los bancos que devuelvan el dinero a la víctima.
¿Cómo ayuda AUFERIL a las víctimas de phishing antes las entidades bancarias?
1. Evaluación inicial y asesoramiento personalizado
Evaluamos el caso, revisando las pruebas disponibles (mensajes, correos, capturas) y proporcionando un plan de acción inmediato. Este diagnóstico ayuda a identificar si el banco tiene responsabilidad y a establecer la estrategia de reclamación.
2. Reclamación formal al banco
Presentamos una reclamación extrajudicial exhaustiva ante la entidad financiera, exigiendo la devolución del dinero. A través de una comunicación formal y argumentada, insistimos en la responsabilidad del banco según la normativa vigente (Real Decreto-ley 19/2018), basándonos en la obligación de proteger los fondos del cliente.
3. Representación legal en juicio
Si el banco no responde o rechaza el reembolso, gestionamos todo el proceso judicial en defensa del cliente. Presentamos una demanda, exigiendo tanto el reembolso como una posible compensación por daños y perjuicios.
AUFERIL acompaña a sus clientes en cada etapa del proceso, desde la evaluación hasta el juicio, siendo nuestro objetivo recuperar los fondos de nuestros clientes de forma rápida y efectiva.