BANCA
Primeras reclamaciones en León por la ciberestafa a los clientes de Unicaja
Las víctimas leonesas de la estafa masiva vieron cómo el dinero se esfumó de sus cuentas
Los clientes recibían mensajes que parecían ser de la entidad. EFE
Las víctimas leonesas de la ciberestafa masiva que desde la pasada primavera han visto cómo el dinero desaparecía de sus cuentas de Unicaja Banco y Liberbank durante el proceso de integración comienzan a acudir a los juzgados para reclamar las cantidades sustraídas por varias bandas de ciberdelincuentes. Sin datos concretos de estafados o cantidades sustraídas, las asociaciones de afectados hablan de centenares de afectados y transferencias que van desde los 200 a los 30.000 euros en cada robo, más en algunos casos. La justicia está dando la razón a los clientes, y les permite recuperar lo perdido aunque, como víctimas de la estafa, dieran sus datos personales a quien creían que era su banco.
Durante la fusión de Unicaja y Liberbank se produjo una importante brecha de seguridad en su banca online , que permitió el acceso de los delincuentes a centenares de cuentas de sus clientes. Un fallo que se vio agravado por el hecho de que durante el período de fusión desaparecieron o se ampliaron automáticamente los límites establecidos para las transferencias, lo que amplió el volumen de lo defraudado. De hecho se llegaron a autorizar transferencias inmediatas por hasta 40.000 euros en cuentas que antes tenían límites mucho más bajos, según denuncian las plataformas de afectados que se han constituido para informar a las víctimas e impulsar las reclamaciones judiciales que les permitan recuperar sus ahorros.
Sentencias
Hasta el momento las sentencias que se han dictado en varios puntos del país, ratificadas ya por audiencias provinciales, responden a la jurisprudencia que respalda a las víctimas porque la responsabilidad de verificar las operaciones recae en las entidades financieras. En todo caso, las víctimas tienen que seguir un procedimiento que, más allá de la comunicación al banco y la Policía Nacional, pasa por presentar una demanda argumentada correctamente por un despacho de abogados especializado.
En León se están presentando ya las primeras demandas para reclamar el dinero sustraído a los clientes locales (los herederos de la antigua Caja España); según explican desde Serrano Abogados, que se ha especializado en reclamaciones bancarias desde sus inicios como pioneros dentro de las denuncias por las participaciones preferentes de las antiguas cajas de ahorro. Y que recuerda que las principales sentencias de las audiencias provinciales sobre phising desde hace casi una década se decantan por la protección de los clientes.
El Real Decreto Ley de Servicios de Pago recuerda que la normativa europea tiene como objetivo generar un entorno seguro y fiable para los usuarios frente a las innovaciones tecnológicas , y establece la responsabilidad cuasi-objetiva de las entidades. A los usuarios les exige tomar medidas razonables para proteger sus credenciales de seguridad y notificar sin demora pérdidas o incidencias. Pero el banco debe asegurar una autentificación reforzada para validar las operaciones, y disponer de los mecanismos que detecten operaciones de pago no autorizadas realmente o fraudulentas.
Estafa masiva
Las entidades alegan negligencia en los casos de ciberdelitos, pero tienen que acreditarlo
En el caso de los ataques a las cuentas de Unicaja Banco (y Liberbank) se suplantó la identidad del banco. Las víctimas recibían un SMS que no les resultaba sospechoso porque se incluía en el hilo de mensajes con los que gestionaban sus operaciones con la entidad. A pesar de que desde Unicaja periódicamente se advertía de que nunca les solicitan datos por SMS, teléfono o mail, y que ignoren y eliminen comunicaciones dudosas, los expertos reconocen que los enlaces en los que se comunicaban accesos no autorizados a las cuentas online conducían a páginas de gran similitud con las reales.
A menudo, según se fue perfeccionando la estafa, recibían también llamadas desde un teléfono con prefijos como los de Atención al Cliente, por lo que terminaban dando los datos que permitieron a los ciberdelincuentes acceder a las cuentas y desvalijarlas.
Las sentencias publicadas hasta ahora inciden en que la entidad tiene que implementar las medidas suficientes para evitar fraudes, incluida la suplantación de identidad. Porque el cliente, como consumidor, debe gozar de una protección reforzada. En todo caso, «corresponde a la entidad financiera la carga de acreditar que el sistema utilizado es completamente seguro».
’Phishing’ y ‘vishing’, ¿cuáles son los ciberdelitos?
El más usado es el ‘phishing’ mediante SMS. La víctima recibe en su teléfono a través del hilo habitual con su banco un mensaje que advierte de un problema de seguridad en su cuenta y a través de un enlace entra en una página fielmente copiada de la de su entidad, y se le piden las claves. Los ciberdelincuentes utilizan también el ‘vishing’, llamadas desde un teléfono que parece el del banco. Un «empleado» le ayuda a... consumar el robo.
Detalles para sospechar
Aunque el SMS suele ‘colarse’ en el hilo del banco, y se abre una página (clon) casi idéntica, hay que fijarse en que no aparezca ni una sola letra distinta en el dominio. Además las conexiones seguras del banco ban precedidas de un candado y añaden la ‘s’: https://. Las entidades se dirigen al cliente por su nombre, no incluyen expresiones extrañas o mal construidas y nunca solicitan claves ni datos personales por estos medios.
¿Qué hacer si se es víctima de un ciberfraude?
Lo primero, informar lo antes posible a la entidad financiera para que bloquee los medios de pago. Además interponer una demanda ante la Policía Nacional; y conservar los mensajes recibidos para acreditar el fraude. Además hay que presentar una reclamación escrita a la entidad bancaria solicitando el reintegro de lo sustraído; y si no se atiende la petición acudir a abogados especializados para iniciar acciones legales para recuperar lo robado.
¿Cuál es la responsabilidad de las entidades?
Según el Tribunal Supremo (y las decisiones de las audiencias que ya se han manifestado) en la banca ‘online’ la entidad debe devolver las cantidades cuando no se han autorizado por el titular, salvo que se haya actuado con grave negligencia. Lo que no ocurre con el ‘phishing’, porque es una estafa en la que los delincuentes suplantan la identidad del banco. Que debe garantizar además un mecanismo suficientemente seguro de doble autenticación de las operaciones.