El Supremo obliga a los bancos a reponer el dinero robado en casos de 'phishing'

El Tribunal Supremo ha dictado una sentencia en la que aclara que las entidades bancarias deben asumir la responsabilidad de las estafas a través de Internet,como el phishing, salvo que puedan demostrar que el cliente actuó con negligencia grave.

La decisión judicial tomada confirma una sentencia anterior de la Audiencia Provincial de Zaragoza que daba la razón a un usuario al que le retiraron más de 83.000 euros de su cuenta sin su consentimiento. Desde organizaciones como la OCU se ha valorado muy positivamente este fallo: "Es una buena noticia para todos los usuarios y desde OCU así lo celebramos".

Según la sentencia, cualquier pago realizado bajo los efectos de un engaño no se considerará autorizado, y por tanto, la entidad bancaria deberá reponer los fondos robados. Esta medida representa un fuerte respaldo a los derechos de los consumidores que sufren este tipo de ataques, cada vez más sofisticados y difíciles de detectar.

Cargo no autorizado: el banco debe responder

Para el Tribunal Supremo hay una responsabilidad cuasi objetiva para el proveedor de servicios de pago. El banco solo puede eludir esa responsabilidad si demuestra:

• que la operación fue autenticada, registrada y contabilizada correctamente;
• que no hubo fallo técnico ni deficiencia del servicio;
• que el usuario actuó con fraude o negligencia grave.

Además, para dar garantías al usuario, el banco debería contar con sistemas de seguridad capaces de detectar actividades sospechosas, así como de bloquear o verificar operaciones de alto riesgo.

Según la OCU, "la sustracción de dinero por los sofisticados sistemas que usan los ciberdelincuentes puede no ser responsabilidad del banco, pero tampoco es responsabilidad del usuario, que no tiene por qué soportar esas pérdidas".

Tipos de phishing y recomendaciones

Los tipos de engaño son muchos, pues estos inescrupulosos personajes imitan las páginas de tu banco, la Agencia Tributaria, o compañias privadas hasta envían supuestas ofertas de trabajo para atraer tu atención. Debido a ello, la OCU brinda las siguientes recomendaciones para no caer en esta estafa:

• Recibes una comunicación que pretende ser del banco, indicándote que para poder seguir usando la banca online necesitan verificar tu identidad y te proponen un enlace donde a continuación te piden tus claves de acceso a la banca online. Si crees que han suplantado a tu página del banco y has dado información financiera ponte en contacto inmediatamente con tu banco para hacérselo saber.
• Te llega un correo "profesional" Si te llega un correo de un desconocido con un cargo importante invitándote a una reunión por Teams, y te dejan un enlace con el que logarte con tu email y password de la empresa. Con esos datos, podrían acceder al sharepoint o servidores de tu empresa y acceder a información sensible y estratégica. Si el engaño te ha llegado a través del email corporativo y has proporcionado tus credenciales, habla con el departamento de informática lo antes posible, ellos te darán las pautas a seguir.
• Te llega un falso email o mensaje SMS de Correos en el que te piden que debes pagar un pequeño precio por una entrega de un paquete, y resulta que has dado tu número de tarjeta. En ese caso, debes anular tu tarjeta inmediatamente y llamar al banco para que te den las pautas a seguir.
• Recibes un correo de Paypal. Si te ha llegado un supuesto email de Paypal informándote de un cuantioso pago realizado con tu cuenta y te piden hacer clic en un enlace para anularlo... pero claro, previamente debes proporcionar tus claves de acceso. En ese caso es muy importante cambiar la contraseña de ese servicio, en este caso Paypal, cuanto antes. Si eso no fuera posible, deberías ponerte en contacto con la compañía para informar del fraude o, avisar al banco asociado a tu cuenta de Paypal o servicio correspondiente.