La banca se agarra a la negligencia de los clientes para no pagar en causas de ‘phising’
▶ Estos fraudes son los que más quejas generan contra las entidades financieras
La banca trata de poner pie en pared en las demandas de clientes por casos de ‘phising’ y ‘smishing’, cada vez más frecuentes. Las entidades financieras se niegan en muchos casos a reintegrar al usuario el dinero que le han robado los ciberdelincuentes ya que se agarran a que el propio cliente fue negligente a la hora de custodiar sus credenciales bancarias.
‘Phising’ y ‘smishing’ son dos términos que hacen referencia a técnicas de ingeniería social que consisten en enviar correos electrónicos y SMS por parte de un ciberdelincuente a un usuario simulando ser una entidad –banco, empresa de mensajería...– para robar sus datos bancarios y con ello su dinero. La ley de servicios de pago establece, como norma general, que el banco debe restituir el dinero al usuario en operaciones no autorizadas.
La banca accede a esa devolución de los fondos sustraídos en algunos casos, pero en muchos otros obliga al cliente a litigar, esgrimiendo su supuesta negligencia, ya que la normativa exige al usuario actuar con diligencia para proteger sus credenciales. Asociaciones de consumidores como Asufin denuncian esta situación ya que se están encontrando con que cada vez más juzgados dan la razón a las entidades financieras en estos casos. Sin embargo, la realidad es que en primera y en segunda instancia se dan supuestos a favor y en contra. De ahí que las organizaciones reclamen a los poderes públicos mayor claridad al respecto, delimitando mejor la responsabilidad de los bancos y de los usuarios.
Las sentencias consultadas por este periódico, tanto en juzgados ordinarios como en instancias superiores, dan cuenta de los intentos de las entidades financieras por frenar este tipo de demandas. «La entidad financiera demandada, pese a asumir que los actores fueron víctimas de una estafa o fraude, niega cualquier tipo de responsabilidad, aduciendo que existe negligencia de la demandante, quién debió advertir que el SMS era para vincular un nuevo dispositivo, no para validar datos, absteniéndose de introducir ninguna clave de la banca online. Además, se le remitieron varios SMS con claves de seguridad de las operaciones», recoge la sentencia. «La demandada sostiene que esta negligencia concurre por parte del cliente y que si un tercero pudo acceder a sus cuentas es porque facilitó indebidamente datos propios, y no por ningún tipo de problema por parte de los servicios de seguridad informática del banco», se indica en otro fallo. Estos argumentos sirven a las entidades en múltiples ocasiones para evitar el pago.
Asufin, asimismo, se queja de que hay jueces que obvian el hecho de que las estafas llegan desde números que simulan al de los propios bancos. «Son numerosas las sentencias que llegan a la asociación y que demuestran que el sistema judicial no está dando una respuesta adecuada a un entramado de vacíos de seguridad que perjudica, fundamentalmente, al usuario de banca», indica la organización. Pero los jueces también inclinan la balanza del lado del usuario en otros supuestos, señalando que se necesita ser «experto en la materia» para poder detectar ciertas estafas.
Lo cierto es que el aumento de estas controversias también se ve en las cifras del servicio de reclamaciones ante el Banco de España, el paso previo a la vía judicial. En 2022, último año con datos, el supervisor bancario recibió 34.146 reclamaciones; de ellas, un tercio, más de 10.000, fueron por operaciones fraudulentas. Respecto al ejercicio pasado, los casos se han más que duplicado, quedando en primer lugar entre las materias objeto de reclamación, dando cuenta del problema creciente del ‘phising’ y el ‘smishing’.