Joan Andreu Reverter
Advocat
Una de les manifestacions més notòria de la delinqüència cibernètica o tecnològica és l'anomenat phising, que consisteix en l'obtenció de manera enganyosa i fraudulenta dels codis d'usuaris i contrasenyes de clients de banca electrònica, amb la finalitat de realitzar transferències no autoritzades. D'aquesta manera, l'usuari de serveis de banca electrònica és enganyat i induït, a través d'una simulació de comunicació de la seva pròpia entitat, a realitzar actes que revelen als delinqüents cibernètics dades suficients per a realitzar aquelles transferències no autoritzades.
En quina situació queda llavors l'usuari defraudat? Un cop descobert el perjudici, és a dir el buidat total o parcial del compte bancari en virtut de transferències no autoritzades pel titular, la víctima es troba abocada a una denúncia i a un procediment penal amb uns resultats incerts pel que fa a la recuperació dels diners que li han estafat.
Tant la normativa europea com l'estatal fan responsables als bancs de les estafes vinculades a l'obtenció de les dades d'accés al compte bancari
Però és aquesta la única via? NO. Les entitats bancàries que presten serveis de pagament per via electrònica tenen una responsabilitat quasi objectiva. Hi ha una normativa europea (la 2015/2366 de serveis de pagament) i una estatal (el Reial-Decret Llei 19/2018, de 23 de novembre, de serveis de pagament) que estableixen aquesta responsabilitat que podem exigir a les entitats bancàries en els casos de phising. La base d'aquesta responsabilitat deriva del fet que les entitats bancàries, com a dipositàries i custòdies dels nostres diners, han de vetllar perquè les transferències es facin correctament i per les persones degudament autoritzades (igual que hi ha una responsabilitat també de les entitats bancàries en els casos de pagament de xecs falsificats).
Una entitat que presta un servei de banca online té l'obligació de dotar-se de les mesures suficients que garanteixin a l'usuari la seguretat de les operacions
Quan una entitat bancària presta un servei de banca online té l'obligació de dotar-se de les mesures suficients que garanteixin a l'usuari la seguretat de les operacions. Llavors, si hi ha una omissió, insuficiència o defectuós funcionament d'aquestes mesures, han de ser les pròpies entitats bancàries les que han d'assumir les conseqüències derivades de la fallida del sistema de seguretat. Precisament, com el phising és una modalitat específica de frau informàtic que es basa en l'anàlisi i la descoberta de les bretxes del sistema informàtic de les entitats bancàries, l'usuari-víctima no ha de ser qui ha de patir les conseqüències. En altres paraules, els sistemes de verificació d'autenticitat de les operacions són dissenyats i establerts per les entitats bancàries i si un banc no ha estat capaç de limitar l'accés dels delinqüents informàtics al seu sistema, no pot pretendre traslladar la responsabilitat a la pròpia víctima.
Aquest últim comentari deriva del fet que la resposta, amb freqüència, per part del banc, quan l'usuari denuncia que ha estat víctima del phising, consisteix en imputar negligència a la pròpia víctima, per haver-se deixat enganyar i haver facilitat als hackers els codis de seguretat que han permès les transferències no consentides. Al meu parer, això és una estratègia per a dissuadir les víctimes d'exigir la responsabilitat de l'entitat bancària i fer-los creure que l'únic camí que tenen per a recuperar els diners és la incerta via d'un procés penal, a fi que els delinqüents retornin els diners.
No és així. És possible per la via civil reclamar l'import de les quantitats sostretes pel sistema de phising a les entitats bancàries. Aquesta responsabilitat té una base legal com hem acabat d'exposar i així s'està recollint a les Sentències que es dicten sobre la matèria. Hem de pensar que la banca electrònica és una activitat de risc per a l'entitat bancària, perquè l'obliga a implementar les mesures de seguretat de les transferències dineràries. Per tant, si un banc acompleix una ordre de transferència falsa (ordenada pel delinqüent informàtic), ha de reintegrar l'import d'aquesta transferència al client-víctima.
Les entitats imputen a la negligència de les víctimes aquests fraus informàtics, però és una estratègia per dissuadir-los de reclamar la responsabilitat que tenen els bancs
L'excepció la trobaríem en aquells supòsits de negligència real de l'usuari. Però aquesta hipotètica negligència és molt difícil de demostrar per part del banc, en aquells supòsits en què el client-víctima rep el missatge fraudulent com si fos una simulació de comprovació de dades de la pròpia entitat. Qui ha permès que els delinqüents tinguin accés a les dades de la víctima (número de telèfon o correu electrònic)? La resposta és una fallida del sistema de seguretat del banc. En conseqüència, el fet que l'usuari-víctima hagi facilitat dades o codis de seguretat en la suposada comprovació instada per la pròpia entitat bancària, mai pot ser considerat com una actuació negligent.
Per aquesta raó, en un procediment civil, la càrrega de la prova, és a dir, qui ha de demostrar que el client no ha estat diligent és el propi banc. Si el banc no és capaç de demostrar aquesta hipotètica manca de responsabilitat de l'usuari, serà condemnat a retornar les quantitats estafades. En resum, el banc ha creat el risc, el banc ha permès la vulnerabilitat del seu sistema de seguretat i el banc ha de ser qui ha rescabalar l'usuari-víctima del phising de les quantitats perdudes. Aquest és el camí a seguir en cas de patir aquesta situació.