Opinión | El lado oscuro de la banca «online»: amenazas y soluciones frente a la ciberdelincuencia
|
11/12/2024 05:35
|
Actualizado: 10/12/2024 22:12
|
Constituye un hecho sociológico constatado que en la sociedad de la información e comunicación, más del 99% de los hogares españoles disponen de teléfono móvil y muchos también de tabletas, además de ordenadores portátiles y correos electrónicos con los que se accede a Internet.
En ese contexto de uso generalizado de la tecnología se ha expandido la cibercriminalidad.
El delincuente se ha trasladado al mundo virtual que le es más propicio y goza de mayor espacio de impunidad.
Los fraudes informáticos copan el ranking delicuencial. El delito de estafa informática es prevalente.
El delincuente, agazapado en la red, se vale de alguna manipulación informática o artificio semejante para lograr su apetencia ilícita lucrativa mediante la transferencia no consentida de cualquier activo patrimonial en perjuicio de tercero.
No cabe duda que las estafas informáticas son cada vez más sofisticadas y difíciles de detectar por los usuarios, no por los sofisticados sistemas bancario.
Los delincuentes han encontrado en la inteligencia artificial una herramienta de suma utilidad para cometer sus fechorías en el ciberespacio, un aliado de gran utilidad para la comisión de las ciberestafas que cada vez son más elaboradas, sofisticadas, creíbles, y, sobre todo, difíciles de detectar.
No deja de sorprender la cantidad de supuestos con los que uno se encuentra en los que se eluden burdamente los controles de seguridad o no salta ninguna alerta antiblanqueo ante operaciones financieras de lo más extravagantes.
Asimismo, sigue siendo común la recepción de correos electrónicos o mensajes de móvil que, haciéndose pasar por entidades bancarias, tratan de obtener las claves de acceso a la banca “online”.
Los fondos que los usuarios de la banca tienen depositados se convierten en objetivos deseados por la ciberdelincuencia a través de proteicas tipologías comisivas.
ATRIBUCIÓN COMPETENCIAL TERRITORIAL
Uno de los problemas procesales que se suscitan lo son en materia de atribución competencial territorial.
Así, en un reciente Auto del TS de 13 de Noviembre de 2024 se dirime la cuestión de competencia negativa entre dos órganos judiciales en un supuesto referido a una denuncia en la que la víctima relata que recibió un mensaje de texto en que una persona -haciéndose pasar por su hijo en apuros- logró convencerle mediante engaño a través de WhatsApp, para que hiciera dos transferencias por importe de 2520 euros cada una, consiguiendo revertir una de ellas.
La investigación policial logró identificar que la línea pertenece a Juan Antonio, con domicilio en la ciudad de Granada.
Y se argumenta por el Alto Tribunal, “La competencia territorial para la instrucción de las causas viene determinada por el lugar en el que el delito se hubiera cometido (artículo 14.2 LECRIM ). Respecto del delito de estafa, el Pleno no jurisdiccional de esta Sala de fecha 3 de febrero de 2005 acordó que: ‘El delito se comete en todas las jurisdicciones en las que se haya realizado algún elemento del tipo, en consecuencia, el Juez de cualquiera de ellas que primero haya iniciado las actuaciones procesales, será en principio competente para la instrucción de la causa‘. En resoluciones posteriores se ha manifestado que ‘el delito de estafa se comete en todos los lugares en los que se han desarrollado las acciones del sujeto activo (engaño) o del sujeto pasivo (desplazamiento patrimonial) y en el que se ha producido el perjuicio patrimonial (teoría de la ubicuidad)’, y la competencia corresponde, en principio, al primer Juzgado que hubiese conocido de los hechos ( AATS. 24 de enero de 2019, CC 20985/18; 31 de enero de 2019, CC 20975/18; 16 de enero de 2020. CC 20919/19).
En cuanto a los delitos de estafa, especialmente si se trata de estafa informática o cometida a través de internet, reiterada doctrina de esa Sala ha consolidado un nuevo criterio que complementa la teoría de la ubicuidad, y éste es el de la eficacia, de tal forma que, la competencia vendrá determinada por el lugar donde la investigación policial pueda tener algún éxito, donde se hayan realizado elementos del delito; donde pueda operarse sobre los ordenadores informáticos y donde la instrucción pueda ser eficaz (AATS. 15 de abril de 2021, CC 20202/21; 11 de noviembre de 2021, CC 20681/21; 1 de junio de 2022, CC 20124/22 ; 14 de junio de 2022, CC 20164/22 ; 14 de junio de 2022, CC. 20429/22 ; 15 de junio de 2022, CC 20446/22 ).
Como se ha indicado en esas resoluciones, este criterio de la mayor facilidad y conveniencia en la investigación es el mantenido por el Convenio sobre el Cibercrimen, suscrito en Budapest el 23 de noviembre de 2001; ratificado por España el 27 de septiembre de 2010, que determina que será competente el Estado «que esté en mejores condiciones para ejercer la persecución del delito».
Ahora bien, este criterio de la eficacia matiza el de la ubicuidad, siempre y cuando exista una razón sólida que justifique el decaimiento del criterio general en favor del de la eficacia de la investigación.
PRINCIPIO DE FUNCIONALIDAD
Entre las situaciones que pueden aconsejar la aplicación del principio de funcionalidad, y sin que sea una enumeración cerrada, podemos mencionar las siguientes: fraudes producidos en distintas provincias procedentes todos ellos de una misma persona, en cuyo caso es razonable atribuir la competencia al lugar del domicilio del investigado; fraudes en los que la mayor parte de los elementos típicos del delito de estafa se producen en el domicilio del investigado; fraudes en los que por su complejidad los distintos hechos determinantes de la ilicitud se producen en distintas localidades y es el en el domicilio del investigado donde se encuentran las pruebas o evidencias del ilícito, y estafas producidas por medios informáticos en donde resulta complejo determinar el lugar de comisión del hecho, al estar concernidos distintos lugares, incluso radicados en el extranjero.
En el presente caso la controversia competencial debe resolverse, tal y como ha informado la Fiscal ante esta Sala, a favor del Juzgado de Ponferrada.
No apreciamos razones suficientes para alterar el que se ha consolidado como criterio general, a partir del principio de ubicuidad, que otorga la competencia al Juzgado que primero conoció de los hechos, entre todos aquellos en los que se ha perfeccionado algún elemento del tipo.
De los datos que suministra la exposición razonada no parece que los hechos revistan especial complejidad. Se trata de una sola operación. El acto de disposición y el perjuicio a la víctima se materializan en el partido judicial de Ponferrada, donde se efectúa la orden de transferencia que propicia el desplazamiento patrimonial, y es este Juzgado el primero que toma conocimiento de los hechos e incoa las primeras diligencias, por lo que a él corresponde la competencia debatida (artículo 14.2 LECrim).
En la misma línea, en un supuesto de mula informática, el TS, por Auto de 6 de noviembre de 2024 discurre,”la simple existencia de una estafa por medios electrónicos o informáticos no es razón suficiente para que el fuero competencial venga determinado de forma automática por el domicilio del investigado. Si en el curso de la investigación se advirtiera esa complejidad,la condición de mula del beneficiario o la conexión del mismo con autores extranjeros o la relación del beneficiario con otras que le hubieran ayudado sería el momento de la inhibición.No ocurre así en el momento presente.
CASOS SENCILLOS Y CASOS COMPLEJOS
En estafas informáticas debe distinguirse entre casos sencillos -teoría de la ubicuidad y competencia del juzgado que incoó primero que coincide con el domicilio del denunciante- y casos complejos -teoría de la eficacia y competencia del domicilio del investigado– donde pueden encontrarse ordenadores, archivos, datos, intermediarios, etc.
Por cierto, las “mulas informáticas” constituyen una pieza clave de las tramas dado que quienes ostentan, dentro de la organización o grupo criminal, una jerarquía preeminente operan fuera de España.
El phishing, esto es, la pesca de datos, consiste en la captación ilícita de datos personales relacionados con las claves para el acceso a los servicios bancarios y financieros a través de la página web que imitan y copian la imagen aparentando la de una entidad.
El ardid de ese modus operandi puede consistir en emplear el cebo o señuelo de un cambio en la política de seguridad,aducir problemas técnicos,promoción de productos o servicios, participación en concursos, premios, regalos, detección de fingidos fraudes,llamada de un familiar precisado de urgencia monetaria, suplantando su identidad,etc, como anzuelos prototípicos que se estilan en el mundillo de la ciberdelincuencia.
El vishing, variante en la que el ciberdelincuente sustrae información a través del phishing y obtiene las claves de confirmación mediante una llamada alarmista a la víctima haciéndose pasar por el Banco.
El smishing, variedad del anterior, que, en lugar de efectuar una llamada ,los estafadores optan por el envío de mensajes SMS o a través de la aplicación de mensajería instantánea, WhastsApp.
Otra modalidad defraudatoria es el programa troyano instalando un malware en el dispositivo de la víctima que posibilita el ataque remoto al equipo infectado.
Otra variante es el carding, es decir, la realización periódica de compras por reducidos importes una vez se ha conseguido el acceso a una tarjeta de pago mediante la captura de sus datos o clonado.
OBLIGACIÓN DE UN SISTEMA DE BANCA TELEMÁTICA SEGURA
En ese arriesgado escenario es la prestadora de los servicios de pago la que tiene la obligación legal de facilitar un sistema de banca telemática seguro, y, no son los usuarios-clientes- los que deben adoptar una actitud proactiva de alerta permanente,pues debería estar protegido por la seguridad en el tráfico mercantil,y,por ende, lo se le puede exigir que averigüe las modalidades de riesgo que la operativa del sistema puede conllevar.
El banco debe actuar con la diligencia que le es exigible adecuando los sistemas de protección y prevención a las características de las personas, lugar y tiempo.
Debe tomar en consideración,el perfil del cliente, su vulnerabilidad,la detección de movimientos inusuales,importes dispuestos que en buena lógica deberían hacer saltar las alarmas.No basta, en tal sentido, con la implementación de medidas genéricas de protección o el lanzamiento sistemático de avisos estereotipados de cuidado.
Como responsable proveedor de los servicios de pago, el banco emisor, debe implementar las medidas necesarias y efectivas para asegurar ,en todo momento y lugar, la autenticación e identificación del ordenante,sin atisbo de relajación ni laxitud,mejorando y perfeccionando su sistema de forma dinámica y actualizándolo.
No debe tratarse de un sistema de protección de índole meramente cosmético.
No es dable la pretendida traslación huidiza de responsabilidad por parte del banco o entidad financiera al indefenso y damnificado usuario como justificatorio para eludir sus obligaciones.
Conforme a lo dispuesto en el art. 45 del Real Decreto ley 19/2018,de 23 de Noviembre,el proveedor de servicios de pago de ordenante deberá devolver el importe de la operación fraudulenta a más tardar al final del día hábil siguiente a aquel en el que se hubiese observado o se le haya notificado la operación.
Se instaura un sistema de responsabilidad cuasi objetiva de la entidad prestadora del servicio de pago con inversión de la carga de la prueba,merced a la presunción de la falta de autorización ,si el titular lo niega.
Lo mismo es predicable respecto a la modalidad defraudatoria de pagos mediante el sistema cada vez más extendido del “Bizum”,utilizando la aplicación y conociendo el número de teléfono del destinatario por un importe de hasta 1000 euros por operación.
Rige en esta materia el principio pro consumatore con arreglo a los artículos 3 y 4 de la Ley General para la Defensa de los Consumidores y Usuarios.
En caso de operaciones fraudulentas puede darse una concurrencia de responsabilidad civil contractual y extracontractualal socaire de los artículos 1101, 1103, 1104 ,1106 y 1902 del Código Civil, entre otras STS de 14 de febrero de 1994, ya que nada empece el planteamiento pretensional sustentado en la mixtura o yuxtaposición de responsabilidades o su accionamiento con carácter alternativo o subsidiario, ex art. 71.4 de la Ley de Enjuiciamiento Civil.
INVERSIÓN DE LA CARGA DE LA PRUEBA
Al tratarse de una responsabilidad de riesgo incumbe a la prestadora del servicio de pago el “onus probandi”
Así, la STS de 23 de julio de 2001 estableció que el artículo 25 de la citada Ley General para la Defensa de los Consumidores y Usuarios instaura un principio de inversión de la carga de la prueba haciendo recaer sobre el prestador del servicio la carga de probar que el origen de los daños y perjuicios se encuentra en la conducta indiligente y culposa del usuario.
Esa distribución de la carga de la prueba cobra especial relieve en los supuestos de las víctimas del phishing.
Asimismo, las estafas informáticas, como delitos generan la obligación de reparar los daños y perjuicios causados (artículo 109 del Código Penal). Y, tal obligación de reparar recaerá, en primer lugar, sobre aquellas personas criminalmente responsables (artículo 116 CP).
En el ámbito jurisdiccional penal cabe traer a colación lo dispuesto en el artículo 120.3 del Código Penal ,en méritos del cual son responsables civilmente, en defecto de los que lo sean criminalmente, «las personas naturales o jurídicas, en los casos de delitos cometidos en los establecimientos de los que sean titulares, cuando por parte de los que los dirijan o administren, o de sus dependientes o empleados, se hayan infringido los reglamentos de policía o las disposiciones de la autoridad que estén relacionados con el hecho punible cometido, de modo que éste no se hubiera producido sin dicha infracción».
Y en análisis del precepto, la jurisprudencia de la Sala Casacional (SSTS 615/2002, de 12 de abril; 1150/2006, de 22 de noviembre; 108/2010, de 4 de febrero; 745/2013, de 7 de octubre; 64/2014, de 11 de febrero; 168/2017, de 15 de marzo; 617/2019, de 11 de diciembre o 917/2022, de 23 de noviembre) sienta las exigencias para proclamar la responsabilidad civil subsidiaria por tal previsión, a saber:
1) Que se haya cometido un delito;
2) Que la infracción penal se haya perpetrado en un establecimiento dirigido por el sujeto pasivo de la pretensión indemnizatoria;
3) Que se haya infringido un reglamento de policía o cualquier otra disposición de autoridad, entendidas como el deber de actuación profesional impuesto por una ley o por cualquier norma positiva de rango inferior para el ramo de actividad de que se trate, incluyendo incluso el deber objetivo de cuidado que afecta a toda actividad para no causar daños a terceros;
4) Que la infracción sea imputable no solamente a quienes dirijan o administren el establecimiento, sino a sus dependientes o empleados y
5) Que tal infracción esté relacionada con el delito cometido, de modo que no se hubiera producido sin dicha infracción de que se trate.
Debe significarse que, en cuanto al delito de estafa, el TS, en la práctica jurisprudencial da por suprimido el denominado deber de autotutela de la víctima.
EL PROCEDIMIENTO PENAL, UNA VÍA ADECUADA PARA RECLAMAR A LOS BANCOS
Como apunta la STS 23/10/2024, en la jurisdicción penal, en materia de responsabilidad civil subsidiaria de entidad bancaria no rigen las limitaciones existentes respecto la responsabilidad penal.
En efecto, como proclama la Sentencia del Pleno de la Excma. Sala Primera del Tribunal Supremo n.º 141/2021, de 15 de marzo: «En estos supuestos de actividades peligrosas permitidas, por ser socialmente útiles, colisionan los intereses de los terceros de no resultar perjudicados, con el propio y legítimo de los titulares que las gestionan de obtener los mayores rendimientos económicos posibles derivados de su explotación, a veces sometida, aunque no siempre, a un régimen de responsabilidad objetiva bajo aseguramiento obligatorio. Esa desigualdad, en las posiciones de ambas partes, se pone fácilmente de manifiesto por la circunstancia de que mientras los terceros soportan la amenaza eventual de sufrir daños significativos, con la única ventaja de obtener a cambio, en el mejor de los casos, un beneficio meramente difuso, el titular de la actividad, por el contrario, se beneficia de las ganancias generadas de su explotación en su particular provecho. Esta asimetría conduce a la posibilidad de justificar decisiones normativas que, por razones de justicia conmutativa, impongan a quien se aproveche de ese stock de riesgos, las cargas económicas de los perjuicios causados a los terceros ajenos a la misma, con la finalidad de compensar esa especie de daños expropiatorios o de sacrificio. De esta manera, se han utilizado las fórmulas latinas ubi emolumentum, ibi onus (donde está la ganancia está la carga) o cuius commoda, eius incommoda (quien obtiene una ventaja debe padecer los inconvenientes)».
Así, el invocado precepto penal habilita el llamamiento de las entidades bancarias al procedimiento penal, como posibles responsables civiles subsidiarias, cuando sus servicios de pagos o de intermediación financiera hayan servido para la comisión de una estafa informática y, debiendo haber detectado y paralizado la operación fraudulenta, no lo hayan hecho por una inexistente o deficitaria aplicación de los sistemas de seguridad y control (culpa in eligendo o culpa in vigilando).
En esa línea se posiciona la Sentencia del Tribunal Supremo, Sala 2.ª, n.º 49/2020, de 12 de febrero, al refrendar la condena, como responsable civil subsidiaria, de la entidad bancaria en la que se encontraba abierta una cuenta desde la que se realizaron unas transferencias de manera fraudulenta.
Esta resolución recordaba que «es claro que la actividad propuesta por la entidad bancaria a sus clientes mediante la operativa online presenta algunos riesgos derivados de la posibilidad de suplantación de la identidad de quien contrata con la entidad para la realización de operaciones sin la autorización del auténtico contratante. Es claro también que, excluyendo actuaciones dolosas o gravemente negligentes por parte de los clientes, la entidad bancaria es responsable de ofrecer y poner en práctica un sistema seguro, de manera que las consecuencias negativas de los fallos en el mismo no deberán ser trasladados al cliente».
Ante la incesante oleada de estafas informáticas que asolan a la sociedad, y, teniendo en cuenta el marco normativo actual, ha de concluirse que el procedimiento penal constituye una vía adecuada para reclamar a las entidades bancarias la reparación del eventual daño causado por el delito cometido por un tercero.
De forma subsidiaria, en aquellos supuestos –en la práctica, muy frecuentes y habituales– en los que no sea posible la identificación del autor/es del delito de estafa informática, resultando imposible dirigir el procedimiento penal frente al mismo, siempre podrá ejercerse la correspondiente acción de responsabilidad civil, de manera directa, contra la entidad bancaria.
En cualquier caso, y, a modo de colofón, señalar la censurable muy escasa colaboración que ofrecen las entidades bancarias cuando les es comunicado un posible fraude.
Esa reticencia ahonda en la percepción de que no existe un suficiente interés por proteger a los consumidores y usuarios de los riesgos de la actividad bancaria, y advierte de que no se estarían destinando los suficientes recursos para implementar sistemas de prevención del fraude.
En cuanto a la probanza de tal extremo, bastaría con requerir judicialmente a la entidad bancaria o financiera para que acreditase el monto económico anual que destina ex profeso para robustecer el sistema de seguridad preventivo y reactivo para evitar tales fraudes informáticos.
Las entidades prestadoras de servicios de pagos deben,pues, actualizar ,mejorar y perfeccionar, permanentemente,con dinamismo,y, con la previsión económica necesaria, los sistemas de seguridad, y, los ciudadanos, usuarios, por su parte, concienciarse de los riesgos que acechan en Internet y en el manejo de móviles, tabletas, ordenadores y correos electrónicos, así como plataformas y aplicaciones.
Noticias Relacionadas: