Según el Instituto Nacional de Ciberseguridad el phishing es una técnica que consiste en el envío de correo electrónico o SMS por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima (banco, institución pública, rede social.etc.) con el objetivo de robar información privada, realizar un cargo económico o infectar el dispositivo. El mecanismo que se utiliza son archivos infectados o enlaces a páginas fraudulentas y simuladas que envían a través del correo o SMS.
Son numerosos los mensajes que envían cada día los ciberdelincuentes para poder engañar alguna de sus víctimas y conseguir acceder a su entidad bancaria extrayendo así todas aquellas cantidades de dinero posibles. Las técnicas que se emplean cada vez son más sofisticadas y el grado de simulación de las aplicaciones bancarias a las que redireccionan los links enviados son totalmente iguales a los portales de la banca digital.
Una vez introducidos los datos de acceso en los portales de banca digital simulados (pharming), se está facilitando el documento de identidad y la contraseña al ciberdelincuente, de tal forma que se da vía libre a su acceso a la cuenta corriente. En ocasiones, las víctimas no se dan cuenta hasta al cabo de unos días de los movimientos bancarios, por lo que es importante que la entidad bancaria proteja a todos sus clientes frente a dicho ataques.
La jurisprudencia más actual resalta la obligación de las entidades financieras de habilitar y actualizar las medidas de seguridad actuales para poder luchar contra las nuevas modalidades de fraude ejecutadas a través de Internet.
«Salvo que el banco acredite fraude o negligencia grave del usuario, corresponderá a la entidad financiera responder de los daños causados«
SENTENCIA AUDIENCIA PROVINCIAL DE ZARAGOZA
En fecha 14 de septiembre de 2022, la Audiencia Provincial de Zaragoza confirmó la sentencia que condenaba a la entidad bancaria Ibercaja a pagar más de 50.000 euros a varios clientes de una misma familia que fueron víctimas de un ataque de phishing.
El caso en cuestión se remite a una familia vinculada a Ibercaja a través de varios contratos, entre ellos: contrato de apertura de cuenta, contrato de cuenta de depóstio a la vista, contrato marco de servicios de pago y contrato de banca a distancia.
Las víctimas no recibieron ningún mensaje a su dispositivo móvil que les hiciera sospechar que se estaban realizando un conjunto de transferencias no autorizadas en enero de 2021, por lo que a través de accesos ilícitos en sus cuentas se realizaron transacciones sin su consentimiento. Las pérdidas ocasionadas ascendían a un total de 50.182,10 euros, entre las que figuraban las comisiones de Ibercaja por haber realizado las citadas transferencias.
A raíz de los hechos, las víctimas ejercitaron una acción de reclamación de cantidad contra la mencionada entidad bancaria al amparo del Real Decreto-Ley 19/2018, de 23 de noviembre, de regulación de los servicios de pago y otras medidas urgentes en materia financiera, por lo que en enero de 2022, el Juzgado de Primera Instancia e Instrucción nº 1 de La Almunia de Doña Godina (Zaragoza) estimó la demanda planteada por y declaró que la actuación de la demandada en la gestión del fraude supuso “un incumplimiento de las obligaciones contractuales asumidas” en los contratos suscritos.
Ibercaja recurrió en apelación la Resolución alegando que la responsabilidad del fraude era del titular del dispositivo móvil al no haber realizado un mantenimiento adecuado y alegó en la contestación a la demanda que posiblemente el mismo pudo ser víctima de técnicas de suplantación de identidad utilizada por ciberdelincuentes.
Las víctimas aportaron un informe pericial emitido por ingeniero informático, acreditando que no recibieron SMS alguno que pudiera hacerles sospechar, como alegaba, Ibercaja, que se estaban realizando dichas transferencias, confirmando además el perito que no se había procedido al borrado de mensaje alguno en su teléfono móvil. En definitiva, la entidad bancaria no practicó ninguna prueba para acreditar la responsabilidad, negligencia o fraude de los usuarios afectados respecto a las transferencias realizadas.
La Audiencia de Zaragoza confirmó la sentencia dictada en primera instancia, recordando que salvo que el banco acredite fraude o negligencia grave del usuario, corresponderá a la entidad financiera responder de los daños causados, por lo que es la entidad bancaria quien deberá asumir la responsabilidad de la deficiente seguridad de sus sistemas informáticos si su banca electrónica puede propiciar posibles fraudes informáticos.
Hasta la fecha, Ibercaja ha interpuesto recurso de casación y extraordinario por infracción procesal, pendiente de admisión por el Tribunal Supremo.