En les darreres setmanes s’ha disparat una certa alarma social pels robatoris als comptes bancaris de particulars perpetrats a partir del phishing o pesca a les xarxes socials. Aquesta modalitat de ciberdelinqüència consisteix a captar les dades d’accés d’un usuari de banca electrònica mitjançant un engany, normalment via missatge SMS, per poder buidar-li fàcilment el seu compte corrent. Diversos mitjans de comunicació han explicat la proliferació de casos d’aquesta amenaça, que no és nova però que realment està accelerant-se d’una manera molt preocupant, una tendència que ha provocat que les entitats bancàries hagin reforçat la pedagogia als seus clients per mirar de frenar l’onada delictiva.
Però més enllà que, com en tantes coses a la vida, aquí també val més prevenir que curar, hi ha una qüestió que està passant massa desapercebuda: la responsabilitat dels bancs en aquests robatoris. Òbviament, la víctima del robatori, en primera instància, ha de denunciar els fets per iniciar el procediment per localitzar als seus autors i fer-los retre comptes del seu delicte (una via particularment complexa quan parlem de ciberdelinqüència). Però els drets de la víctima no acaben aquí. Perquè les entitats bancàries que presten serveis de pagament per via electrònica tenen una responsabilitat quasi objectiva. Hi ha una normativa europea (la 2015/2366 de serveis de pagament) i una estatal (el Reial decret llei 19/2018, de 23 de novembre, de serveis de pagament) que estableixen aquesta responsabilitat que podem exigir a les entitats bancàries en els casos de phishing. La base d’aquesta responsabilitat deriva del fet que les entitats bancàries, com a dipositàries i custòdies dels nostres diners, han de vetllar perquè les transferències es facin correctament i per les persones degudament autoritzades (igual que hi ha una responsabilitat també de les entitats bancàries en els casos de pagament de xecs falsificats).
Quan una entitat bancària presta un servei de banca en línia té l’obligació de dotar-se de les mesures suficients que garanteixin a l’usuari la seguretat de les operacions. Llavors, si hi ha una omissió, insuficiència o defectuós funcionament d’aquestes mesures, han de ser les mateixes entitats bancàries les que han d’assumir les conseqüències derivades de la fallida del sistema de seguretat. Precisament, com el phishing és una modalitat específica de frau informàtic que es basa en l’anàlisi i la descoberta de les bretxes del sistema informàtic de les entitats bancàries, l’usuari-víctima no ha de ser qui ha de patir les conseqüències. En altres paraules, els sistemes de verificació d’autenticitat de les operacions són dissenyats i establerts per les entitats bancàries i si un banc no ha estat capaç de limitar l’accés dels delinqüents informàtics al seu sistema, no pot pretendre traslladar la responsabilitat a la mateixa víctima.
Aquest últim comentari deriva del fet que la resposta, amb freqüència, per part del banc, quan l’usuari denuncia que ha estat víctima del phishing, consisteix en imputar negligència a la mateixa víctima, per haver-se deixat enganyar i haver facilitat als hackers els codis de seguretat que han permès les transferències no consentides. A parer meu, això és una estratègia per a dissuadir les víctimes d’exigir la responsabilitat de l’entitat bancària i fer-los creure que l’únic camí que tenen per a recuperar els diners és la incerta via d’un procés penal, a fi que els delinqüents retornin els diners.
No és així. És possible per la via civil reclamar l’import de les quantitats sostretes pel sistema de phishing a les entitats bancàries. Aquesta responsabilitat té una base legal com hem acabat d’exposar i així s’està recollint a les Sentències que es dicten sobre la matèria. Hem de pensar que la banca electrònica és una activitat de risc per a l’entitat bancària, perquè l’obliga a implementar les mesures de seguretat de les transferències dineràries. Per tant, si un banc acompleix una ordre de transferència falsa (ordenada pel delinqüent informàtic), ha de reintegrar l’import d’aquesta transferència al client víctima.
L’excepció la trobaríem en aquells supòsits de negligència real de l’usuari. Però aquesta hipotètica negligència és molt difícil de demostrar per part del banc, en aquells supòsits en què el client-víctima rep el missatge fraudulent com si fos una simulació de comprovació de dades de la mateixa entitat. Qui ha permès que els delinqüents tinguin accés a les dades de la víctima (número de telèfon o correu electrònic)? La resposta és una fallida del sistema de seguretat del banc. En conseqüència, el fet que l’usuari-víctima hagi facilitat dades o codis de seguretat en la suposada comprovació instada per la mateixa entitat bancària, mai pot ser considerat com una actuació negligent.
Per aquesta raó, en un procediment civil, la càrrega de la prova, és a dir, qui ha de demostrar que el client no ha estat diligent és el mateix banc. Si el banc no és capaç de demostrar aquesta hipotètica manca de responsabilitat de l’usuari, serà condemnat a retornar les quantitats estafades. En resum, el banc ha creat el risc, el banc ha permès la vulnerabilitat del seu sistema de seguretat i el banc ha de ser qui ha de rescabalar l’usuari víctima del phishing de les quantitats perdudes. Aquest és el camí a seguir en cas de patir aquesta situació.