Cerca
Opinió

‘Phishing’: la responsabilitat (quasi) objectiva dels bancs

Quan la justícia ens dona la raó i empara les víctimes dels ciberatacs

24/10/2024 | 06:00

Foto: GETTY IMAGES

Any rere any, s’incrementa exponencialment el nombre de casos denunciats de robatori de dades, suplantació d’identitat i, en general, atacs cibernètics contra el patrimoni. Centenars de milers de denúncies que descriuen tot tipus de pràctiques criminals i ben sofisticades, perpetrades per uns ciberdelinqüents que cada vegada adopten tècniques més sofisticades per desenvolupar la seva activitat criminal i obtenir fraudulentament la informació de seguretat (claus secretes, números PIN, contrasenyes…) que els permetran fer compres online, ordenar transferències o contractar préstecs al nostre nom.

Davant la incidència creixent d’aquest fenomen i el risc que nosaltres mateixos o algú del nostre entorn, especialment persones grans, puguin acabar patint les conseqüències del phishing, és fonamental entendre quins són els nostres drets quan ens veiem afectats per casos de ciberdelinqüència, però encara és més important saber quina és la responsabilitat exigible a les entitats financeres en aquest tipus de situacions, ja que la legislació actual protegeix els clients bancaris davant els cada cop més freqüents casos de ciberdelinqüència i així queda demostrat en nombroses sentències aconseguides per Col·lectiu Ronda. Unes sentències en què els jutjats aprecien aquesta manca de protecció per part de les entitats bancàries, que massa sovint intenten esquivar la responsabilitat de garantir la seguretat de les dades i dels fons que els han confiat les persones clientes. Per això remarquem que és l’entitat financera qui té l’obligació de compensar les víctimes en cas de frau. Ningú no s’hauria de sentir culpable per haver estat víctima d’un engany sofisticat. És el banc qui ha de respondre.

Els sistemes d’autenticació reforçada

La legislació vigent empara fermament i amb claredat els clients que han estat víctimes de phishing i determina que les entitats bancàries tenen l’obligació d’assegurar la protecció dels comptes i de les dades personals dels seus clients, i que deriva tant de la normativa europea (sobretot de la Directiva de serveis de pagament, PSD2) com de la mateixa legislació espanyola en matèria de protecció de les persones consumidores i usuàries. La PSD2 estableix que les entitats financeres han d’oferir mesures suficients per garantir la seguretat de les transaccions i la privacitat de les dades. Això inclou la implementació dels sistemes d’autenticació reforçada, aquells amb els quals ja ens hem anat familiaritzant fa un quant temps, per evitar accessos no autoritzats. És a dir, que, per concloure una operació, sigui necessari no tan sols introduir la nostra contrasenya o codi PIN sinó també, addicionalment, algun altre mecanisme que només pugui dependre de la persona usuària, ja sigui fent servir una aplicació específica de validació instal·lada al telèfon mòbil o factors exclusivament inherents a la mateixa persona com ara dades biomètriques.

La legislació vigent diu que els bancs han d’oferir mesures suficients per garantir la seguretat de les transaccions

Però no tan sols això: el deure de seguretat i protecció vers els clients va molt més enllà. Les entitats, en la seva condició de proveïdores dels serveis de pagament online, “són responsables de detectar si la integritat dels diferents elements d’autenticació fets servir per validar una operació han estat objecte de sostracció i de detectar la presència de software maliciós (conegut per malware) a les possibles transaccions”. Igualment, tenen l’obligació d’analitzar les diferents operacions “efectuades a través dels mitjans que posa a disposició dels seus clients i clientes per identificar operacions susceptibles de ser fraudulentes, fins al punt de poder bloquejar-les i no permetre-les fins a validar de forma fefaent que és l’usuari qui realment està autoritzant-les”. Així de clar i contundent és el deure dels bancs.

Del consentiment a la presumpta negligència de les usuàries

De fet, la Llei de serveis de pagament estableix amb claredat que les úniques operacions vàlides són aquelles que compten amb el consentiment de la persona ordenant i, per tant, quan un usuari o usuària nega haver atorgat aquest consentiment, les entitats estan obligades a retornar-li de forma immediata l’import de l’operació. Existeix, però, una excepció que pot al·legar el banc per no fer-ho: demostrar que ha existit una negligència greu i culpable per part del client, que ha propiciat l’accés dels delinqüents a les seves dades personals.

I sovint és en aquest punt on l’entitat bancària intentarà eludir la seva responsabilitat, negant-se a reemborsar les quantitats sostretes, tot al·legant que és la persona qui ha actuat amb negligència en facilitar les seves dades o en no prendre les mesures adequades per protegir-se davant els riscos digitals. Però aquesta al·legació per part del banc no és suficient per justificar la seva posició. L’entitat és responsable de demostrar de forma inequívoca i contundent que ha existit aquesta negligència i que els perjudicis soferts són imputables en exclusiva a la seva pròpia persona. En aquest sentit, els tribunals espanyols no acostumen a apreciar negligència per part dels usuaris i usuàries, tret dels casos més greus i evidents, i especifiquen una vegada i una altra en nombroses sentències que són els bancs els responsables de mantenir la seguretat dels mitjans utilitzats per operar de forma telemàtica, adquirir productes o serveis i efectuar transferències, a banda de qualsevol altra operació financera.

La sofisticació d’aquests atacs fa que sigui gairebé impossible per a un ciutadà ordinari detectar-los o evitar-los

De fet, en nombrosíssims casos, jutges i jutgesses valoren que no es pot imputar negligència a un usuari mitjà, ja que els atacs de phishing o altres formes de ciberdelinqüència estan dissenyats precisament per enganyar fins i tot els usuaris més curosos. L’elevat nivell de sofisticació d’aquests atacs fa que sigui gairebé impossible per a un ciutadà ordinari detectar-los o evitar-los i, per tant, s’entén que no és raonable exigir a un usuari bancari estàndard tenir coneixements tècnics avançats o estar en alerta constant davant de possibles fraus digitals. Per tant, la responsabilitat es trasllada a les entitats bancàries, que sí que disposen dels mitjans i de la capacitat tecnològica per protegir les transaccions i prevenir aquests delictes.

Així doncs, és fonamental reclamar els nostres drets amb la certesa que tant la legislació com la majoria de les resolucions judicials es posen al nostre costat. I és que precisament tot recau en una qüestió de confiança… envers uns bancs que massa sovint es neguen a fer-nos costat.

Una mica d'impossible o m'ofego

Agafa aire. Suma't a CRÍTIC ara que fem deu anys!

Subscriu-t'hi!

Amb la quota solidària, rebràs a casa la revista 'Habitar' i un llibre a escollir entre tres propostes

Torna a dalt
Aquest lloc web utilitza cookies pròpies i de tercers d'anàlisi per recopilar informació amb la finalitat de millorar els nostres serveis, així com per a l'anàlisi de la seva navegació. Pot acceptar totes les cookies prement el botó “Accepto” o configurar-les o rebutjar-ne l'ús fent clic a “Configuració de Cookies”. L'usuari té la possibilitat de configurar el seu navegador per tal que, si així ho desitja, impedexi que siguin instal·lades en el seu disc dur, encara que haurà de tenir en compte que aquesta acció podrà ocasionar dificultats de navegació de la pàgina web.
Accepto Configuració de cookies