1. ¿Qué es el phishing?

2. ¿Cómo funciona?

3. ¿Qué hacer ante una situación de phishing?

4. ¿Qué vías de actuación tiene la víctima?

Mediante el llamado phishing, un defraudador busca hacerse con las contraseñas y datos del titular de una cuenta o tarjeta bancaria enviando un correo electrónico o un mensaje de texto aparentemente remitido por una entidad con la que el receptor puede tener alguna relación de servicios o por una persona con la que tenga confianza.

La comunicación contiene un enlace a una página que aparenta ser del sitio oficial de la entidad con la que pueda tener relación el titular pero que, en realidad, pertenece a un dominio bajo el control del estafador (en el argot llamado phisher). Si el usuario cae en la trampa y hace clic en el enlace se le solicitarán sus credenciales, como nombre de usuario, datos de tarjeta bancaria y contraseñas.

En el momento que introducimos nuestras credenciales en la página web del phisher, automáticamente se irán realizando una serie de operaciones bancarias de toda índole (compras online, en tiendas físicas, retirada de dinero en cajeros, etc.) sin la autorización de la víctima, para extraer la mayor cantidad de dinero posible antes que el afectado pueda dar aviso a su entidad bancaria.

Cuando una persona sufra una estafa de este tipo lo primero que debe hacer es ponerlo en conocimiento del banco para que cancele la tarjeta bancaria o bloquee la cuenta y se abra un expediente para la averiguación de los sucedido: cantidades sustraídas, operaciones realizadas, intervalo de tiempo entre cada una de ellas, etc. Además, debe acudir sin dilación a la Policía Nacional o la Guardia Civil para interponer la correspondiente denuncia.

En el ámbito penal suele ser complejo localizar a los autores por la propia naturaleza de este delito, y, aun identificando a los supuestos autores, es previsible que resulte complicado recuperar las cantidades sustraídas.

Sin embargo, el Real Decreto 19/2018 de Servicios de Pago y otras medidas urgentes en materia financiera establece un sistema de responsabilidad cuasiobjetiva de la entidad bancaria cuando la víctima no haya dado autorización real a la operación, derivada de la exigencia legal de la entidad titular del servicio online de adoptar medidas de seguridad necesarias y renovables ante los distintos modos de fraude informático. De modo que, salvo que se acredite la negligencia grave o dolo por parte del usuario de la banca electrónica, la entidad financiera debe responder en la vía civil del reintegro de los importes obtenidos de forma fraudulenta.

Ante la reclamación extrajudicial a la entidad bancaria, ésta suele responder negativamente argumentando que o bien se trata de una operación autorizada por la víctima o bien que ésta ha cometido una negligencia grave al facilitar sus credenciales. Sin embargo, la autorización, de haberse realizado, ha estado viciada desde su inicio y, al haber sido víctima de una estafa, la entidad bancaria deberá ser la que pruebe si ha actuado con negligencia grave o dolo.

De este modo, cuando una persona sufra este tipo de estafas debe de acudir a abogados que analicen las características de su caso y qué viabilidad tiene la reclamación a la entidad bancaria para iniciar lo antes posible la vía judicial de estimarse viable.

Francisco Hidalgo Soro | LEAN Abogados