Responsabilidad de la entidad bancaria por fraude bancario
Pocas personas recurren a un abogado cuando son víctimas de un fraude o de un delito informático relacionados con la banca online o con la duplicación de tarjetas de crédito o de débito. Generalmente, piensan que es su culpa, dado que no garantizan que el sitio web, el correo electrónico o el mensaje que reciben sean falsos. Ahora bien, tal y como explicaremos en esta publicación, en relación a los expedientes que gestionamos en Farré Abogados, la entidad bancaria puede ser responsable de todo ello.
A pesar de que las nuevas tecnologías han dado muchas soluciones, también han sido las causantes de muchos problemas. Actualmente, en el ámbito financiero, la mayoría de las personas realizan sus gestiones a través de la banca online. Ahora bien, la practicidad de utilizar las nuevas tecnologías en las gestiones del capital ha abierto la puerta a un problema importante: el fraude en bancos digitales.
¿Qué es el fraude bancario?
El fraude bancario es un delito de estafa que se comete mediante determinadas prácticas ilegales, siendo cada vez más habituales los delitos cometidos por particulares para obtener beneficios económicos, ya sea frente a las propias entidades bancarias o frente a otros particulares, a través de engaños o estafas, como, por ejemplo, el uso fraudulento de tarjetas de crédito o de débito, la suplantación de identidad, la falsificación de firmas u otros documentos, la falsificación de monedas, entre otros.
Por lo tanto, es fraude bancario aquel que se da en el entorno profesional y económico del sistema bancario.
En esta publicación nos centraremos en aquellos fraudes o estafas realizados por particulares contra los bancos o contra los clientes o usuarios de los mismos. En la mayoría de estos casos, dichos fraudes se llevan a cabo a través del uso de las nuevas tecnologías.
Fraudes bancarios realizados por particulares
Explicaremos brevemente algunos tipos de fraudes bancarios realizados por particulares contra los bancos o contra los clientes o usuarios de los mismos:
- Phishing: se trata de una técnica de ciberdelincuencia que utiliza el fraude, el engaño y el timo con el fin de robar información privada a un usuario, realizarle un cargo económico o infectar su dispositivo. En el ámbito bancario, el ciberdelincuente envía correos electrónicos a los clientes de diversas entidades bancarias con el objetivo de obtener sus datos necesarios para acceder a sus cuentas bancarias. Este tipo de fraude es, probablemente, uno de los más complicados de resolver, pues no es clara la responsabilidad en relación con el dinero desaparecido. De entrada, se puede llegar a pensar que es responsable el usuario porque, tras el engaño, entrega sus claves o datos, actuando con falta de diligencia. Ahora bien, cabe destacar que los sistemas de seguridad de las entidades bancarias también son objeto de ataques, lo cual significa que la banca online es vulnerable, en cuyo caso debe responder el banco.
- Smishing: se trata de una práctica fraudulenta en la que un tercero trata de obtener información personal o financiera de un usuario a través de un mensaje de texto (SMS). Esta técnica también puede darse en redes sociales, vía mensajería instantánea. El atacante, para conseguirlo, se hace pasar por una entidad bancaria u otras organizaciones, incluyendo en los mensajes falsas alertas que hacen que el usuario actúe con urgencia (por ejemplo, robos de contraseñas, premios, etc.). Dichos mensajes llevan acompañado un enlace que dirige al usuario a una página web, en la que le requieren que rellene sus datos personales o bancarios, descargar algún archivo, etc. De esta forma, el atacante roba datos e información del usuario, suplantando la identidad de la entidad bancaria u otra organización a través de mensajes de texto (SMS). Se puede decir que el smishing es una variante del phishing.
- Vishing: se trata de una práctica fraudulenta en la que un tercero trata de obtener información personal o financiera de un usuario a través de una llamada telefónica. Para conseguir esta finalidad, el atacante suplanta la identidad de un tercero (como puede ser una entidad bancaria) y consigue los datos personales o bancarios mediante engaño. En este caso, también se puede decir que el vishing es una variante del phishing.
- Fraude en las tarjetas de crédito o de débito: consiste en que un tercero accede a la tarjeta del usuario (o a sus datos) y la utiliza para efectuar retiradas en efectivo o compras que el mismo usuario no ha autorizado. Dentro de este tipo de fraude se incluye el skimming, que consiste en el copiado de la banda magnética de la tarjeta de crédito o de débito con la finalidad de clonar dicha tarjeta para su posterior uso fraudulento. Es decir, el tercero copia la tarjeta, a la vez que obtiene su pin, con lo que puede hacer uso de ésta como si fuera suya.
- Fraude contable de empresas o particulares: en este caso son las empresas o particulares quienes cometen el fraude a través de la ocultación o alteración de los datos, cuya finalidad es obtener inversiones de manera fraudulenta y evitar así la quiebra financiera.
- Fraude por robo de datos: en ocasiones, son las entidades bancarias las que sufren los ataques informáticos, en cuyo caso, quien comete el fraude accede a las cuentas de los clientes con el fin de robar su capital. En estos casos, es clara la responsabilidad del banco y, por lo tanto, debe ser éste el que debe devolver el dinero a sus clientes. Ahora bien, el banco se exonera de responsabilidad cuando el fraude que ha sufrido ha puesto en riesgo su solvencia financiera, imposibilitando la restitución del capital robado a sus clientes. En ese caso, pasa a ser responsable el Fondo de Garantía de Depósitos.
En estos casos, es de aplicación el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (LSP), una normativa que pretende adaptarse a los nuevos cambios tecnológicos, ofreciendo mayor seguridad y fiabilidad a los consumidores de los nuevos servicios de pago. Según esta normativa, cuando se ejecuta una orden de pago no autorizada, la entidad bancaria debe devolver al cliente el importe de la operación (artículo 45 de la LSP). Ahora bien, el banco queda exento de la obligación de devolver los fondos si prueba que el cliente actuó con negligencia grave (artículo 46 de la LSP). En todo caso, debe ser la entidad bancaria quien debe demostrar la negligencia grave del usuario (artículo 44.3 de la LSP).
Expedientes que gestionamos en nuestro despacho de fraude bancario
Expondremos brevemente uno de los casos que gestionamos actualmente en nuestro despacho: nuestro cliente empezó a recibir multitud de mensajes SMS en su teléfono móvil, en los cuales se le informaba de movimientos realizados con tarjetas suscritas a su nombre. Entre estos mensajes SMS, había uno que le informaba que se estaba accediendo a su aplicación móvil bancaria mediante un teléfono cuya titularidad desconocía. Tras ello, pudo descubrir que una tercera persona accedió a su banca online, cambiando, en primer lugar, la residencia fiscal de nuestro cliente.
A partir de ahí, dicha tercera persona contrató cuatro tarjetas de débito a nombre de nuestro cliente -que él en ningún momento contrató- y empezó a realizar retiradas en efectivo de cantidades elevadas en cajeros automáticos. Asimismo, suscribió, a nombre de nuestro cliente, un contrato de préstamo personal bonificado. Nuestro cliente interpuso la correspondiente denuncia y, paralelamente, lo puso en conocimiento de la entidad bancaria. El banco en cuestión se desentendió de lo sucedido, trasladando la responsabilidad a nuestro cliente. A pesar de que nuestro cliente pusiera en conocimiento de lo sucedido al banco, éste último hizo caso omiso, y siguió descontando de la cuenta bancaria donde tuvieron lugar las operaciones fraudulentas el importe de las cuotas mensuales en pago del mencionado préstamo personal bonificado que nuestro cliente nunca contrató.
En este caso, es clara la falta de diligencia de la entidad bancaria en cuestión. Por ello, presentamos demanda frente al banco, por ser claramente el responsable de los daños y perjuicios que ha sufrido nuestro cliente, habiéndose resuelto finalmente la cuestión a favor de los intereses de nuestro cliente.
Consideraciones finales
Si el usuario se percata de que han accedido a su cuenta bancaria sin su autorización o han realizado cargos no autorizados en su tarjeta de crédito o de débito, debe ponerlo en conocimiento de su entidad bancaria, pues es responsabilidad de ésta devolver de inmediato el importe de la operación de pago no autorizada, restableciendo la cuenta de pago al estado que habría tenido de no haberse producido la operación de pago no autorizada. Ahora bien, si se considera que el usuario ha actuado con negligencia grave, la entidad bancaria quedará exenta de la obligación de devolver los fondos que se hayan sustraído, en cuyo caso deberá ser ésta la que pruebe que el usuario actuó con negligencia grave (corresponde a la entidad bancaria probar que el usuario del servicio de pago cometió fraude o negligencia grave).
En definitiva, si terceras personas han accedido a la cuenta bancaria de un usuario sin éste haber proporcionado ningún tipo de dato, la responsabilidad recaerá sobre la entidad bancaria.
Cada vez son más las personas que sufren de fraude bancario, sobre todo a través de la banca online, pues las estafas online se reinventan cada día como consecuencia de las nuevas tecnologías, por lo que es fundamental disponer de las herramientas y del conocimiento necesario para disminuir las posibilidades de ser víctima de fraude.
Si has sufrido o conoces a alguien que haya sufrido fraude bancario, no dudes en contactarnos. Desde Farré Abogados estaremos encantados de asesorarte y ayudarte en todo lo que necesites.