Unha sentenza histórica do Supremo pode decantar cásoos dos afectados polo phishing en ABANCA

Non se sabe cantos, pero son decenas, talvez centos de clientes de ABANCA os afectados por casos de phishing. O hackeo dos ciberdelincuentes a ABANCA permitiu o filtrado de datos sensibles de moitos usuarios que, máis tarde, foron utilizados en ciberestafas coas que roubaron miles de euros ás vítimas que, en moitos casos, aínda seguen lcuhando por recuperar o seu diñeiro, tendo en conta que a entidade que preside Juan Carlos Escotet nega ningún tipo de responsabilidade. Agora, unha nova sentenza da que se fai eco o despacho Oulego Avogados e Consultores, pode ser determinante para que a xustiza dirima en favor das vítimas de phishing. 

UN CAMBIO DE PARADIGMA?

No seu comunicado, desde Oulego Avogados fan fincapé na problemática das ciberestafas, que se multiplicaron nos últimos anos, especialmente na modalidade do phishing "que consiste en suplantar a identidade do banco de diversas formas para obter as claves e datos persoais dos usuarios coa finalidade de acceder e apropiar dos seus fondos depositados no banco de diversas formas: trasferencias, pagos por bizum, creación de cartóns virtuais ou pagos realizados cos cartóns de crédito da vítima".

Nesa liña, destacan que nos últimos tempos "aumentaron os riscos de seguridade dos pagos electrónicos, debido á maior complexidade técnica destes, o incesante incremento do volume de pagos electrónicos en todo o mundo e os novos tipos de servizos de pago". Por iso, demandan a existencia de "servizos de pago fiables e seguros é condición esencial para o bo funcionamento do mercado de servizos de pago, polo que os usuarios deses servizos deben gozar da debida protección fronte a talles riscos".

Tanto o ordenamento xurídico español como europeo contemplan o uso destes servizos de pago onde se establece un "réxime de responsabilidade case obxectivo" dos bancos para os pagos non consentidos polos usuarios. "A entidade bancaria debe devolver ao cliente o importe destes pagos", subliñan. 

A pesar disto, desde Oulego Avogados destacan que, até agora, os bancos "denegan as reclamacións previas", o paso inicial antes de emprender medidas legais, o que leva a procesos xudiciais en ocasións moi longos e que, en ocasións, resólvense con sentenzas onde "aprecian neglixencia nos clientes vítimas de phishing e estafas bancarias e terminan denegando o reintegro dos fondos". No entanto, son máis os fallos nos que se establece que a responsabilidade é dos bancos e condénallos a devolver o diñeiro subtraídos aos seus clientes. En Galicia ocorreu en varias ocasións, sendo a da Audiencia Provincial de Ourense emitida o xuño pasado unha das máis relevantes.

Agora é o Tribunal Supremo o que na súa Sala Primeira ditaminou o pasado 9 de abril que existe unha "importante evolución no tratamento xurídico das operacións non autorizadas derivadas de fraudes por phishing", nomeadamente aquelas que comprenden "a modalidade de duplicado de SIM". "Este fallo constitúe un avance na consolidación dun réxime de responsabilidade case obxectiva para as entidades financeiras, e pon de manifesto a necesidade de que os bancos adopten medidas de protección activa e non meramente pasiva fronte aos crecentes riscos da contorna dixital", declaran.
 

AVISOS DO AFECTADO E PASIVIDADE DA ENTIDADE

Nesta ocasión, a sentenza sería produto dun caso de phishing sobre un cliente de Ibercaja Banco, pero ao tratar dunha análise do Supremo podería extrapolarse a calquera entidade bancaria. Sobre este episodio, no que un cliente perdeu máis de 83.000 euros a través de transferencias de bizum e da plataforma da entidade bancaria, os ciberestafadores utilizaron "datos de autenticación do titular e os códigos de confirmación enviados mediante SMS".

"No entanto, previamente á execución destas operacións, o cliente advertira ao banco de diversos sinais de risco: recibira mensaxes SMS de confirmación de operacións que non solicitara, sufrira cargos non autorizados na súa conta vinculados a servizos de Google e, días antes, a súa esposa recibiu un correo alertando dun intento de acceso non autorizado á súa conta. Esta cadea de feitos foi comunicada ao banco en tempo e forma, solicitando a cancelación do cartón e medidas de seguridade adicionais", indican, lamentando que, a pesar das advertencias, "o banco non adoptou ningunha medida preventiva". 

"Non bloqueou a operativa, non reforzou a autenticación, nin sequera emitiu unha alerta. Foi outra entidade bancaria (Banco Santander), a que advertiu a Ibercaja dunha transferencia sospeitosa, o que permitiu descubrir a fraude. Só entón iniciouse o procedemento de recuperación dos fondos, con éxito parcial", indican.

Neste escenario, o TS estima que non se exime á entidade bancaria de responsabiliad cando o cliente nega autorizar as operacións, aínda que previamente haxan "cumprimento formal dos protocolos de autenticación"

"O Alto Tribunal lembra que, conforme ao artigo 36 do Real Decreto-lei 19/2018, en concordancia coa Directiva PSD2 (#UE) 2015/2366 e o seu desenvolvemento regulamentario (Regulamento Delegado UE 2018/389), unha operación só pode considerar autorizada si o usuario deu o seu consentimento real, non meramente formal. E si o cliente nega autorizar a operación, a carga da proba recae no banco, que debe demostrar non só que a operación foi autenticada, rexistrada e executada correctamente, senón tamén que non se viu afectada por fallos técnicos ou deficiencias do servizo prestado (art. 44 RDL 19/2018)", detalla o despacho. 

Así as cousas, o Supremo incide en que "o feito de que as operacións fosen validadas mediante credenciais correctas non basta para considerar que o consentimento foi outorgado polo titular, sobre todo cando concorren indicios de fraude previamente comunicados polo usuario".

MÁIS ALÓ DA VERIFICACIÓN

Con estes criterios, o Supremo establece que os bancos non poden limitar a "verificar que se introduciron correctamente usuario, contrasinal e código, senón que debe analizar o contexto da operación: volume, frecuencia, horario, destinatarios, historial do cliente, etc". "Non é razoable que non se active ningunha alerta ante quince transferencias nocturnas consecutivas, por importes elevados, cando días antes o cliente xa reportara intentos de acceso non autorizados", lembran. 

O Supremo tamén abunda en termos como "deficiencia do servizo", que "abarca calquera falta de dilixencia ou mala praxe na prestación do servizo" máis aló de posibles fallos do sistema informático, xa que estaría referido a "calquera falt ade dilixencia ou mala praxe na prestación do servizo, no entendemento de que o grao de dilixencia exixible ao provedor dos servizos de pago non é o propio do bo pai de familia, senón que a natureza da actividade e os riscos que entraña o servizo que se presta".

De igual maneira, subliñan que as "operacións non autorizadas" abrigan tamén a aquelas "que se iniciaron coas claves de usuario e contrasinal do usuario" pero sobre as que o cliente "niege habelas autorizado". "Nese caso o banco deberá acreditar que a operación de pago foi autenticada, rexistrada con exactitude e contabilizada, e que non se viu afectada por un fallo técnico ou outra deficiencia do servizo que presta", advirten. 

Con estas vimbias, a responsabilidade do banco só poderase excluír "cando se demostre que o usuario incorreu en neglixencia grave ou fraude". Sobre o caso particular, o Supremo descartou a neglixencia grave do cliente, que ademais de advertir ao propio banco chegou a cambiar os contrasinais e pediu medidas de seguridade. A resposta foi a "pasividade" de Ibercaja.

"O fallo tamén deixa sen efecto a cláusula contractual de exoneración de responsabilidade incluída no contrato de banca dixital, ao considerar que vulnera a normativa imperativa de protección ao consumidor, e, por tanto, é ineficaz", agregan. Para José Ramón Oulego, socio director da firma Oulego Avogados e Consultores, a explicación do Supremo "representa un paso decidido na consolidación dun modelo de responsabilidade preventivo, proactivo e centrado na protección do usuario". "Os bancos non poden limitar a verificar credenciais. Deben analizar o contexto, os indicios de fraude e actuar cando o risco é evidente", conclúe.