¿Cuándo el banco responde ante el phishing o el fraude informático?

Phishing es aquel acto por el que un internauta suplanta la entidad bancaria donde un cliente tiene una cuenta abierta y obtiene de éste los datos personales, contraseñas y datos necesarios entrando en la cuenta de forma fraudulenta disponiendo de los fondos.

Ante los delitos de fraude informático, a menudo el perjudicado piensa que no vale la pena reclamar al banco atendiendo a los recursos que este posee en su defensa pues en tal caso hay que tener en cuenta que ante un caso de phishing, procede la reclamación pues se presume la culpabilidad o responsabilidad de la entidad bancaria de conformidad con la Ley 16/2009 de 13 de noviembre de servicios de pago.

El banco es responsable de reparar los prejuicios del phishing

Así, salvo en caso de negligencia grave del cliente del banco y perjudicado del phishing y siempre que el proveedor del servicio de pago haya actuado con toda la diligencia debida habiendo ido más allá de lo que está estrictamente pactado y regulado, será el Banco el responsable de reparar los perjuicios que se haya irrogado al cliente y víctima del fraude.

De la relación banco-cliente, es al banco a quien se le requiere una profesionalidad y vigilancia más allá de la que se pide a una persona media por ello, la carga de la prueba establecida por la Ley de Enjuiciamiento Civil, art. 217, decae ante las exigencias de la Ley de servicios de pago pues, si bien el cliente debe informar sin demora al prestador de los servicios de pago cuando se ha producido una transacción de pago no autorizada o fraudulenta para que se pueda proceder a su rectificación, al banco se le exigen otros cumplimientos.

Cumplimientos exigidos al banco

• La carga de probar la información dada al cliente recae al proveedor de los servicios de pago, el cual, además, se puede reservar el derecho a bloquear el uso del instrumento de pago por motivos objetivamente justificados relacionados con la seguridad del instrumento de pago o la sospecha del uso no autorizado o fraudulento del mismo.
• El proveedor del servicio de pago debe acreditar que efectivamente el usuario del servicio de pago autorizó, registró y contabilizó el pago cuándo este lo niegue y asimismo que no se ha visto afectado por ningún fallo técnico o deficiencia.
• En caso de transacción de pago no autorizada, el proveedor del servicio de pago deberá reembolsar el importe de la transacción no autorizada.
• Finalmente, el pagador asumirá las perdidas totales que padece como consecuencia de las operaciones de impago autorizado por ser el resultado de una infracción o de un incumplimiento sea éste deliberado o por negligencia grave.

Las anteriores exigencias se establecen por cuanto que el banco debe tener y destinar los recursos necesarios para ofrecer al cliente soluciones tecnológicas avanzadas para evitar operaciones fraudulentas.

De todo ello se deprede que el banco no puede tener una actuación pasiva, conformista e inercial en su relación con el cliente, debe ofrecer servicios seguros pues, existiendo elementos de seguridad complementaria y compatibles entre sí, el banco debe aplicarlos para frenar actuaciones fraudulentas de movimientos en cuenta.

Elementos de seguridad que el banco debe aplicar con fines protectores

A efectos de verificar la actuación de la entidad bancaria con fines protectores deberá hacer uso de, por ejemplo:

• Código de usuario.
• Contraseñas de cliente.
• Tarjetas de coordenadas.
• Código de autorización para determinadas operaciones.
• Comunicaciones con el cliente.
• Avisos en la web de las operaciones.
• Deberá vigilar la frecuencia de la operación que se realiza.
• El tipo de operación.
• Los movimientos usuales o inusuales.
• El importe de la prestación.
• La superación del límite autorizado.
• El concepto de la prestación.
• La persona destinataria de la operación, si es extranjera o nacional, si son nombres habituales o no…

Será el uso y control de todas esas dinámicas y parámetros los que permitirán observar la diligencia del banco a los efectos de evitar operaciones fraudulentas y, con ello, responder por “culpa in vigilando” de las operaciones fraudulentamente efectuadas por terceros.

En ocasiones, el banco le dirá que no pueden recuperar sus activos pues el ciberdelincuente es ilocalizable y el ciberataque inevitable si bien, en virtud de la Ley de servicios de pago, usted tiene opciones de recuperar sus fondos.

Si se ha visto afectado por phishing o si su banco no atiende su reclamación, no dude en ponerse en contacto con el departamento de derecho de nuevas tecnologías TIC de Tarinas Law & Economy y gestionaremos su demanda.