En fecha 6 de abril de 2022, Noticias Jurídicas publicó una noticia titulada “La justicia condena a un banco a pagar a un cliente el dinero que le robaron por phishing” en la que informaban de una resolución positiva para un afectado de phishing en la que hacían responsable de ello a la entidad bancaria, a la cual le obligaban a devolver el dinero sustraído a su cliente.
La actuación del cliente que fue víctima de phishing, en las circunstancias expuestas para el caso objeto de análisis, no puede considerarse en ningún caso negligente, siendo que accedió a un enlace a una página que aparentaba ser del sitio oficial de la entidad bancaria emisora de la tarjeta pero que, en realidad, pertenecía a un dominio bajo el control del phisher.
En Albos Law hemos gestionado un caso similar para uno de nuestros clientes, que fue víctima igualmente de phishing al intentar acceder a un enlace de un mensaje que suplantaba la identidad de su entidad bancaria, pensando en todo momento que estaba recibiendo un mensaje de su parte, siendo que lo recibió desde una clonación prácticamente idéntica, difícilmente identificable, en la bandeja de mensajes en la que únicamente recibía mensajes de parte de su entidad bancaria de confianza.
Cabe señalar que el Real Decreto-Ley 19/2018, de 23 de noviembre, de Servicios de Pago, transpuso al ordenamiento interno la Directiva (UE) 2015/2366 del Parlamento y del Consejo, de 25 de noviembre, sobre Servicios de Pago en el Mercado Interior, con la finalidad generar un entorno más seguro y fiable para los usuarios, aprovechando las innovaciones tecnológicas. Asimismo, la Ley de Servicios de Pago impone una serie de derechos y obligaciones a los usuarios y proveedores de servicios de pago:
En concreto, a los usuarios le impone tres obligaciones: 1º.) Usar el instrumento de pago de conformidad con las condiciones pactadas en el contrato; 2º.) Tomar las medidas razonables para proteger sus credenciales de seguridad; y, 3º.) Notificar sin demora indebida el extravío, la sustracción, la apropiación indebida o la utilización no autorizada (Art. 41 LSP).
Por su parte, el proveedor del medio de pago debe cumplir con las obligaciones asumidas en el contrato, implementando las medidas de seguridad necesarias para asegurar la identidad del ordenante y la autenticación de la operación.
En concreto, las entidades bancarias tienen la obligación de implantar un mecanismo de autenticación reforzada: que la operación esté validada (a) con la clave personal y, además, (b) con un factor biométrico (p.e. la huella dactilar) o una clave aleatoria generada en cada operación, que debe ser enviada al usuario para revalidar la operación (doble factor de autenticación/seguridad).
Por ello, desde Albos Law consideramos que, si las entidades bancarias no disponen de mecanismos de supervisión adecuados de las operaciones de pago que les permitan detectar aquellas no autorizadas o fraudulentas, deben hacerse plenamente responsables de los perjuicios económicos de sus clientes víctimas de operaciones de phishing.