¿Cómo actuar ante cargos en nuestra cuenta bancaria que no hemos autorizado?

¿Cómo actuar ante cargos en nuestra cuenta bancaria que no hemos autorizado?

El auge del comercio electrónico nos hace plantearnos esta pregunta en numerosas oportunidades, todos conocemos a alguien que alguna vez nos ha referido que en una ocasión le sustrajeron de su cuenta una u otra cantidad de dinero y que él/ella no había prestado su consentimiento, o nos ha podido suceder a nosotros mismos. Son indudables las ventajas y beneficios de adquirir productos o servicios de forma telemática, desde la comodidad de nuestro sofá de casa o desde la oficina, pero entraña ciertos riesgos, toda precaución es poca y, como todo en internet, requiere de nuestra autoprotección. 

Antes de enumerar los pasos a seguir es conveniente destacar una serie de medidas para prevenir ser víctimas de cualquier tipo de ilícito relacionado con nuestros medios de pago en internet.

1.Si recibes una llamada de teléfono de un sujeto que le indica que es personal de la entidad financiera, lo primero que debes hacer es pedirle que se identifique si, acto seguido, le solicita sus claves de acceso a la plataforma de banca online le aconsejamos de antemano que se despida de esa persona y cuelgue la llamada, llame al número de Atención al Cliente de su Banco y consulte si el número de teléfono desde el que le han llamado es legítimo y si debe o no facilitarle el acceso. No es habitual, que el personal de su Banco le solicite las claves cuando ya tienen toda la información por delante mientras hablan con usted. Son incontables los casos de phinshing (denominación que recibe este tipo de conductas delictivas, se trata de una suplantación de identidad o de fingir proceder de una entidad de confianza o conocida por la víctima con el fin de obtener sus claves o datos bancarios para obtener, ilícitamente, rédito económico) que acontecen por esta vía.

2.En la misma línea, le aconsejamos que nunca atiendas ningún email o sms del Banco o de cualquier otra supuesta institución o empresa, en el que se te solicite de forma inexcusable que accedas a un enlace o entregues las claves de tus cuentas bancaria o banca online, su entidad bancaria nunca le va a solicitar por estos medios los referidos datos. No lo hagas aunque en el encabezamiento del correo electrónico se señale su nombre y apellidos o DNI, son datos que, en la actualidad, cualquiera puede obtener (multas de tráfico, concesiones administrativas publicadas, publicaciones de su Universidad, etc.), no se fie.

3.Por último le aconsejamos que evite registrase con sus datos personales reales en páginas de dudosa reputación y procedencia, puesto nunca sabremos quién los recoge y para qué. Hemos visto casos de personas que han llegado a registrarse con sus datos bancarios y filiación real en páginas de descarga de contenido ilegales. En el marco de la Unión Europea se han llevado a cabo importantes avances en materia de protección de datos de carácter personal y el tráfico o circulación de los mismos, dotándonos a sus ciudadanos de ciertas garantías y ejercicio de derechos que facilitan la rápida reparación, el resarcimiento, la persecución y el enjuiciamiento de este tipo de delitos pero, desgraciadamente, internet es un espacio multijurisdiccional, puedes adquirir productos o servicios dentro y fuera de este marco legal, y en determinados países resulta prácticamente imposible perseguir a los responsables.

Parecen consejos burdos o simplistas, pero los últimos estudios sobre la cibercriminalidad en España realizados por el Ministerio del Interior, determinan que uno de cada cuatro delitos que se comenten en nuestro país son estafas cometidas con medios telemáticos, esto es; a través de internet -redes sociales, correo electrónico o terminales móviles- (enlace al estudio sobre la cibercriminalidad en España 2020), y las cifras van en exponencial aumento.

Dicho lo anterior, debemos ser tajantes: todos podemos ser víctimas de un fraude en internet, por muchas precauciones que queramos tomar. Ahora bien, hablemos en adelante de qué hacer en caso de que ya nos hayan realizados operaciones en nuestra cuenta sin nuestra autorización.

1.En primer lugar, como es natural, debemos poner en conocimiento al banco. Le informaremos de los cargos recibidos y los importes extraídos de nuestra cuenta. Actualmente casi todas las entidades financieras cuentan con canales directos parar informar o trasladar este tipo de incidencias. El caso dependerá en gran medida de si las operaciones las han realizado con su tarjeta o son cargos directos en su cuenta corriente. Si son movimientos realizados con su tarjeta lo primero que deberá solicitarle al banco es que bloquee y cancele la tarjeta para que el fraude no prosiga.

2.Casi de forma simultánea al paso anterior, deberá hacer acopio de toda la documentación acreditativa de que disponga (capturas de pantalla, registro de llamadas con números desconocidos, copia de los SMS, correos electrónicos, certificados de movimientos bancarios…) e ir directamente a la comisaría o Juzgado e interponer una denuncia, vaya por delante que le servirá a modo de dejar constancia fehaciente y le facilitará con el banco el reintegro de las cantidades.

En la mayoría de los casos, hoy por hoy, el banco procederá a la restitución de las cantidades sustraídas, pero como en todo hay excepciones y en este caso es “la falta de diligencia de cliente”. Esta excusa, en ocasiones cierta, es la que suelen poner para evitar “devolver el dinero”, es evidente que si a una persona le roban la cartera y esta la denuncia pasados 8 meses, hay una flagrante dejadez por parte de la víctima que pese a que le han robado no ha informado al banco. Pero cosa distinta sucede con los enlaces de internet o las diversas situaciones que venimos comentando.

Siendo claros y sin rodeos: el responsable de la seguridad en las transacciones que realizamos en nuestra operativa diaria es el banco, el responsable de verificar si la operación ha sido autorizada o no por el cliente es el banco. Para llegar a esa conclusión basta con acudir al Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (LSP). Dicha norma (art. 39 LSP) define que el proveedor de servicios de pago deberá garantizar que las credenciales de seguridad personalizadas del usuario no sean accesibles a terceros y que su transmisión se realizará a través de canales seguros. En su artículo 36, establece y define que «las operaciones de pago se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución”.  De igual forma, el artículo 43 nos dice que en estas circunstancias «el usuario de servicios de pago obtendrá la rectificación por parte del proveedor de servicios de pago de una operación de pago no autorizada o ejecutada incorrectamente únicamente si el usuario de servicios de pago se lo comunica sin demora injustificada, en cuanto tenga conocimiento de cualquiera de dichas operaciones que sea objeto de reclamación«, por su parte también el artículo 45 indica que «en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a este el importe de la operación no autorizada de inmediato”.

Los Juzgados y Tribunales se han pronunciado al respecto en numerosas ocasiones  dejando y sentando jurisprudencia en favor de la tesis antes planteada, en este punto destacamos la Sentencia de la Audiencia Provincial de Madrid 372/2017, de 31 de octubre,  cuando de forma meridiana señaló que la entidad tiene responsabilidad cuasi objetiva cuando nos hallemos ante operaciones no autorizadas pese a que sean fruto de actuación fraudulenta o incluso por incumplimiento o negligencia en relación con las obligaciones que la entidad asume de conformidad con la vigente Ley de Servicios de Pago. La entidad es la responsable de velar por la seguridad en el acceso al sistema de pago, al ser quien dispone de los medios necesarios para detectar y evitar los ataques de virus informáticos o el hackeo contra las cuentas de sus clientes, debemos tener en cuenta que las entidades bancarias deben guardar una diligencia cualificada en sus operaciones al estar ante un experto que custodia el dinero de los ciudadanos. Es la entidad la que debe tener conocimiento de la existencia de dichos virus o ataque informático y advertir a sus clientes de dichos riesgos. Destacamos la Sentencia de la Audiencia Provincial de Barcelona 31/2019, de 29 de enero, entiende, incluso que, «cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada, corresponderá a su proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico o cualquier otra deficiencia. El proveedor de los servicios de pago es responsable en caso de operaciones no autorizadas (artículo 31 LSP), salvo en el caso de que las operaciones sean fruto de la actuación fraudulenta del ordenante o del incumplimiento, deliberado o por negligencia grave, de sus obligaciones (artículo 32.2 LSP)”. Otra sentencia, en línea con la anterior y precedente, es la Sentencia 151/2013 de la Audiencia Provincial de Barcelona, Sección 14, de 7 marzo, que condenó a una entidad bancaria a reintegrar a una sociedad la cantidad de 32.099€ por cuanto la entidad no adoptó las medidas de seguridad adicionales previstas en las Condiciones Generales del Contrato, al haberse (I) producido movimientos inusuales de fondos de la cuenta cuenta corriente, y (II) ser transferidos a cuentas sospechosas que la entidad debió detectar: “En definitiva, la entidad demandada no adoptó las medidas de seguridad pactadas en cuanto a límites de disposición, sin poder atender a explicaciones no recogidas en el contrato; tampoco ha aportado prueba de la adopción de medidas concretas de seguridad para dicho tipo de fraude conocido del pishing siendo obligación de la entidad conforme la Condición General 3 del contrato que “BANCOA (ficticio)” puede establecer filtros adicionales de seguridad, no constando el mismo para el pishing; y en el punto 14 que los firmantes autorizan a “BANCOA” para que pueda utilizar sus datos para realización de estudios, comportamientos de riesgos, mediante modelos de scoring, sistemas de información integrados, u otros de similar naturaleza, que tampoco se ha realizado, permitiendo transferencias por encima del límite y a favor de personas que en un estudio o mediante modelos de scoring, podrá a filtrarse y evitar dichos movimientos fraudulentos.

Por lo que, debe proceder la condena de la demandada por su responsabilidad contractual ante la actora, por no cumplir con las medidas de seguridad necesarias para garantizar la funcionalidad correcta de sus cuentas, que dado que la operativa del phishing ha sido en ambas cuentas, debe entender el error de seguridad en ambas, y la correspondiente responsabilidad en el total perdido por la actora, no solo en el límite traspasado, pues ello conllevar a entender que cumplió  con las medidas de seguridad pactadas lo que no ha ocurrido. Debiendo, en consecuencia, estimar íntegramente la demanda, y condenar a la demandada a la cantidad de 32.099 euros, m s los intereses legales desde la interpelación judicial”.

Por citar algunas más: Sentencia 215/2013 de la Audiencia Provincial de Zaragoza, Sección 4ª, de 14 de mayo. En esta misma línea interpretativa, Ss. A.P. Albacete secc. 2 , 23-2-2012 , Badajoz, secc. 2 , 7-2-2013 y Asturias, secc. 1 , 18-9-2012”, Sentencia 178/2015 de la Audiencia Provincial de Madrid, Sección 9ª, de 4 de mayo, Sentencia 46/2013 de la Audiencia Provincial de Badajoz, Sección 2ª, de 7 de febrero.

En conclusión, como alguna vez hemos referido en otro artículos, también lo hacíamos al principio de éste, internet es un espacio donde debemos estar constantemente tomando precauciones, si alguna vez le ocurriera alguna de las situaciones descritas no se alarme pero actúe.

Artículo redacto por Pedro Sobrino Ballesteros, abogado y socio de Casero Sobrino Estudio Legal de Sevilla.

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s