Cómo reconocer un intento de fraude y las posibilidades de recuperar el dinero robado en Italia
En la frontera de las estafas bancarias, la llamada práctica del phishing es ya bien conocida. Una de las formas en que puede llevarse a cabo es la adquisición ilícita de datos de acceso personales y contraseñas mediante el envío de correos electrónicos con los que los estafadores, haciéndose pasar por un banco o una empresa conocida, roban las credenciales necesarias para acceder al home banking de la víctima con el fin de transferir todo o parte del dinero de la cuenta. En la mayoría de los casos, el autor es desconocido, lo que imposibilita a la víctima obtener la devolución de los fondos malversados.
Adiconsum ha dado la voz de alarma tras una oleada de estafas en Cerdeña en los últimos meses, especialmente a usuarios de BPER, más conocido en la isla como Banco di Sardegna (que también había incorporado el Banco di Sassari). Con el tiempo, los estafadores han desarrollado estrategias diferentes de la descrita, también implementadas a través de los clásicos SMS (smishing), o llamadas de voz (vishing). Recientemente, además, se han puesto en práctica otras nuevas técnicas para engañar de forma aún más artera a las víctimas desprevenidas.
La primera, denominada SMS Spoofing, sigue realizándose mediante el envío de mensajes de texto, pero a diferencia del smishing, en el que el mensaje procede de un número desconocido, el estafador envía el mensaje de texto "trampa" haciéndolo pasar por enviado por un remitente certificado (como procedente de la propia entidad de crédito o de empresas de servicios reales). De este modo, el mensaje aparece en el smartphone de la persona en el chat de ese remitente, junto con otros mensajes realmente recibidos, engañando así al destinatario. En el mensaje, por tanto, se comunica un supuesto problema que sólo puede resolverse a través de un enlace adjunto. De este modo, en el momento en que el destinatario hace clic en el enlace insertado, es transferido a la página de un sitio falso, aparentemente idéntico al del banco al que el estafador ha sustituido. Al hacerlo, el cliente, confiando en que se encuentra en el sitio de su propio banco, introduce sus datos de acceso, lo que permite al estafador robarlos y utilizarlos inmediatamente para realizar transferencias a su favor.
También puede ocurrir que, una vez obtenidos los datos del cliente a través del enlace, el estafador contacte con él por teléfono haciéndose pasar por un funcionario del mismo banco, solicitando más información, como claves temporales para autorizar los pagos.
Otra novedad entre las técnicas fraudulentas es el llamado Sim Swap Fraud, mediante el cual el estafador, sustituyéndose a sí mismo por la víctima, solicita en una central telefónica un duplicado de la tarjeta Sim a nombre de ésta. Una vez introducida la tarjeta SIM en el teléfono móvil de la víctima, el impostor puede obtener las claves de acceso a la cuenta de home banking de la incauta víctima y realizar pagos a su favor.
En este caso, además, la persona robada se dará cuenta demasiado tarde de que se ha producido el fraude, ya que en un primer momento sólo notará un repentino mal funcionamiento de su propia cuenta telefónica. Sólo después de acudir a la central telefónica de su operador, la persona estafada se dará cuenta de la duplicación de su tarjeta SIM. El estafador dispondrá así de un tiempo considerable para realizar todas las operaciones necesarias para vaciar la cuenta de la víctima.
Por lo general, en los casos clásicos de phishing, la responsabilidad se atribuye a la víctima, ya que es culpable de una falta "grave", consistente en haber facilitado sus datos de acceso al estafador, con lo que la entidad de crédito permanece ajena al asunto.
La única manera de recuperar las sumas robadas, por tanto, sería identificar al defraudador, operación que dista mucho de ser sencilla.
Sin embargo, en referencia a las formas más recientes de fraude, conocidas como SMS Spoofing y Sim Swap Fraud, varias sentencias, tanto de la Autoridad Judicial como del Árbitro Bancario y Financiero (ABF), han reconocido un perfil de culpabilidad "semi-objetiva" por parte de la entidad bancaria (en virtud del artículo 10 del Decreto Legislativo 11/2010), con la condena al reembolso de la suma sustraída a la víctima por el defraudador.
Más concretamente, en este tipo de procedimientos, además de la responsabilidad contractual derivada de la relación con el usuario, la entidad bancaria tiene la carga de probar la negligencia del usuario, demostrando así que la víctima actuó con dolo o negligencia grave al facilitar sus credenciales o datos personales.
El banco también tiene la carga de probar que no hubo un mal funcionamiento del software, que no recibió informes de operaciones sospechosas y anómalas y, sobre todo, que dispone de un sistema de seguridad "fuerte", capaz de proteger las operaciones, cuentas y datos personales de sus titulares.
En los casos citados, por tanto, las modalidades fraudulentas específicas, al ser más difíciles de reconocer con la normal diligencia debida al usuario, pueden permitir eximir a la víctima de la negligencia "grave" necesaria para imputar la responsabilidad por lo ocurrido; de hecho, la entidad de crédito, al no acreditar la conducta negligente del titular de la cuenta y la seguridad real de sus sistemas, será considerada responsable de la apropiación indebida del dinero de la cuenta corriente, con la consiguiente condena al reintegro de las cantidades correspondientes.
Precisamente el Tribunal Supremo de Casación en su sentencia 10638/2016 sostuvo que "una entidad que ejerce una actividad de tipo financiero o, en general, crediticio (.... ) es responsable, como titular del tratamiento de datos personales, de los daños y perjuicios derivados del hecho de no haber impedido que terceros entraran ilícitamente en el sistema informático del cliente captando sus claves de acceso y las consiguientes instrucciones ilícitas de transferencia, salvo que pruebe que el hecho dañoso no le es imputable por derivar de negligencia, error (o dolo) del interesado o fuerza mayor".
Si es o cree que ha sido víctima de phishing, puede ponerse en contacto con nuestro bufete de abogados para que le asesoremos; nuestros abogados, presentes en toda Italia y en el extranjero, podrán ayudarle evaluando la mejor estrategia para recuperar las sumas que le hayan robado.
Dra. Giulia Salis