Les entitats financeres defugen de forma habitual la seva responsabilitat respecte els casos, cada vegada més freqüents, de robatoris de dades personals i ciberdelinqüència emparant-se en la suposada manca de diligència dels seus clients. Però el cert és que la legislació vigent ho veu de forma molt diferent...
...................................................
Entre els anys 2011 i 2020, a l’Estat espanyol es van presentar més de 215.000 denúncies relacionades amb la ciberdelinqüència i el robatori de dades personals (phishing), que van originar més de 16.000 procediments judicials. Una mostra evident de la magnitud creixent del problema de seguretat que representa l’activitat dels ciberdelinqüents.
Conscient de la necessitat de fer-hi front amb fermesa, la Unió Europea va aprovar una directiva, anomenada de Serveis de Pagament en el Mercat Interior, que obliga els Estats membres a introduir al seu ordenament jurídic tot un seguit de mesures d’obligat compliment per a les empreses i entitats financeres amb l’objectiu de reforçar la protecció dels usuaris front a aquestes pràctiques fraudulentes. A Espanya, les disposicions contingudes a l’esmentada directiva es van adoptar i transposar mitjançant la Llei de Serveis de Pagaments, una norma que, a banda de renovar la regulació del serveis de pagament online, estableix un sòlid i extens marc de responsabilitat per a les entitats en relació a l’obligació de garantir un entorn digital segur pels seus clients i clientes.
Responsabilitat de les entitats
Tant la legislació europea com la espanyola, emfatitzen l’obligació de les entitats de supervisar les operacions dels seus clients i usuaris per tal de detectar l’existència de pràctiques fraudulentes que puguin suposar risc o indiquin, encara que sigui de forma indiciària, que la seguretat de l’operació podria haver estat compromesa. A aquest objectiu respon, per exemple, el compromís d’autenticació reforçada, amb el qual ens hem anat familiaritzant en el decurs dels darrers anys i que implica, bàsicament, que qualsevol ordre de pagament estigui supeditada a un procés de doble validació. És a dir, que per concloure una operació sigui necessari no tan sols introduir la nostra contrasenya o codi PIN sinó també, addicionalment, algun altre mecanisme que només pugui dependre de la persona usuària, ja sigui fent servir una aplicació específica de validació instal·lada al mòbil o factors exclusivament inherents a la pròpia persona com ara dades biomètriques com pot ser-ho l’empremta digital.
Aquestes mesures assenyalen les entitats, en la seva condició de proveïdores dels serveis de pagament online, com a responsables de detectar si la integritat dels diferents elements d’autenticació fets servir per validar una operació han estat objecte de sostracció o la presència de software maliciós (conegut com a ‘malware’) a les possibles transaccions. Igualment, les entitats tenen l’obligació d’analitzar les diferents operacions realitzades a través dels mitjans que posa a disposició dels seus clients i clientes per identificar operacions susceptibles de ser fraudulentes, fins el punt de poder bloquejar-les i no permetre-les fins validar de forma fefaent que és l’usuari qui realment està autoritzant-les i no pas algú altre que ha suplantat la seva personalitat amb finalitats delictives. Un aspecte de gran transcendència, doncs la Llei de Serveis de Pagament estableix amb claredat que les úniques operacions vàlides són aquelles que compten amb el consentiment de la persona ordenant i, per tant, quan un usuari nega haver atorgat aquest consentiment, les entitats estan obligades a retornar-li de forma immediata l’import de la operació.
La negativa de les entitats: el deure de diligència del client
Tot i l’existència d’aquest marc normatiu garantista i protector vers el client i usuari, les persones que han patit la mala experiència d’haver estat víctimes d’un cas de robatori de dades o suplantació de la personalitat probablement hauran comprovat que en la majoria de casos les entitats no tan sols incompleixen el deure de retornar immediatament els imports compromesos sinó que es neguen rotundament a fer-ho pretenent emparar-se en una suposada manca de diligència del propi client a l’hora de conservar i protegir les seves dades personals.
Aquesta manca de diligència per part de qui ha estat víctima és, segons l’article 46 de la Llei de Serveis de Pagament, una de les poques circumstàncies que exoneren de responsabilitat les entitats financeres davant supòsits de ciberdelinqüència. Ara bé, i segons la legislació vigent, aquesta negligència ha de ser greu i imputable en exclusiva a la pròpia persona i, en aquest sentit, els tribunals espanyols no acostumen a apreciar negligència per part dels usuaris i usuàries tret dels casos més greus i evidents, especificant una i altra vegada en nombroses sentències que són els bancs els responsables de mantenir la seguretat dels mitjans utilitzar per operar de forma telemàtica, adquirir productes o serveis i realitzar transferències, a banda de qualsevol altra operació financera. I no tan sols això, doncs l’obligació d’acreditar de forma inequívoca i fefaent que ha existit aquesta negligència per part del client i que els perjudicis soferts són imputables en exclusiva a la seva pròpia persona és del propi banc o entitat, sense que càpiga respondre al requeriment de la persona afectada amb una resposta genèrica o mancada de fonamentació atribuint-li una responsabilitat que probablement no té.
Per tant, no és inexacte afirmar que en la majoria de casos, la negativa de les entitats a assumir la responsabilitat que la legislació els atribueix no té fonament ni raó de ser.
Què hem de fer si hem estat víctimes de phishing?
En primer lloc, i imprescindible, si detectem operacions que nosaltres no hem ordenat, cal contactar de forma immediata la nostra entitat per tal que anul·li el mitjà de pagament intervingut pels ciberdelinqüents i generi el més ràpidament possible unes noves credencials de seguretat.
Un cop realitzat aquest tràmit, hem d’acudir als cossos i forces policials per denunciar els fets. A l’hora de fer-ho, cal aportar tota la documentació i informació que sigui possible sobre quin ha estat el mitjà utilitzat pels pirates per aconseguir les nostres dades i com s’ha comés el frau del qual hem estat víctimes. Aquesta informació és cabdal no tan sols per ajudar a esclarir els fets sinó també per demostrar davant l’entitat que no hi ha hagut negligència per la nostra part.
Després de denunciar, cal adreçar-se al servei d’atenció al client de la nostra entitat per reclamar la devolució dels imports corresponents a les operacions realitzades fraudulentament pels ciberdelinqüents informant-los dels fets i de la presentació de la denúncia. Com explicàvem abans, és responsabilitat de l’entitat restituir aquests imports. En cas de negativa a fer-ho o si l’entitat es limita a dir que es van seguir els processos d’autenticació establerts per la normativa vigent i que els fets no els són imputables, segurament no tindreu més alternativa que emprendre les accions legals pertinents per obligar l’entitat a assumir les seves responsabilitats. Recordem, una vegada més, que aquesta responsabilitat està contemplada per la legislació vigent i que l’obligació de demostrar l’existència d’una possible negligència correspon a l’entitat que, en cas de no poder fer-ho, tal i com és habitual, incorre en responsabilitats legals i contractuals respecte el perjudici que hem sofert.
