Las entidades financieras niegan habitualmente su responsabilidad respecto a los casos, cada vez más frecientes, de robos de datos personales y ciberdelincuencia amparándose en la supuesta falta de diligencia de sus clientes. Pero lo cierto es que la legislación vigente no lo ve igual...
...........................................
Entre 2011 y 2020, en el Estado español se presentaron más de 215.000 denuncias relacionadas con la ciberdelincuencia y el robo de datos personales (phishing), que originaron más de 16.000 procedimientos judiciales. Una muestra evidente de la creciente magnitud del problema de seguridad que representa la actividad de los ciberdelincuentes.
Consciente de la necesidad de hacer rente con firmeza a este problema, la Unión Europea aprobó una directiva, llamada de Servicios de Pago en el Mercado Interior, que obligaba a los Estados miembros a introducir en su ordenamiento jurídico una extensa serie de medidas de obligado cumplimiento para las empresas y entidades financieras con el objetivo de reforzar la protección de los usuarios frente a estas prácticas fraudulentas. En España, las disposiciones contenidas en la citada directiva se adoptaron y transpusieron mediante la Ley de Servicios de Pago, una norma que, además de renovar la regulación de los servicios de pago online, establece un sólido marco de responsabilidad para las entidades en relación con la obligación de garantizar un entorno digital seguro para sus clientes y clientas.
Responsabilidad de las entidades
Tanto la legislación europea como la española enfatizan la obligación de las entidades de supervisar las operaciones de sus clientes y usuarios para detectar la existencia de prácticas fraudulentas que puedan suponer riesgo o indiquen, aunque sea de forma indiciaria, que la seguridad de la operación podría haberse comprometido. A este objetivo responde, por ejemplo, el compromiso de autenticación reforzada, con el que nos hemos ido familiarizando a lo largo de los últimos años y que implica, básicamente, que cualquier orden de pago esté supeditada a un proceso de doble validación. Es decir, que para concluir una operación sea necesario no sólo introducir nuestra contraseña o código PIN sino también, adicionalmente, algún otro mecanismo que sólo pueda depender de la persona usuaria, ya sea utilizando una aplicación específica de validación instalada en el móvil o factores exclusivamente inherentes a la propia persona como son datos biométricos tales como la huella digital.
Estas medidas señalan a las entidades, en su condición de proveedoras de los servicios de pago online, como responsables de detectar si la integridad de los diferentes elementos de autenticación utilizados para validar una operación ha sido objeto de sustracción o la presencia de software malicioso ( conocido como 'malware') en las transacciones. Asimismo, las entidades tienen la obligación de analizar las diferentes operaciones realizadas a través de los medios que pone a disposición de sus clientes y clientes para identificar operaciones susceptibles de ser fraudulentas, hasta el punto de poder bloquearlas y no permitirlas hasta validar de forma fehaciente que es el usuario quien realmente está autorizándolas y no alguien que ha suplantado su personalidad con fines delictivos. Un aspecto de gran trascendencia, pues la Ley de Servicios de Pago establece con claridad que las únicas operaciones válidas son aquellas que cuentan con el consentimiento de la persona ordenante y, por tanto, cuando un usuario niega haber otorgado este consentimiento, las entidades están obligadas a devolverle de forma inmediata el importe de la operación.
La negativa de las entidades: el deber de diligencia del cliente
A pesar de la existencia de este marco normativo garantista y protector hacia el cliente y usuario, las personas que han sufrido la mala experiencia de haber sido víctimas de un caso de robo de datos o suplantación de la personalidad probablemente habrán comprobado que en la mayoría de casos las entidades no sólo incumplen el deber de devolver inmediatamente los importes comprometidos sino que se niegan rotundamente a hacerlo pretendiendo ampararse en una supuesta falta de diligencia del propio cliente a la hora de conservar y proteger sus datos personales.
Esta falta de diligencia por parte de quien ha sido víctima es, según el artículo 46 de la Ley de Servicios de Pago, una de las pocas circunstancias que exoneran de responsabilidad a las entidades financieras ante supuestos de ciberdelincuencia. Ahora bien, y según la legislación vigente, esta negligencia debe ser grave e imputable en exclusiva a la propia persona y, en este sentido, los tribunales españoles no suelen apreciar negligencia por parte de los usuarios y usuarias salvo en los casos más evidentes, especificando una y otra vez en numerosas sentencias que son los bancos los responsables de mantener la seguridad de los medios utilizados para operar de forma telemática, adquirir productos o servicios y realizar transferencias, además de cualquier otra operación financiera. Y no sólo eso, pues la obligación de acreditar de forma inequívoca y fehaciente que ha existido esta negligencia por parte del cliente y que los perjuicios sufridos son imputables en exclusiva a su propia persona es del banco o entidad, sin que quepa responder al requerimiento de la persona afectada con una respuesta genérica o carente de fundamento atribuyéndole una responsabilidad que probablemente no existe.
Por tanto, no es inexacto afirmar que en la mayoría de casos, la negativa de las entidades a asumir la responsabilidad que la legislación les atribuye no tiene amparo legal ni razón de ser.
¿Qué debemos hacer si hemos sido víctimas de phishing?
En primer lugar, e imprescindible, si detectamos operaciones que nosotros no hemos ordenado, es necesario contactar de forma inmediata con nuestra entidad para que anule el medio de pago intervenido por los ciberdelincuentes y genere lo más rápidamente posible unas nuevas credenciales de seguridad.
Una vez realizado este trámite, debemos acudir a los cuerpos y fuerzas policiales para denunciar los hechos. A la hora de hacerlo, es necesario aportar toda la documentación e información que sea posible sobre cuál ha sido el medio utilizado por los piratas para conseguir nuestros datos y cómo se ha cometido el fraude del que hemos sido víctimas. Esta información es primordial no sólo para ayudar a esclarecer los hechos sino también para demostrar ante la entidad que no ha habido negligencia por nuestra parte.
Después de denunciar, debemos dirigirnos al servicio de atención al cliente de nuestra entidad para reclamar la devolución de los importes correspondientes a las operaciones realizadas fraudulentamente por los ciberdelincuentes e informarles de los hechos y de la presentación de la denuncia. Como explicábamos antes, es responsabilidad de la entidad restituir estos importes. En caso de negativa a hacerlo o si la entidad se limita a decir que se siguieron los procesos de autenticación establecidos por la normativa vigente y que los hechos no les son imputables, seguramente no tendremos más alternativa que emprender las acciones legales pertinentes para obligar a la entidad a asumir sus responsabilidades. Recordemos, una vez más, que esta responsabilidad está contemplada por la legislación vigente y que la obligación de demostrar la existencia de una posible negligencia corresponde a la entidad que, en caso de no poder hacerlo, tal y como es habitual, incurre en responsabilidades legales y contractuales respecto al perjuicio que hemos sufrido.