El «phishing» es el fraude por Internet más complicado con el que se están encontrando las entidades bancarias y sus clientes en los últimos cinco años. Consiste en el envío masivo de correos electrónicos a los usuarios para robarles sus datos bancarios. El problema cuando se produce este tipo de fraude es que no está claro quién debe responder de la desaparición de los fondos.
Ateniéndonos a la definición de «phishing», parece que es el cliente del banco quien siempre resulta engañado para entregar las claves de sus cuentas a los estafadores, y por tanto, quien debería responder de lo que ocurre con los fondos que hay depositados en ellas. Éste es el principal argumento de los bancos cuando sufren «phishing».
Sin embargo, desde la Comisión de Seguridad de la Asociación de Internautas (AI) afirman que cada día reciben decenas de correos que preguntan qué hacer ante una cuenta corriente vacía, que ha sufrido dos o tres transferencias sin que sus titulares las hubiesen ordenado y, casi siempre, recalcando que no han recibido ningún «e-mail» sospechoso pidiéndoles las claves, ni han realizado consultas «online» a su cuenta desde ordenadores compartidos o públicos.
«La realidad es que los ataques directos a los bancos también existen. Las manipulaciones informáticas de sus sistemas de seguridad, que ponen de manifiesto las vulnerabilidades de la banca ‘online’, están a la orden del día. ¿Cómo se explica si no que los usuarios de unos bancos se vean más afectados que los de otros? ¿Son unos usuarios más imprudentes que otros? No parece factible», comenta la Asociación de Internautas.
La entidad, responsable
Según la ley, el banco es quien debe guardar los fondos de sus clientes y, por tanto, quien debe responder de ellos. «Si esta entidad sufre directamente un ataque a su sistema de seguridad informático, si resulta ser víctima de la estafa, entonces le corresponderá exigir la responsabilidad civil subsidiaria derivada del delito a los estafadores. Los clientes quedan al margen de la investigación del delito y deben recuperar su dinero directamente del depositario (de la entidad bancaria) sin discusión ni demora ninguna», explica la AI.
Si se considera que el estafado es el cliente, igualmente «el banco debe responder ante él, porque tiene por ley esa responsabilidad civil subsidiaria, por la/s negligencia/s cometida/s por sus empleados o, en los casos de banca ‘online’, los sistemas informáticos que gestionan su actividad económica».
Pero lo cierto es que los afectados por «phishing» tardan meses o años en recuperar su dinero. ¿Por qué? La AI lo tiene claro: «Los bancos no reconocen nunca que su sistema de banca ‘online’ no es seguro porque les supondría pérdidas millonarias y un notable desprestigio. Esto se traduce en no realizar ni un solo acto que pudiera significar que aceptan sus errores sin antes pelearlo, es decir, prefieren repercutir la responsabilidad de la custodia de claves y fondos en sus clientes, dejando en sus manos la denuncia de la estafa y la investigación del delito para recuperar su dinero. Los bancos responden que su seguridad es infalible y que lo más probable es que el cliente haya sido engañado y negligente».