Cada vez es más habitual recibir un mail o un SMS en el que nos avisan de que nuestro paquete está pendiente de entrega, o que tenemos una notificación de la agencia tributaria (con el susto que te llevas además) , o que hemos sido afortunados al ser elegidos por un filántropo que nos quiere dejar en herencia 1.500.000 dólares a cambio de que hagamos un pequeño ingreso para el tema burocrático….
Todo esto son estafas bancarias, más conocidas como “phishing” aunque tienen otros nombres según la modalidad de la que se traten. Por ejemplo, hablaríamos de smishing, si lo que recibimos es un SMS fraudulento. Pero el denominador común en todas ellas es que se tratan de ciberestafas, es decir, delitos cuyo única finalidad es apropiarse de nuestro patrimonio con el grave perjuicio que ello conlleva.
A continuación os muestro un mail que recibí esta misma semana desde la agencia tributaria.
¿Qué tenemos que hacer si recibimos un mensaje de este tipo?
Lo primero que debemos saber es que ningún organismo oficial o entidad bancaria nos va a pedir claves de acceso ni por SMS ni por mail. Tampoco nos mandarán ningún enlace o archivo para descargar. Si tenemos dudas y queremos comprobar si hay algún problema, porque la verdad es que cada vez se lo curran más estos estafadores, podemos acceder directamente mediante la página oficial de la entidad para verificar que todo está bien. No caigáis en la trampa de pinchar en ningún enlace que te pueda redireccionar.
También nos tenemos que fijar en la dirección de email que recibimos porque, aunque el contenido del mismo pueda parecer verosímil, suele ser sospechoso el remitente.
En el caso que os digo, el email remitente era no.reply@dehu.es, dirigido a mi dirección de correo electrónico. Si veis, invita a pinchar en un enlace directo a la notificación informándonos que si no accedemos a esa notificación se considera “presunción de rechazo”. Lo fuerte es que acaba firmando Gobierno de España.
Así que, si recibimos un mensaje así lo primero que hay que hacer es eliminarlo. Pero, ¿y si hemos sido víctima de una estafa bancaria, que podemos hacer?
En primer lugar, avisar a nuestro banco de lo que ha pasado, puesto que la inmediatez es fundamental a la hora de una posible reclamación. Este tipo de estafas se suelen dar los fines de semana para que no podamos ir a nuestro banco hasta unos días después. Hay que solicitar de inmediato el bloqueo de cuentas y tarjetas para evitar que se sigan haciendo cargos a nuestra costa.
Acto seguido hay que denunciar lo sucedido ante la Policía o Guardia Civil, aportando toda la documentación posible para acreditar la estafa. De oficio remitirán la denuncia al Juzgado y se abrirán Diligencias Previas en las que se reunirá toda la información necesaria para establecer si estamos ante un posible delito.
Una vez hecho todo esto, hay que remitir al SAC de la entidad bancaria una reclamación en la que expongamos todo lo ocurrido y aportemos toda la documentación de la que dispongamos sobre el asunto. En esa reclamación al SAC debemos solicitar la devolución de lo que nos hayan sustraído, ya que el banco es responsable como depositario de nuestro dinero.
Si el banco responde negativamente (suelen decir que el cliente es quién ha autorizado la transferencia, o que ha facilitado las claves de acceso), no nos quedará más remedio que acudir a la vía judicial y demandar. Sinceramente por la vía penal será difícil recuperar el dinero, porque detrás de estas estafas se encuentran grupos organizados en otros países. Sin embargo, por la vía civil sí podemos recuperar nuestro dinero.
Las entidades bancarias que prestan servicios de pago por vía electrónica tienen una responsabilidad casi objetiva. Hay una normativa europea (la 2015/2366 de servicios de pago) y una estatal (el Real-Decreto Ley 19/2018, de 23 de noviembre, de servicios de pago) que establecen esta responsabilidad que podemos exigir a las entidades bancarias en los casos de phishing. La base de esta responsabilidad deriva del hecho de que las entidades bancarias, como depositarias y custodias de nuestro dinero, tienen que velar porque las transferencias se hagan correctamente y siempre autorizadas por los titulares.
Cuando una entidad bancaria presta un servicio de banca online tiene la obligación de dotarse de las medidas suficientes que garantizan al usuario la seguridad de las operaciones. Por este motivo, si hay una omisión, insuficiencia o funcionamiento defectuoso de estas medidas, tienen que ser las propias entidades bancarias las que tienen que asumir las consecuencias derivadas del fallo del sistema de seguridad. Precisamente, como el phishing es una modalidad específica de fraude informático que se basa en el análisis y el descubrimiento de brechas en el sistema informático de las entidades bancarias, el usuario-víctima no tiene que ser quien sufra las consecuencias. En otras palabras, los sistemas de verificación de autenticidad de las operaciones se diseñan y se establecen por parte de las entidades bancarias y, por este motivo, si un banco no ha sido capaz de limitar el acceso de los delincuentes a su sistema no puede pretender trasladar la responsabilidad a la propia víctima.
