Si has sufrido un ataque de phishing, smishing, vishing o de cualquier otro tipo, no pierdas el tiempo y contacta conmigo. Envía un correo a [email protected] o llama al +34 614 290 926.
Antes de proceder a la lectura de este artículo, se recomienda leer previamente la entrada de «¿Qué es el phishing?» y la de «He sido víctima de un ataque de phishing, ¿cómo puedo recuperar mi dinero?». De su lectura podrás extraer los conocimientos necesarios para leer mejor este post, ya que aquí el contenido va a ser más técnico.
He sido víctima de phishing, ¿quién responde?
La pregunta que encabeza este artículo tiene cuatro respuestas posibles:
- El responsable del ataque de phishing.
- El banco del cual se sustrajeron los fondos.
- El banco al cual se enviaron los fondos sustraídos.
- En defecto de las anteriores, la propia víctima.
Este última respuesta es, en el fondo, «falsa», sin embargo, si no las investigaciones y diligencias abiertas no conducen a la identificación, procesamiento, condena (y ejecución de la condena) del estafador responsable del ataque de phishing, no recuperarás tus ahorros, ya que el delincuente puede ser insolvente para el resto de sus días. Sin embargo, para ello la Ley de Servicios de Pago incluye en su articulado una serie de obligaciones para las entidades financieras que, si no se cumplen, generan responsabilidad.
El banco responde en caso de phishing
Dejando a un lado la parcela penal y la responsabilidad civil subsidiaria que lleva aparejada y centrándonos en la vía puramente civil, podemos afirmar que en muchos casos será el banco quien responda de las pérdidas sufridas por los ataques de phishing. El artículo 45.1 de la Ley de Servicios de Pago, de la «Responsabilidad del proveedor de servicios de pago en caso de operaciones de pago no autorizadas», recoge al respecto el siguiente tenor literal:
«1. Sin perjuicio del artículo 43 de este real decreto-ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada.
La fecha de valor del abono en la cuenta de pago del ordenante no será posterior a la fecha de adeudo del importe devuelto».
En negrita puede verse cómo el banco del ordenante (el banco de la víctima), está obligado a devolver el dinero de inmediato. Sin embargo, la propia Ley de Servicios de Pago le abre una puerta al banco para evitar la devolución al decir que «salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine». Vale la pena detenerse en esta excepción, ya que si el banco niega la devolución del dinero, está obligado a mantener una conducta activa y a cumplir con el requisito de comunicarle el hecho al Banco de España. Si no lo hace, o lo hace de una forma inapropiada o fuera de plazo, también le generará una responsabilidad que se dirimirá por otros cauces generando daños y perjuicios (que pueden identificarse con las cantidades perdidas por el phishing).
Por otro lado, el artículo 46 de la Ley de Servicios de Pago, sobre la «Responsabilidad del ordenante en caso de operaciones de pago no autorizadas», dispone lo siguiente:
«El ordenante soportará todas las pérdidas derivadas de operaciones de pago no autorizadas si el ordenante ha incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41. En esos casos, no será de aplicación el importe máximo contemplado en el párrafo primero».
Esta nueva remisión al artículo 41 de la Ley de Servicios de Pago puede llevar a equívoco, no obstante, dicho artículo es conciso y recoge las siguientes obligaciones del cliente:
«El usuario de servicios de pago habilitado para utilizar un instrumento de pago:
a) utilizará el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago que deberán ser objetivas, no discriminatorias y proporcionadas y, en particular, en cuanto reciba un instrumento de pago, tomará todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas;
b) en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, lo notificará al proveedor de servicios de pago o a la entidad que este designe, sin demora indebida en cuanto tenga conocimiento de ello».
Los pleitos sobre phishing versan habitualmente sobre el concepto de negligencia grave, en tanto en cuanto las entidades bancarias suelen alegar que no se han tomado todas las medidas razonables a fin de proteger las credenciales de seguridad personalizadas. Por ello, es importante siempre seguir nuestros consejos sobre cómo evitar los ataques de phishing, porque incluso en caso de ser víctima de una estafa de esta clase, podrás defender que has tomado todas las medidas razonables para evitarlo.
En esencia, el banco será responsable siempre que el engaño sea lo suficientemente bueno como para burlas todas aquellas medidas que la razón nos dicta para no ser víctimas de una estafa.
¿Responde en los casos de phishing el banco al que se transfirieron los fondos?
Existe una vía que genera responsabilidad al banco receptor de los fondos, cuestión no baladí, en tanto en cuanto también podrás demandar a esta banco. Lo cierto es que la responsabilidad que se genera no es la del artículo 45 de la Ley de Servicios de Pago, pero en casos como estos, en los que una persona puede llegar a perder todos su ahorros por culpa del phishing, bien vale emprender también esta vía.
Así, en concreto, el artículo 59.2 de la Ley de Servicios de Pago, el cual versa sobre los identificadores únicos (es decir, el número de cuenta, IBAN, número de teléfono en caso de Bizum o retirada de cajero), dispone que:
«El proveedor de servicios de pago del beneficiario cooperará en estos esfuerzos también comunicando al proveedor de servicios de pago del ordenante toda la información pertinente para el cobro de los fondos».
¿Y si no coopera? ¿Y si no da información alguna? ¿Y si recibe la comunicación del banco del ordenante y no bloquea los fondos sabiendo que pueden venir de una actividad ilícita? La lógica nos dice que actuar contra la ley genera una responsabilidad, la cual tendrán que estudiar tus abogados especialistas en phishing para hilar un buen caso y recuperar tu dinero de un modo u otro.
Conclusiones
¿Quién responde en caso de phishing? El banco responde en caso de phishing excepto en los casos de fraude y de negligencia grave. No obstante, tal y como se puede apreciar de lo expuesto, y de la lectura de otros de los artículos publicados en esta página, unos buenos abogados encontrarán la vía de construir una reclamación judicial lo suficientemente sólida como para que las posibilidades de éxito te acerquen de nuevo a la recuperación de tus ahorros.