En los días que corren, el fraude y la estafa en cuentas bancarias relacionadas con prácticas como el “skimming” o el “phishing”, está más que nunca de actualidad. Este hecho desgraciado, ha alcanzado niveles que no se habían visto con anterioridad, y para ello basta recordar alguna de las noticias recientes más impactantes en este ámbito.
La primera de ellas es la de que “Uno de cada cuatro delitos denunciados en Navarra ya son cometidos por Internet”[1], ya que, la policía foral tuvo conocimiento en el año 2020 de un aumento de un 15% de este tipo de delitos en comparativa con el año 2019.
Es igualmente destacable, la famosa estafa del “SMS”, que hace unas pocas semanas llegaba a nuestro país a través de un mensaje que decía “Tu paquete está llegando”, y en donde adjuntaban un link para descargar una aplicación, lo que resultaba ser un virus informático que conseguía el control del dispositivo móvil, y consecuentemente el robo del dinero desde las apps de los bancos[2]
Queremos destacar, en este sentido de la estafa a través del “SMS”, las palabras de Javier Martín[3], que nos dice que:
“Sin embargo, hacerlo puede generar un importante disgusto, ya que esas aplicaciones infectan nuestro dispositivo de un malware que tiene la capacidad de acceder a nuestros datos más sensible y poner en jaque, incluso, la seguridad de nuestras cuentas bancarias.
“En muchos casos, se instala también un troyano bancario que provoca que los hackers puedan tener acceso a todos los datos de nuestras cuentas bancarias. Gracias a eso obtiene nuestras claves y tiene la capacidad de hacer compras o utilizar nuestro dinero sin necesidad de ningún tipo de permiso por nuestra parte”.
Igualmente en este sentido, queremos poner de relieve las recomendaciones de “Kontsumobide”, Instituto Vasco de Consumo, al respecto, ya que “recomienda actuar con prudencia”. De esta forma, aconseja borrar el mensaje que le llegue si no se es cliente de la entidad que supuestamente le escribe, no espera ningún paquete o algo le parece «extraño» y recuerda que «jamás» van a pedir datos personales, como DNI, nombre, número de cuenta, contraseñas o similar por este sistema.[4]
Una vez, puesto de relieve este tipo de noticias surge una pregunta: ¿Qué son el skimming o el phissing? o ¿Qué diferencias hay entre unos y otros?
Pues bien para dar respuesta a este cuestión, lo abordaremos desde un punto de vista gramatical y desde un punto de vista doctrinal.
En primer lugar, el skimming es aquella práctica del robo de información de tarjetas de crédito, que usualmente se hace al momento de la transacción bancaria, para así conseguir la “clonación” de la tarjeta de crédito o débito y de esa manera usarlas de manera fraudulenta. Esta práctica, tiene lugar en cualquier sitio, ya sea un bar, gasolinera o cajero bancario. La práctica más habitual, es la de que se copia a través de un dispositivo la banda magnética de la tarjeta, y esa información se coloca sobre una tarjeta falsa y se usa para comprar de manera fraudulenta.
En segundo lugar, el “phishing” es definido como aquella practica informática que buscan el engaño a una persona, haciéndose pasar por otra persona o por una entidad bancaria, para manipularla y hacer que realiza acciones como el relevar información confidencial, como desvelar su PIN bancario o descubrir datos de carácter personal. Habitualmente el objetivo es robar información pero otras veces es instalar malware, sabotear sistemas, o robar dinero a través de fraudes. Dentro de este ámbito, encontramos especialidades en estas técnicas, como el “phishing tradicional”, el “vishing” o el “smishing”. A la persona que realiza estas prácticas, se le denomina como “phisher”.
Desde otra perspectiva, la doctrinal, es interesante resaltar las palabras de Mariliana Rico Carrillo, al respecto de estos fraudes, y en concreto sobre el “skimming”[5], indica que:
“Los casos más frecuentes de clonación ocurren en los comercios tradicionales y en los cajeros automáticos y se llevan a cabo mediante el uso de un dispositivo electrónico conocido como skimmer, que permite copiar los datos de la banda magnética de la tarjeta. Una vez que los datos han sido copiados, son procesados a través de un equipo informático y un software que capta la información y permite incorporarla a una tarjeta nueva, creando de esta manera la duplicación de la tarjeta original. La utilización de este dispositivo ha generalizado el uso del término skimming como omnicomprensivo de las situaciones donde se produce el robo de la información de las tarjetas como consecuencia de una utilización legítima del instrumento de pago”
Por otro lado, la UE, a través del Dictamen del Comité Económico Social sobre “La lucha contra el fraude y la falsificación de los medios de pago distintos del efectivo”, de 2009, indica que existe una necesidad de prevenir y sancionar como delito la clonación de soportes plásticos con códigos, y las contraseñas de las tarjetas de pago.
Igualmente, Mariliana Rico Carrillo del “phishing” nos indica que:
“Tanto en el phishing como en el pharming existe una manipulación informática que se lleva a cabo a través de las acciones encaminadas a duplicar la página Web de la entidad financiera, con la finalidad de captar los datos del instrumento de pago y obtener una transferencia patrimonial no consentida en perjuicio de un tercero, supuesto contemplado en el artículo 248.1 del CP español.”
Por otro lado, tenemos que preguntarnos: ¿Cuál es la responsabilidad de los bancos en este caso? Bueno pues bien, en este sentido tenemos que decir que la ley y la jurisprudencia son muy claras.
Respecto de la ley, destacamos el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera[6] que determina que corresponde al proveedor del servicio probar que el cliente si lo autorizó y estableciendo que el que haya sido registrado no es suficiente para demostrar que ha sido correcta. Igualmente, la ley en el Artículo 42, determina que entre las obligaciones del proveedor de servicios de pago en relación con los instrumentos de pago, el banco deberá cerciorarse de que las credenciales para el pago “solo sean accesibles para el usuario”. También, determina en su artículo 45 que la responsabilidad del proveedor de servicios de pagos en caso de “operaciones no autorizadas”, deberá “devolver al ordenante el importe de la operación no autorizada de inmediato”.
Por otro lado, respecto de la jurisprudencia, es destacable la Sentencia del Juzgado de Primera Instancia nº 48 de Madrid, de 27 de mayo de 2016, donde determina que la entidad es la responsable de velar por la seguridad del acceso al sistema de pago electrónico, ya que era quien “tenía y disponía de los medios necesarios para detectar y evitar” los ataques de virus informáticos contra las cuentas de sus clientes. La conclusión es que la Sentencia atribuye a las entidades bancarias la responsabilidad de eludir la realización de operaciones no autorizadas a través de los sistemas de pago electrónicos que ofrece y contrata con los clientes.
En último lugar, hay que destacar la STS 49/2020 indica que:
“Es claro también que, excluyendo actuaciones dolosas o gravemente negligentes por parte de los clientes, la entidad bancaria es responsable de ofrecer y poner en práctica un sistema seguro, de manera que las consecuencias negativas de los fallos en el mismo no deberán ser trasladados al cliente. Todo ello con independencia de la determinación de quien sea el auténtico perjudicado en estos casos, en atención a la correcta interpretación de los preceptos que regulan esta clase de depósitos
(..)en caso de que se ejecute una operación de pago no autorizada, a cargo del proveedor de servicios de pago, que le obliga a devolver de inmediato el importe de la operación no autorizada y, en su caso, restablecer en la cuenta de pago en que se haya adeudado dicho importe el estado que habría existido de no haberse efectuado la operación de pago no autorizada. Responsabilidad que solo cede en caso de actuación fraudulenta o del incumplimiento, deliberado o por negligencia grave, del titular de la cuenta en cuestión, respecto a la obligación que asume de adoptar «las medidas razonables a fin de proteger los elementos de seguridad personalizados» que se le hayan facilitado.
Como conclusión, nos gustaría hacer las recomendaciones que hacen los expertos sobre esta asunto, y es que para evitar ese tipo de situaciones es fundamental, según los mismos, que solo accedamos a las webs oficiales de las compañías de mensajería para saber en qué situación se encuentran nuestros envíos. Ante la más mínima sospecha, lo mejor que puedes hacer es denunciar ante las autoridades los SMS fraudulentos que recibas y, sobre todo, nunca acceder a los enlaces que los acompañan.
Los “hackers” o “ciberdelincuentes” están en la búsqueda de cualquier usuario, por ello es esencial estar atentos y alertar a nuestro entorno, que por ejemplo, en la práctica si reciben un “SMS” como el que se ha descrito antes, no se acceda nunca al link asociado.
Damián Gómez Dozo
[1] https://www.noticiasdenavarra.com/actualidad/sociedad/2021/04/25/cuatro-delitos-denunciados-navarra-son/1140444.html
[2] https://www.elgrupoinformatico.com/noticias/ups-paquete-esta-llegando-fiable-t80752.html
[3] Op. Cit
[4] https://www.eldiario.es/euskadi/kontsumobide-avisa-fraudes-informaticos-mensajes-entrar-link-descargar-virus-robar-datos_1_7803957.html
[5] RICO CARRILLO, MARILIANA. Los desafíos del derecho penal frente a los delitos informáticos y otras conductas fraudulentas en los medios de pago electrónico. Dialnet, IUS. Págs. 207-222.
[6] Mediante Resolución de 13 de diciembre de 2018, del Congreso de los Diputados, se ordenó la publicación del Acuerdo de convalidación del Real Decreto-ley 19/2018, de 23 de noviembre.