Subscriu-te al butlletí
WhatsApp
Facebook
Twitter
Instagram
YouTube
Telegram
TikTok
El Tribunal Suprem s'ha pronunciat per primera vegada sobre un cas de phishing (o ciberdelinqüència) desestimant el recurs interposat per Ibercaja contra una sentència que obligava l'entitat a retornar els més de 80.000 € sostrets del compte d'una clienta mitjançant la realització de 17 transferències bancàries no autoritzades en el decurs d'una sola nit. Una notícia que reforça el que des de Col·lectiu Ronda ja feia temps que defensàvem: que els bancs són responsables de vetllar per la seguretat dels mitjans utilitzats per operar de manera telemàtica.
En el cas de la sentència en què s'ha pronunciat el Suprem, la tècnica emprada pels ciberdelinqüents va ser la coneguda com a SIM swapping, consistent a duplicar sense autorització la targeta SIM del telèfon mòbil per accedir a la informació personal de la usuària i poder prendre control del compte bancari. Una pràctica delictiva que està darrere d'una part important i significativa dels més de 300 casos diaris d'estafes digitals que es notifiquen a Catalunya, esdevenint el segon delicte en volum de denúncies, només per darrere dels furts.
«És una sentència d'enorme transcendència jurídica perquè avala plenament el criteri que des de fa temps estan expressant els tribunals d'instàncies inferiors, en el sentit de considerar que els bancs disposen de la tecnologia necessària per detectar patrons de conducta tan inusuals i anòmals com aquest, en què es van realitzar i autoritzar 17 transferències bancàries en poques hores, de matinada, i per un import elevadíssim», analitza Òscar Serrano, advocat del Col·lectiu Ronda, expert en Dret bancari. Pel lletrat, «la detecció d'operacions inusuals que poden indicar que s'està desenvolupant una activitat delictiva en contra del nostre patrimoni forma part del deure integral de les entitats bancàries de protegir amb diligència els nostres interessos, tal com assenyala la legislació vigent, tant l'espanyola com la comunitària». Així ho assenyala també el Tribunal Suprem en aquesta primera i importantíssima sentència que retreu a l'entitat haver ofert «una prestació defectuosa del seu servei».
Cal tenir en compte que la Llei de Serveis de Pagament assenyala amb claredat que les úniques operacions vàlides són aquelles que compten amb el consentiment de la persona ordenant i, per tant, quan un usuari nega haver atorgat aquest consentiment, les entitats estan obligades a retornar-li de forma immediata l'import de l'operació. Malauradament, però, el més habitual és que els bancs pretenguin negar aquesta responsabilitat invocant preteses negligències per part dels usuaris i clients. «És el banc qui ha de provar que ha existit una negligència – afirma Òscar Serrano- i, fins i tot, en cas d'existir una actitud negligent, la legislació vigent estableix que ha de tractar-se d'una negligència especialment greu perquè el deure de protecció i de garantir la seguretat de les operacions correspon al banc. És per això que només de forma excepcional els tribunals aprecien que la gravetat d'una negligència és d'una magnitud tal que desvirtua aquesta responsabilitat dels bancs». En aquest sentit, i en referència a la pràctica concreta del sim swapping, cal recordar que l'Agència Espanyola de Protecció de Dades (AEPD) ha imposat més de 6,7 milions d'euros en multes a operadors com Vodafone, Telefònica, Orange, MásMóvil i Digi per permetre duplicats de targetes SIM sense verificar adequadament la identitat del sol·licitant.
Les tècniques que fan servir els delinqüents informàtics per accedir a la informació personal i suplantar la nostra identitat són cada vegada més sofisticades i resulta difícil que puguin ser els usuaris les que es protegeixin a si mateixes de forma efectiva enfront d'aquests atacs, però els bancs sí que tenen la capacitat tecnològica i el deure legal de detectar, prevenir i actuar contra aquestes maniobres fraudulentes. I el pronunciament del Tribunal Suprem ajuda a consolidar aquesta doctrina per a demandes futures.
