Buscar
Cerrar este cuadro de búsqueda.
Buscar
Cerrar este cuadro de búsqueda.

Estafas digitales: Responsabilidad del banco por Phishing

Tabla de contenidos

Estafas digitales: Responsabilidad del banco por Phishing
Estafas digitales: Responsabilidad del banco por Phishing

Actualizado 10/01/2022

La creciente digitalización de los servicios bancarios ha provocado un aumento significativo de delitos de estafa bancaria (también conocida como “phishing”), consistentes en el artificio informático por el cual el estafador consigue las claves de acceso de la cuenta bancaria del consumidor para luego sustraerle antijurídicamente su activo patrimonial. Nuestros tribunales han determinado que las entidades bancarias serán responsables frente a sus clientes cuando hubiesen sido víctima por phishing. Es posible, por tanto, reclamar al banco la devolución de todos los importes sustraídos por el estafador, más los intereses devengados.

Qué es el Phising

El phishing, según ha sido definido por la jurisprudencia, es una práctica mediante la cual el phisher (así se denomina al defraudador que utiliza esta fórmula delictiva) suplanta la identidad del banco para conseguir mediante engaño información confidencial del cliente bancario. Esta información puede consistir en las claves de acceso a las cuentas bancarias online, datos de la tarjeta de crédito, claves de firma bancaria, etc.

Por lo general la víctima recibe un email aparentemente enviado por su banco de confianza. Ese correo ostenta toda imagen de veracidad, donde se solicita que el cliente modifique sus claves o datos confidenciales por medio de ese correo o de un enlace a una web que igualmente ha sido falsificada. En realidad se trata de un email diseñado por el defraudador para engañar al cliente bancario y obtener mediante esa solicitud de información los datos necesarios para ingresar en su cuenta bancaria y transferir fondos.

También son habituales los casos en los que el estafado espera un paquete o una transferencia bancaria de un supuesto comprador y por mensaje de texto (v. gr. por SMS o mensaje de WhatsApp) recibe un enlace que al clicarlo está dando sin querer acceso al estafador para el control remoto de su teléfono.

Se trata de un delito de estafa cibernética cuyo encaje se encuadra en el artículo 248.2 del Código Penal, dentro del tipo de la estafa con manipulación informática con penas de hasta 3 años de cárcel. La condena varía en función del importe de fondos sustraídos y quebranto económico causado al perjudicado.

Sin embargo, la víctima va a encontrar notables dificultades para perseguir al delincuente y en muchos casos la identidad de éste nunca llega a averiguarse. Este problema es repetido en delitos o fraudes digitales como otros que ya hemos analizado en artículos anteriores.

Leer: «Estafas digitales: Pago de facturas al defraudador que simula ser un proveedor real«

La responsabilidad del banco frente al phishing

Dada la dificultad de identificar al autor del delito de estafa bancaria y de poder resarcir el daño, la alternativa más viable y garantista es reclamar a la entidad bancaria la devolución de todas las cantidades apropiadas por parte del delincuente. El banco es una entidad perfectamente identificable y solvente, consiguiendo mediante la oportuna reclamación una fórmula más directa para recuperar el dinero.

Esto es posible gracias al Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (en adelante, RDL 19/2018), por el que se derogó la Ley de Servicios de pago de 2009, que establece una responsabilidad de la entidad bancaria “cuasi objetiva” cuando la víctima no haya dado autorización real a la transferencia del dinero. Esto significa que la responsabilidad se imputa de forma directa al banco con independencia de si la entidad ha incurrido en culpa o dolo, quedando exonerado únicamente en los casos de fuerza mayor o culpa exclusiva del perjudicado.

Concretamente el artículo 45 del Real Decreto-ley 19/2018 establece lo siguiente:

“(…) en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada”.

Así, este artículo dispone que el proveedor de los servicios de pago (o, lo que es lo mismo, la entidad bancaria depositaria de los fondos afectados) tiene la obligación legal de devolver a la víctima la cantidad total que se le ha sustraído mediante las operaciones no autorizadas.

¿Pueden emprenderse acciones legales de forma acumulada tanto frente al delincuente como frente al banco?

No puede reclamarse la devolución de una misma cantidad, frente a dos sujetos distintos y por vías distintas. Es decir, si hemos sido objeto de un engaño mediante el cual se transfirieron 10.000 euros desde nuestra cuenta bancaria, no podremos reclamarle el reembolso de los 10.000 euros al estafador, y a su vez solicitar la entrega de esa misma cantidad a la entidad bancaria.

Pero sí es posible perseguir la responsabilidad penal del estafador por vía penal, y reclamar a la vez la responsabilidad civil y entrega de importes a la entidad bancaria frente a los tribunales de primera instancia.

¿Y qué dicen los tribunales españoles?

La jurisprudencia es unánime a la hora de considerar que el banco debe restituir las cantidades antijurídicamente sustraídas por un tercero en tanto que como depositaria de los fondos tiene la obligación legal de conservar y devolver el dinero depositado. Únicamente se le podrá exonerar de dicha obligación cuando pudiera acreditar que el cliente ha actuado fraudulentamente o con negligencia grave a la hora de proteger sus datos personales y confidenciales, no pudiéndose considerar como negligencia o culpa haber caído en el fraude de un correo o página web aparentemente verídicos.

No obstante, de forma previa a la reclamación la víctima del engaño deberá poner en conocimiento del banco que se ha realizado una operación de pago no autorizada o ejecutada incorrectamente, según establece el artículo 43 de la misma Ley. Se entenderá que dicha comunicación se realizó de manera diligente siempre y cuando se efectuase en el plazo de 3 meses desde la fecha del acto delictivo.

Puede Interesarte: «Cibercriminalidad y abuso en la investigación criminal«


José Luis Casajuana Ortiz
Socio de J. L. Casajuana y responsable del área internacional

30/09/2020

 

Deja un comentario

Artículos relacionados

Infórmese sin compromiso

¿DUDAS? PREGUNTA A NUESTROS EXPERTOS

    En virtud de lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento europeo y del consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales, CASAJUANA ASESORES S.L.P le informa que sus datos personales incorporados en este formulario, serán incluidos en un fichero creado bajo nuestra responsabilidad, con la finalidad de comunicarnos con usted para llevar a cabo el mantenimiento y control de la relación negocial que nos vincula y podrán ser cedidos a terceros para gestionar la relación negocial.
    Según el Reglamento (UE) 2016/679 de 27 de abril de 2016, puede ejercitar los derechos de acceso, rectificación, oposición y supresión dirigiéndose por escrito a CASAJUANA ASESORES S.L.P en la Calle de Diego de León, 47, 28006, Madrid o al correo electrónico despacho@jlcasajuana.com

    SUSCRÍBETE A NUESTRO NEWSLETTER

      Nombre (requerido)

      Email

      Temas de interés

      Scroll al inicio
      Abrir chat
      1
      Escanea el código
      Hola
      ¿Tienes dudas? Pregúntanos sin comproiso.