No es algo nuevo, pero si es un problema que cada vez preocupa a más gente, y más ahora, por la crisis económica que atraviesa la región y el país. Nuevos casos de estafas masivas a clientes de entidades bancarias proliferan en Cantabria y otras comunidades autónomas. El engaño comienza con la recepción de un mail o sms, supuestamente de su sucursal bancaria, en el que se advierte de un bloqueo en las tarjetas o cuentas.

El problema es que son pocas las personas que acuden a un abogado cuando son víctimas de un fraude o delito informático relacionados con la banca online o el duplicado de sus tarjetas de crédito. En general piensan que la culpa es suya, ya que no se cercioraron que la web, email o mensaje que recibieron era falso. Pero la realidad es que, el Banco, en algunos casos, puede tener responsabilidad en todo ello.

El Instituto Nacional de Ciberseguridad de España  describe el ‘phising’ como una técnica utilizada por ciberdelincuentes para obtener información personal y bancaria de los usuarios, por medio de la cual se envían mensajes suplantando a una entidad legítima, como puede ser un banco, para engañarles y manipularles con al finalidad de adquirir información confidencial sobre contraseñas de cuentas bancarias, tarjetas de crédito o cualquier otra información en relación con el banco, que permita entrar en las cuentas de los usuarios en Internet de banca electrónica y comenzar a realizar operaciones con su dinero.

¿Cómo se comete el fraude?

El fraude se comente a través de los medios de pago del usuario, por ejemplo mediante la tarjeta de crédito o débito o mediante una transferencia bancaria desde su cuenta.

LAS RESPONSABILIDADES DEL USUARIO Y DEL BANCO

El Real Decreto-Ley 19/2018, de 23 de noviembre, de Servicios de Pago, transpuso al ordenamiento interno la Directiva (UE) 2015/2366 del Parlamento y del Consejo, de 25 de noviembre, sobre Servicios de Pago en el Mercado Interior.

El nuevo marco normativo europeo tiene por finalidad generar un entorno más seguro y fiable para los usuarios, aprovechando las innovaciones tecnológicas producidas en los últimos años, buscando darles protección por medio de un marco de responsabilidad ‘objetiva’ del Banco. La Ley de Servicios de Pago impone una serie de derechos y obligaciones a los usuarios y proveedores de servicios de pago (las Entidades Bancarias).

A los usuarios le impone tres obligaciones: 1º.) Usar el instrumento de pago de conformidad con las condiciones pactadas en el contrato; 2º.) Tomar las medidas razonables para proteger sus credenciales de seguridad; y, 3º.) Notificar sin demora indebida el extravío, la sustracción, la apropiación indebida o la utilización no autorizada (Art. 41 LSP).

Por su parte, el Banco debe cumplir con las obligaciones asumidas en el contrato, implementando las medidas de seguridad necesarias para asegurar la identidad del ordenante y la autenticación de la operación.

La Directiva de Servicios de Pago (DSP2) obliga a las entidades bancarias a que las órdenes de pago se realicen mediante una autenticación reforzada (Arts. 97 y 98) o lo que es lo mismo: que la operación esté validada (a) con la clave personal y, además, (b) con un factor biométrico (p.e. la huella dactilar) o una clave aleatoria generada en cada operación, que debe ser enviada al usuario para revalidar la operación (doble factor de autenticación/seguridad).

La autenticación reforzada sirve para verificar que el ordenante del pago es el titular de la tarjeta, de forma que el titular valide la operación con -al menos- dos datos distintos -conocidos como factores de autenticación- que se caracterizan por: (a) Conocimiento: algo que sólo conoce el cliente, como una contraseña o código PIN; (b) Posesión: algo que posea el cliente, como una tarjeta de débito o un teléfono móvil; (c) Inherencia: algo inherente al cliente, como su huella dactilar .

Por ello, el Reglamente Delegado (UE) 2018/389 establece que los bancos (que son los proveedores de los servicios/medios de pago) deben disponer de mecanismos de supervisión de las operaciones que les permitan detectar operaciones de pago no autorizadas o fraudulentas.

Debe poder detectar que los elementos de autenticación (las claves personales) han sido comprometidas o sustraídas y deben detectar señales de infección por programas informáticos maliciosos en el proceso de autenticación. Un factor indicativo es el importe de la operación.

Además, la técnica actual permite a los bancos (a) el análisis de las pautas o hábitos de consumo de los usuarios, (b) detectar qué comercios son seguros y (c) cuál es el tráfico mercantil de ese comercio, de forma que saben o pueden saber qué operaciones son inusuales o pueden ser fraudulentas. Como la normativa les permite bloquear la operación, en caso de detectar el fraude deberían bloquear la operación y ponerse en contacto con el usuario-consumidor, para verificar que sea él quien realmente la esté realizando.

Según la LSP, las operaciones de pago sólo se consideran autorizadas cuando el ordenante haya dado su consentimiento (Art. 36 LSP), por lo que si el usuario niega haber autorizado una operación, el banco debe devolverle de forma inmediata el importe de la operación (Art. 45 LSP).

Los cántabros, «indefensos», tras la fusión de Liberbank y Unicaja

o adelantó este medio ayer, la Unión de Consumidores de Cantabria (UCC) ha advertido del aumento de las estafas por «fishing» en la región tras la fusión de Liberbank y Unicaja y ha exigido a esta entidad la restitución inmediata de las cantidades robadas a los clientes.

Según señala la UCC en un comunicado, este tipo de estafa nos es nuevo y lleva mucho tiempo afectando a clientes de muchas entidades, la mayoría en situación de indefensión ante la negativa de los bancos a reembolsar el dinero estafado. En el caso de Unicaja, explica, los estafadores vieron una oportunidad tras la fusión y el desconcierto que generó en los clientes la integración digital.

Fue en ese momento cuando empezaron a remitir de manera masiva mensajes a los dispositivos móviles, haciéndose pasar por la entidad y solicitando con urgencia la clave de acceso para evitar un bloqueo, una situación similar a la que se produjo un año antes tras la fusión de Bankia y La Caixa, recuerda.

Según la Unión de Consumidores, ha habido casos en los que los estafadores han conseguido apropiarse de «cantidades ingentes de dinero, ya que se trata de una actividad fraudulenta muy bien elaborada y que, para el usuario de a pie, es tremendamente difícil de detectar».

La UCC asegura que en todos estos casos, los afectados han reclamado al banco y, tras presentar la correspondiente reclamación y denuncia en la Comisaría de Policía, «ven con desolación como la entidad desestima las solicitudes de reintegro y pretende hacer sentir al cliente culpable del hecho».

A juicio de esta organización, ante estas situaciones los bancos están dejando «absolutamente indefensos a sus clientes», cuando son, en última instancia, los que tienen que garantizar la seguridad de los depósitos que sus clientes les confiaron.

Advierten de que tras el «phising» llega otra modalidad de estafa: el «vishing», que realizan por teléfono

En caso de ser contactado telefónicamente, ofreciéndonos algún tipo de servicio no solicitado, antes de tomar la decisión de efectuar cualquier pago o inversión , contacte con sus responsables laborales, su propia entidad financiera o con la Policía Nacional para ser asesorado previamente

La Policía Nacional ha detectado en varias comunidades un aumento significativo de los delitos de estafa, cometidos a través del método denominado ‘Vishing’, en el que el delincuente a través de ingeniería social y vía telefónica, persigue obtener datos personales y/o bancarios de los usuarios, pero  en este caso a diferencia de ‘phising’ y el ‘smishing’, el fraude se comete a través de una llamada telefónica, engañando a la víctima mediante la suplantación de la identidad de un tercero de confianza, como entidades bancarias o distintas empresas de paquetería o de servicios de mantenimiento ( agua, luz gas, etc.) , entre otros, para posteriormente obtener datos personales de las víctimas y realizar, o bien, cargos no autorizados en sus tarjetas de crédito, o bien, transferencias y envío de dinero fraudulento.

Por eso, es fundamental mantenerse alerta, y en caso de recibir algún tipo de llamada en la que se solicitan datos personales o bancarios, desconfiar y no dar ningún tipo de información que pueda comprometer nuestra identidad o nuestras cuentas bancarias.

En caso de sospechar o haber caído en alguna de estas llamadas y facilitado algún tipo de dato personal o bancario, proceder a bloquear las cuentas bancarias y las tarjetas asociadas, así como realizar una comprobación periódica de las cuentas corrientes, para, en caso de observar algún movimiento no autorizado, proceder a su bloqueo y posterior denuncia en la Policía Nacional.

La rapidez en la presentación de la denuncia es fundamental en este tipo de estafas para intentar recuperar el dinero sustraído.

Inducir a la confusión 

Este tipo de estafa puede llevar al cliente a creer que se trata de su banco, ya que los sms se apilan tras mensajes reales recibidos, anteriormente, de la propia entidad. Algo parecido ocurre con las llamadas telefónicas. En la pantalla de nuestro teléfono puede aparecer que el llamante es el banco o el departamento de  atención al cliente del mismo.

Para evitar ser víctimas de la estafa, la Policía Nacional recomienda:

No confíe en los mensajes recibidos, no pulse el enlace que le adjuntan.

Al recibir una llamada telefónica, no facilite sus claves o datos que reciba en su propio móvil.

Contacte con su sucursal de confianza, ellos podrán comprobar los hechos, asesorarle y dar aviso a la Policía en caso de estafa. Su entidad bancaria nunca le solicitará por teléfono, sms o email sus datos de acceso a la banca digital.

Además de las publicaciones oficiales de las cuentas de redes sociales de Policía Nacional, para todo lo relacionado con posibles avisos de estafas y correos de phising, u otras estafas asimiladas,  se puede consultar información en la Oficina de Seguridad del Internauta (https://www.osi.es/es) o el número gratuito que tienen habilitado para consultas en ciber seguridad (017), así como en el Instituto Nacional de Ciber seguridad (https://www.incibe.es/).