Los consumidores son cada vez más vulnerables frente a los ciberdelitos, cada vez más frecuentes. “El consumidor queda a los pies de los caballos en materia de phishing bancario”, aseguran fuentes de ASUFIN (@asufin_). La asociación asegura que “son numerosas las sentencias que llegan a la asociación y que demuestran que el sistema judicial no está dando una respuesta adecuada a un entramado de vacíos de seguridad que perjudican, fundamentalmente, al usuario de banca, por la sustracción de fondos que le origina”.
Como ejemplo, la Asociación de Usuarios Financienros expone el caso de una sentencia desestimatoria, en la que el magistrado del Juzgado número 53 de Barcelona reconoce que el consumidor fue víctima de phishing, pero que el banco no puede ser el responsable, y aduce que “si el demandante, nervioso por la situación, facilitó los códigos OTP a pesar de que en el mensaje se le indicaba que era para confirmar las compras, y no para anularlas, debe asumir las consecuencias de sus actos”.
Sin embargo, el fallo no da relevancia a circunstancias fundamentales como que el SMS que le llegó al cliente se colocó en la línea de mensajes legítimos que previamente había recibido de la entidad, ni a que la llamada que recibió provenía de un número que su teléfono directamente identificó como BBVA, ni a que su interlocutor se dirigiera a él por su nombre y apellido, dándole determinados datos que le hicieron creer legítimamente que hablaba con su banco, ni a que el dispositivo desde el que se efectuaron las operaciones fraudulentas no era el que el asociado tenía registrado en su perfil.
ASUFIN recuerda que “la Ley vigente no otorga la misma responsabilidad a la entidad bancaria y al usuario de los medios de pago, dado que la situación de ambos no es equivalente, sino todo lo contrario, desigual”. La entidad bancaria es la que dispone de los medios de seguridad para proteger adecuadamente los fondos y transacciones.
En concreto, el artículo 41 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, establece para el usuario la obligación de “tomar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas”, sin entrar en mayor detalle de qué se considera razonable. Mientras que la entidad está obligada, por artículos sucesivos a demostrar que efectivamente ha habido una negligencia: “corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave”. Y, en cualquier caso, la entidad está obligada a restituir las cantidades objeto de fraude: “en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato”.
