Si algo ha propiciado la situación actual desencadenada por la pandemia de Covid 19 es el uso generalizado de Internet para la realización de actividades que antes quedaban, fuera de la actividad “online” que habitualmente realizaba el usuario medio.
Lo anterior ha dado lugar a que los delincuentes también hayan encontrado su particular forma de sacar partido a todas estas nuevas situaciones, produciéndose un aumento generalizado de la ciberdelincuencia y una adaptación de la misma a las nuevas “oportunidades” surgidas en el presente Statu quo.
Pero de entre todas las actividades vinculadas a la denominada ciberdelincuencia destaca el denominado “Phishing”, conociéndose bajo dicha denominación una técnica con la que los ciberdelincuentes pretenden, y muchas veces consiguen, apoderarse ilegalmente de información valiosa para el usuario, cómo pueden ser las contraseñas que nos permiten operar nuestros activos bancarios o cualquier otra información o datos personales con valor relevante para sus propósitos.
Características del Phishing
Para cumplir con los propósitos perseguidos por los delincuentes, debe generarse sensación de confianza en el usuario, para que este llegue a realizar las acciones necesarias que permitan el acceso a sus activos bancarios.
A través de una simple consulta a la página del Instituto Nacional de Ciberseguridad (INCIBE), podemos encontrar alertas sobre campañas de Phishing tan variadas como:
• “Vuelve la campaña por email que suplanta a la DGT con una supuesta multa”
• “Si recibes un email con una supuesta factura de Vodafone, ¡no la descargues, es malware!”
• Campaña de phishing suplantando al Banco Santander, ¡mantente alerta!
• Campaña de phishing suplantando a ING ¡No les des ni un dato!
Todos estos ejemplos están relacionados con entidades de acreditada solvencia, las cuales son suplantadas por los delincuentes por cumplir con dos características: generar sensación de confianza en el usuario y permitir justificar la necesidad de realizar una disposición de fondos.
Por eso, al cumplir con ambos requisitos, de entre las entidades de las que se valen los Phishers para llevar a cabo sus engaños destacan las entidades bancarias.
Tipificación penal del Phishing cómo estafa
Sin perjuicio de la novedosa denominación anglosajona y de la modernidad de los medios empleados, el Phishing no deja de circunscribirse dentro de la tipificación penal de la estafa clásica, recogida en el artículo 248 del Código Penal, pero adaptado a la nueva realidad online.
Así, según establece el mencionado artículo 248 del Código Penal, podemos encuadrar el Phishing dentro del tipo penal de “estafa”, al consistir, de forma general, en el empleo de un engaño para inducir a otro a realizar un acto de disposición en su perjuicio. Adicionalmente, el mismo artículo 248 en su apartado 2, tipifica la situación en la que la estafa se realiza empleando una manipulación informática.
Al consistir el Phishing en la realización de un delito tipificado en el Código Penal, la primera consideración lógica, ante un caso de Phishing, podría ser plantear la correspondiente denuncia penal ante la autoridad competente. Sin embargo, lo anterior muchas veces no resulta lo más práctico de cara a conseguir un resarcimiento económico.
Responsabilidad civil de los prestadores de servicios de pago
Dada la dificultad de investigación y persecución de estos “ciberdelitos”, resulta poco práctico considerar la vía penal como la más adecuada para tratar de cumplir con el de recuperar los activos bancarios o la información usurpados por los ciberdelincuentes.
En los casos de Phishing en ocasiones se originan responsabilidades civiles por la actuación de los proveedores de servicios de pago que intervienen en las operaciones por medio de las cuales se producen las defraudaciones en que consiste el Phishing.
Las entidades bancarias y los proveedores de servicios de pago están sujetos a lo establecido en el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, (en adelante “Ley de Servicios de Pago”).
Estas entidades, por el propio método de ejecución del Phishing, suelen ser actores que juegan un papel muchas veces imprescindible para que el Phishing pueda producirse.
Por ello, ante un caso de Phishing, debe tenerse en cuenta la normativa antes citada, la cual establece una responsabilidad indemnizatoria por las operaciones de pago que se realicen en fraude de los ordenantes, siempre que se den determinadas condiciones, según se indica a continuación.
Consentimiento del ordenante para autorizar una operación de pago
Debe tenerse en cuenta la obligación establecida en el Artículo 36 de la Ley de Servicios de Pago de recabar el consentimiento del ordenante para poder considerarse autorizada una operación, lo cual en los casos de Phishing puede no llegar a producirse o, en su caso, dicho consentimiento puede adolecer de un vicio debido al propio engaño al que es sometido el ordenante en un caso de Phishing.
Autenticación de las operaciones de pago por parte del proveedor de servicios de pago
Además, el artículo 44 de la Ley de Servicios de Pago, establece que si un usuario de servicios de pago negase haber autorizado una operación ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al prestador de servicios demostrar que la operación fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago. A los efectos anteriores es necesario tener en cuenta la definición de Autenticación que nos da la propia ley en su Artículo 3:
“Autenticación: procedimiento que permita al proveedor de servicios de pago comprobar la identidad de usuario de un servicio de pago o la validez de la utilización de determinado instrumento de pago, incluida la utilización de credenciales de seguridad personalizadas del usuario”.
Requisitos para que se origine la responsabilidad del proveedor de servicios de pago
En el caso de que el prestador de servicios de pago no pudiera probar que la operación cumplió con todos los requisitos establecidos por la normativa, el Artículo 45 de la Ley de Servicios de Pago establece que se originará una responsabilidad indemnizatoria para el proveedor de servicios de pago, siempre que se cumplan los siguientes requisitos:
i. Que el ordenante no hubiera prestado su consentimiento.
ii. Que el ordenante no hubiera cometido fraude.
iii. Que el ordenante no hubiera actuado con negligencia grave.
iv. Que el ordenante comunique la incidencia de inmediato.
La consecuencia de lo anterior es que, en caso de cumplirse las condiciones establecidas, el proveedor de servicios de pago deberá devolver las cantidades defraudadas al usuario.
Casos contemplados por la jurisprudencia en los que se establece la responsabilidad indemnizatoria de los proveedores de servicios de pago
La Ley de Servicios de Pago ha sido desarrollada por cuantiosa jurisprudencia que fija la responsabilidad indemnizatoria por parte de los proveedores de servicios de pago en situaciones tales como:
• Si el proveedor de servicios de pago no hubiese adoptado medidas de seguridad al haberse producido movimientos inusuales en las cuentas de los afectados.
• Si el proveedor de servicios de pago no hubiese realizado las comprobaciones pertinentes en cuanto a la autenticidad de la firma del ordenante o de las órdenes de pago supuestamente emitidas por el ordenante.
• En el caso en que los delincuentes utilizaron una web clonada simulando ser la web corporativa de la entidad bancaria consiguiendo así que el usuario introdujese sus claves y contraseñas.
Conclusión
En caso de vernos envueltos en un caso de Phishing, la exigencia de responsabilidades de tipo indemnizatorio a las entidades bancarias y proveedores de servicios de pago puede constituir en muchos casos una opción mucho más práctica, factible y lógica, de cara a obtener la reparación económica provocada por el Phishing, que instar la correspondiente investigación penal, de incierto resultado, para perseguir al responsable último de la actividad delictiva.
En consecuencia, toma todas las medidas a tu alcance para no ser víctima del Phishing, se cuidadoso en la Red y si, no obstante, te ves afectado por la práctica delictiva del Phishing, contacta con Belzuz Abogados para que te podamos asesorar valorando todas las opciones y ayudarte a recuperar tú dinero.
Commercial and Corporate Law department | Madrid (Spain)
Belzuz Abogados SLP
This publication contains general information not constitute a professional opinion or legal advice. © Belzuz SLP, all rights are reserved. Exploitation, reproduction, distribution, public communication and transformation all or part of this work, without written permission is prohibited Belzuz, SLP.