Estafas de "phising": ¿tienen responsabilidad los bancos?

Hoy traemos un fenómeno cada vez más frecuente en el mundo bancario y quizá familiar para algunos lectores: la estafa informática conocida como phishing. En otras palabras, hablamos de la obtención mediante engaño y fraude de los códigos y contraseñas de clientes para sustraer dinero que estos tienen depositado en sus cuentas bancarias.

El término phishing viene de la contracción de la frase “password harvesting fishing” (cosecha y pesca de contraseñas). El TS, en su sentencia 1601/2021, de 7 de abril, definió el phishing bancario como “el envío de un enlace, normalmente de una entidad bancaria, al correo electrónico o al teléfono móvil de la víctima, de manera que cuando el receptor pincha sobre el mismo, cree estar en la página oficial correspondiente y al poner las claves personales de acceso, las mismas son extraídas y utilizadas con posterioridad por terceros”.

Otras denominaciones relacionadas, alertadas por el Banco de España, son el smishing (envío de un SMS al móvil simulando ser el banco para robar información privada o hacer un cargo económico, generalmente adjuntando un enlace a una página fraudulenta) o incluso el SMS spoofing (reemplazo del número de teléfono móvil desde el cual se envía el mensaje por un texto alfanumérico que aparenta ser la entidad para que el destinatario no sospeche del emisor). Recientemente, se habla también del vishing (de “phishing” y “voz”): una estafa realizada por llamada en la que un tercero, haciéndose pasar por trabajador de una entidad bancaria, institución pública o compañía telefónica, persuade a la víctima y consigue sus datos.

Independientemente del término empleado, el principal problema de este delito informático es que, con carácter general, resulta muy difícil identificar y localizar a los presuntos estafadores, que frecuentemente se encuentran en el extranjero. La pregunta lógica que surge es, ¿recupera entonces la víctima las cantidades sustraídas?

Pues bien, del artículo 44 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, los tribunales concluyen que las entidades bancarias tienen una responsabilidad cuasi-objetiva de restituir las cantidades defraudadas, salvo que prueben tanto el correcto funcionamiento de sus sistemas informáticos, como el fraude o la negligencia grave del usuario. Al fin y al cabo, la diligencia exigible a un banco como comerciante experto va más allá de lo normal, pues debe garantizar la seguridad de sus depósitos.

Resultaría lógico, claro está, que la interpretación de la negligencia grave del usuario evolucionase con el tiempo: no parece razonable exigir lo mismo en 2019, cuando el conocimiento público de las estafas online era escaso, y en 2024, con la popularización de la cautela con respecto a este modus operandi. De hecho, son los propios bancos los que ahora envían con frecuencia circulares a sus clientes informando del phishing y sus vertientes.

En cualquier caso, evitemos riesgos y optemos por la clásica frase de “mejor prevenir que curar”. Como advierte el Banco de España, al recibir un SMS, es recomendable observar su formato y contenido, o si tiene faltas de ortografía. En el caso de las llamadas, no hay nada como usar el sentido común y cotejar que lo que se dice realmente es verdad, colgando el teléfono y llamando personalmente a la entidad bancaria. Al fin y al cabo, si no se ha realizado una operación, no tiene sentido que llegue una clave temporal, y mucho menos que el banco la solicite verbalmente por teléfono.

En definitiva, desde aquí recomendamos extremar el cuidado en la custodia de las claves y no dar datos ni acceder a webs diferentes de las indicadas por el banco, ni por accesos distintos que provengan de enlaces desconocidos.

Esto es todo por hoy, ¡hasta el próximo miércoles!