¿Quién paga el pato en una estafa bancaria online, el banco o el cliente?

El Phishing bancario, derivación del inglés fishing -ir de pesca- es el nuevo timo de Internet que se realiza fundamentalmente a través del envío de un correo electrónico no deseado, que no sólo invade nuestro buzón de forma inesperada sino con el objetivo de conseguir o pescar información confidencial del usuario, como por ejemplo claves, cuentas bancarias, números de tarjetas de crédito, etc. El banco suele culpar al cliente y éste al banco aunque las últimas sentencias ponen mucha más presión sobre las entidades financieras y han creado cierta alerta en algunos bancos.

El correo electrónico que recibimos del sustractor parece, en principio, que proviene de sitios web de confianza como el propio Banco, entidad financiera o tienda de Internet en el que se explica que por motivos de seguridad, mantenimiento, mejora en el servicio, confirmación de identidad o cualquier otro, nos solicita que consignemos en un formulario los datos de identificación y clave de acceso. Cuando accedemos a transmitir esta información lo hacemos a través de una página web trucada que reproduce fielmente la de la entidad de crédito y bajo un nombre de dominio muy similar al del Banco y, sin saberlo, enviamos los datos directamente al estafador, que después los utiliza robando dinero de las cuentas, realizando compras, etc.

El método más utilizado por estos estafadores es el correo electrónico, pero también es frecuente el uso de el SMS o llamadas telefónicas en las que el emisor suplanta una identidad, como por ejemplo la Agencia Tributario o el propio Banco, para que le facilitemos datos privados.

En este ultimo año, se ha observado un fuerte crecimiento de este tipo de delitos, pero también un aumento de las medidas de seguridad adoptadas por los bancos, que evitan, mediante alertas la asunción de cualquier responsabilidad. Quien debe soportar la estafa, el cliente o el banco?

Los Bancos aseguran que es el cliente quien resulta engañado para entregar las claves de sus cuentas a los estafadores, y por tanto, quien debe responder de lo que ocurre con los fondos que hay depositados en ellas.

La sentencia más importante y la que ha propiciado la inclusión de alertas en todas las webs bancarias es la dictada por el Juzgado de Primera Instancia nº2 de Castellón de 25 de junio de 2008, que está aun en apelación, y que condenó a BANCAJA a pagar 6.119 euros a dos usuarios de banca por Internet que resultaron afectados por una estafa mediante el procedimiento de "phishing" o suplantación de identidad.

A pesar de las cláusulas que se suelen incluir en los contratos bancarios on-line, por las que se exonera a la entidad de cualquier responsabilidad derivada de la utilización fraudulenta de las claves de identificación de los usuarios, se consideró que dichas cláusulas infringen la Ley General de Consumidores y Usuarios, lo que conlleva la nulidad de las mismas, todo ello de acuerdo a SAP de Madrid de11 de febrero de 2005.

El Juzgado tuvo en consideración el informe que el Servicio de Reclamaciones del Banco de España dictado para este caso, en el que éste entendía que la entidad bancaria no ofreció a sus clientes información necesaria para evitar el fraude y operar de forma segura y además incluyó cláusulas por las que pretendía eludir estas responsabilidades.

Dicha sentencia sentó un precedente y todas las entidades bancarias incluyen en sus webs alertas como las siguientes: “Las entidades bancarias jamás piden a sus usuarios que revelen sus datos de acceso. Por tanto, en caso de recibir cualquier correo electrónico de este tipo, elimínelo sin tan siquiera abrirlo”

Sin embargo, las denuncias son incesantes, y es difícil creer que haya tantos usuarios que se aventuren a utilizar la banca on-line sin haberse informado antes y haber adoptado unas mínimas cautelas, por lo que si aun existiendo información por parte de los bancos los clientes resultan engañados y su dinero retirado de las cuentas sin su autorización, quien debe responder?

Al abrir una cuenta bancaria se está celebrando un Contrato de Depósito, con obligaciones y deberes tasados por Ley, donde el depositante es el usuario y el depositario es el banco. Es el banco quien debe guardar los fondos de sus clientes y por tanto quien debe responder de ellos. Si esta entidad sufre directamente un ataque a su sistema de seguridad informática, entonces le corresponderá exigir la “responsabilidad civil subsidiaria” derivada del delito a los estafadores. Los clientes recuperan su dinero directamente de la entidad bancaria de forma inmediata.

Si se considera que el estafado es el cliente el banco también debe responder ante él, porque tiene por ley esa responsabilidad civil subsidiaria, por los fallos cometidos en los sistemas de seguridad informáticos que gestionan su actividad económica.

Los bancos responden a las denuncias de los clientes estafados por phishing asegurando que la seguridad de sus medios es infalible, pero, de momento, los Tribunales abogan por dar cobertura al cliente y obligar a los bancos a cubrir el importe retirado por los estafadores o “pescadores” de datos.