Cerca

Foto: GETTY IMAGES

Reportatges

Guia d’autodefensa contra la suplantació d’identitat i la desatenció dels bancs

La llei protegeix els usuaris contra el 'phishing' i estipula que l’entitat bancària és la responsable de garantir la integritat dels diners, segons el Col·lectiu Ronda

22/10/2024 | 06:00

Milers de persones arreu de l’Estat espanyol van rebre durant la darrera campanya de la renda del mes de juny un SMS al seu telèfon mòbil on se’ls demanava actualitzar les dades bancàries per cobrar 411 euros de la devolució de la renda. El missatge, aparentment enviat per Hisenda o per la Seguretat Social, incloïa un enllaç a una pàgina web que imitava la de l’Agència Tributària per tal de completar el procés. En fer-ho, l’usuari obria la porta del seu compte bancari a pirates informàtics, ja que no existia l’ordre de retornar cap import, com tampoc l’escrit ni la pàgina pertanyien a l’Administració.

Aquest és un exemple real de phishing, una pràctica delictiva que consisteix en l’apropiació de les dades personals i de claus bancàries per suplantar la identitat de la víctima i atacar el seu patrimoni. Segons certifiquen les dades publicades pel Ministeri de l’Interior, el fenomen va a més. L’any 2023, els delictes informàtics van créixer un 25,5% a tot l’Estat i van suposar un 20% de les infraccions penals comeses durant l’any. El 90% d’aquests delictes van ser estafes informàtiques, que han augmentat un 27% respecte al 2022 i un 508% en comparació amb les xifres del 2016: de 70.178 a 426.744 casos registrats en vuit anys. En total, més de 300.000 persones van patir phishing a l’Estat l’any passat, amb conseqüències milionàries. 

Més de 300.000 persones van ser víctimes de ‘phishing‘ a l’Estat espanyol l’any passat

L’advocat Òscar Serrano, especialista en dret bancari del Col·lectiu Ronda, va començar a rebre casos de phishing l’any 2020. “Eren molt puntuals. En aquell moment fins i tot fèiem una primera reclamació al servei d’atenció de l’entitat financera, que, normalment, ho resolia favorablement i retornava els diners als afectats”, recorda. Ara, la situació és molt diferent. “A partir de l’any  2023 se n’ha produït un augment exponencial, amb una gran quantitat de fraus i d’una tipologia cada cop més variada”, remarca. Aquest increment ha comportat un canvi de política per part dels bancs, que habitualment intenten eludir la seva responsabilitat en el frau i carregar-la al client. No obstant això, la llei ofereix a la ciutadania les eines per fer valer els seus drets en aquestes situacions. Abans, però, cal conèixer-los i saber com exercir-los. 

Què he de fer si he patit ‘phishing’?

El primer que ha de fer una persona que detecta l’existència d’un o més moviments bancaris no autoritzats, explica Serrano, és trucar a la seva entitat financera per comunicar el frau i demanar el bloqueig immediat del compte corrent i de les targetes associades. Després, cal modificar les claus d’accés per continuar operant de forma segura amb aquests instruments de pagament. 

El segon pas és denunciar el ciberdelicte als Mossos d’Esquadra. “No tant perquè puguin trobar els delinqüents, ja que acostumen a operar des de l’estranger i identificar-los sovint és molt complicat, però sí per deixar constància del delicte”, argumenta l’advocat. Una recomanació important és no reinicialitzar mai el telèfon, a fi d’evitar l’eliminació d’informació sobre el virus o els missatges rebuts que més endavant puguin ajudar a justificar, mitjançant una extracció forense, que s’ha estat víctima d’un frau. 

El tercer pas és adreçar-se al servei d’atenció al client de l’entitat bancària per informar-lo de la denúncia presentada a la policia i reclamar la devolució dels imports. El banc compta amb un termini màxim de 15 dies per donar una resposta, que “en el 98% dels casos és negativa”, segons lamenta Serrano. “Les desestimen per defecte. Ara hi ha un volum tan elevat de fraus que els bancs responen amb una carta tipus, en què argumenten que les operacions han estat registrades i autenticades de manera correcta”, hi afegeix l’advocat. 

Al jutjat, la major part dels casos de ‘phishing’ es resolen a favor del demandant, però els bancs allarguen el procediment per dissuadir el client

L’última opció és interposar una reclamació al jutjat. Tot i que pràcticament tots els casos es resolen a favor del demandant, l’estratègia dels bancs és allargar el procediment tant com sigui possible amb l’objectiu de dissuadir el client. “Sovint, els casos de phishing impliquen quantitats relativament petites. Hi ha gent que per 500, 700 o 1.000 euros diu que no li val la pena entrar en el procés judicial, tot i que hi ha casos de més diners”, explica l’advocat. 

Soc responsable legalment d’haver patit ‘phishing’?

La resposta, en la immensa majoria dels casos, és que no. La legislació en aquesta matèria, vigent a l’Estat espanyol des de l’any 2018 i derivada d’una directiva europea, estableix com a principi general la responsabilitat objectiva per part de les entitats financeres, que per llei i per contracte tenen l’obligació de custodiar les credencials i els diners dels seus clients. “De la mateixa manera que un banc ha de comptar amb una caixa forta prou robusta per resistir l’atac d’un hipotètic lladre, aquest mecanisme de seguretat també ha d’existir en les noves tecnologies, que és la banca en línia”, exemplifica Serrano. Per tant, els bancs estan obligats legalment a retornar els diners, amb dues excepcions: que l’usuari hagi actuat de forma deliberada o que hagi dut a terme una negligència greu.

Òscar Serrano, advocat especialista en dret bancari del Col·lectiu Ronda / ARXIU

Existeix una sofisticació creixent dels mètodes emprats pels delinqüents informàtics, que sovint són indetectables per a persones no expertes

Ja que la primera categoria és molt poc habitual, el conflicte legal se centra sobretot en el segon supòsit. D’entrada, la justícia estableix que són les entitats bancàries les que han de demostrar que el client ha incomplert l’obligació de custodiar les seves pròpies dades amb una negligència greu. El Codi civil espanyol determina que la negligència greu suposa “no procedir amb la més mínima diligència” o “no fer allò que tothom fa i no preveure allò que tothom preveu”. O, en paraules de Serrano, és “allò que traspassa qualsevol ficada de pota que pot cometre qualsevol persona; alguna cosa que no faria mai ningú”. I això no és gens fàcil de demostrar. 

Tot i que cada cas s’ha d’analitzar individualment i es tracta d’un fenomen relativament recent, els tribunals han deixat clar que la banca no pot traslladar la seva responsabilitat de custodiar els diners dels clients… als mateixos clients. “La jurisprudència, que ja coneix els patrons dels fraus cibernètics, diu, si fa no fa, que qui ha patit phishing, encara que sigui per SMS o una trucada telefònica, és una víctima i té una actitud passiva davant d’un professional del frau”, indica Serrano. A més, existeix una sofisticació creixent dels mètodes emprats pels delinqüents informàtics, que sovint són gairebé indetectables per a persones que no són expertes en ciberseguretat i poden no estar familiaritzades amb l’entorn digital. 

I si la part negligent és el banc?

Més enllà de defugir la seva responsabilitat i traslladar la culpa als usuaris, sovint els bancs tampoc no compten amb els mecanismes de seguretat necessaris per garantir la protecció dels seus clients. Les operacions de frau acostumen a confirmar-se a través d’SMS o de codis de confirmació que s’envien per SMS o de notificacions a través de la mateixa aplicació bancària. En aquests casos, o el frau es comet amb un dispositiu que no és el del titular, i, per tant, hi ha hagut un canvi de dispositiu que el banc no s’ha encarregat de comprovar, o més d’una IP s’ha connectat de manera simultània a la banca en línia des d’ubicacions diferents. 

Serrano explica que aquests patrons són “molt habituals en els casos de phishing i inusuals en el comportament de qualsevol client”, raó per la qual haurien de ser fàcilment identificables pels algoritmes de seguretat dels bancs. “Hi ha entitats financeres que ho tenen, però moltes no. Quan la banca no té els algoritmes de seguretat prou implementats, no pot complir la llei i a la seva responsabilitat objectiva de custodiar els diners dels seus clients”, hi afegeix. L’advocat il·lustra aquesta problemàtica amb un exemple real: “Ara tinc el cas d’una senyora a qui li van fer 44 transferències bancàries iguals, successivament, a l’estranger. No és tan difícil tenir un algoritme que detecti que aquí hi ha un patró inusual”.

“Quan la banca no té els algoritmes de seguretat prou implementats, no pot complir la llei”, diu l’advocat Òscar Serrano

Tot i que la responsabilitat legal recaigui en els bancs, a fi de prevenir els casos de  phishing es recomana als usuaris no clicar en els enllaços que puguin rebre via SMS o per correu electrònic on se’ls alerti d’una situació de risc en els seus comptes, ja sigui per un intent de frau detectat o d’una transferència no consentida. Cal recordar també que els bancs no truquen mai als seus clients per demanar un codi de confirmació d’una operació financera.

D’altra banda, existeixen tècniques de més complexitat, com ara la manipulació de pàgines web i de cercadors legals, la creació de xarxes wifi fraudulentes i el duplicat de la targeta SIM. Tot i que habitualment s’associa els fraus cibernètics amb les persones menys familiaritzades amb el món digital, l’equip de professionals del Col·lectiu Ronda alerta que el phishing és “un fenomen absolutament transversal” i creixent, però remarquen que la legislació actual suposa “una eina molt potent” per protegir els drets dels ciutadans.

Una mica d'impossible o m'ofego

Agafa aire. Suma't a CRÍTIC ara que fem deu anys!

Subscriu-t'hi!

Amb la quota solidària, rebràs a casa la revista 'Habitar' (2024) i un pack de productes de marxandatge

Torna a dalt
Aquest lloc web utilitza cookies pròpies i de tercers d'anàlisi per recopilar informació amb la finalitat de millorar els nostres serveis, així com per a l'anàlisi de la seva navegació. Pot acceptar totes les cookies prement el botó “Accepto” o configurar-les o rebutjar-ne l'ús fent clic a “Configuració de Cookies”. L'usuari té la possibilitat de configurar el seu navegador per tal que, si així ho desitja, impedexi que siguin instal·lades en el seu disc dur, encara que haurà de tenir en compte que aquesta acció podrà ocasionar dificultats de navegació de la pàgina web.
Accepto Configuració de cookies