Cada cop són més recurrents els casos de “phishing”, el maliciós mètode d’estafa digital que consisteix en la suplantació d’identitat d’una persona o d’una entitat per aconseguir dades personals o accés als comptes bancaris.

El creixement d’aquestes estafes és degut a diferents factors. Un d’aquests factors claus ha estat la pandèmia, ja que ha fet créixer el trasllat de les activitats online i ha provocat el tancament d’oficines bancàries, la qual cosa dificulta la gestió d’aquestes incidències. L’auge de les tecnologies amb el consegüent increment de les compres online i la utilització de les banques online també han afavorit la proliferació d’aquest tipus de delictes.

És important que sapiguem com detectar una possible estafa i com defensar-nos si malauradament en som víctimes.

¿Com podem detectar un phishing?

La majoria d’aquestes estafes es produeixen per via e-mail o SMS. El format dels missatges son quasi sempre els mateixos: tenen l’aparença de  l’entitat o empresa que ens commina a entrar en un enllaç per verificar les dades personals, bancàries o la contrasenya. La seva aparença és, a primeres, molt fiable, ja que fins i tot pot aparèixer el logo-tip i la tipologia de lletra que utilitza l’entitat en la seva aplicació o pàgina web. La realitat és, però, que cap entitat bancaria fa servir aquests canals per a la verificació de les dades.

Hi ha altres indicis que ens poden ajudar a detectar si estem sent víctimes d’un delicte de phishing: les direccions del remitent, una salutació no adreçada a nosaltres directament, la petició d’informació personal…

¿Què podem fer si som víctimes d’un phishing?

Si detectem que hem pogut estar víctimes d’una estafa hem de fer el següent:

Primer de tot, hem de contactar amb la nostra entitat bancària per a bloquejar la targeta i sol·licitar-ne una de nova, ja que si no, l’estafador tindrà accés a la mateixa de forma il·limitada en el temps.

Tot seguit, és important que previ a fer la denúncia davant la policia, obtinguem un certificat de la nostra entitat bancària dels moviments i saldos dels últims mesos, perquè és un element probatori de les quantitats detretes.

En la denúncia han de quedar reflectits els fets amb la descripció més àmplia possible. Convé que es destaqui que ens trobem davant d’una estafa i que no vam consentir de cap manera la sostracció d’aquestes quantitats sinó que hem estat víctimes d’un engany pel qual se’ns ha fet creure que es tractava del nostre banc o de l’empresa en concret i que, per tant, el nostre consentiment ha estat viciat.

Finalment, hem d’interposar una reclamació al servei d’atenció al client de l’entitat, que haurà de resoldre la nostra petició i retornar-nos l’import detret.

Cal recordar que l’entitat bancaria té l’obligació de retornar els imports en virtut del Real Decret Llei 19/2018 de Serveis de pagament i altres mesures urgents en matèria financera que transposa al nostre ordenament jurídic intern la Directiva UE 2015/2366 de 25 de novembre sobre Serveis de Pagament en el Mercat Interior.

Aquesta Directiva queda complementada pel Reglament Delegat (UE) 2018/389  on queda reflectida l’obligació cap a les entitats bancàries a disposar de mecanismes que supervisin les operacions per a detectar transferències de pagament no autoritzades o fraudulentes. És a dir, els bancs han de poder detectar que els elements d’autentificació han estat compromeses o sostretes i identificar aquestes situacions en el procés d’autentificació. Aquest mètode s’anomena autenticació reforçada i serveix per a verificar que l’ordenant del pagament es el titular de la targeta.

 El RDL 19/2018 parla sobre el consentiment, en el seu article 36 i assenyala que “a falta de tal consentimiento la operación de pago se considerará no autorizada”.

Al tractar-se d’un phishing o delicte d’estafa, l’operació s’entén com a no autoritzada, ja que el consentiment que presta la víctima està totalment viciat, donat que la persona que es troba darrere del missatge o del correu no es tracta de la mateixa que diu que és en adreçar-se al consumidor ni les intencions que es traslladen al consumidor són les que realment té l’estafador. Per tant, mentre que la víctima compleixi amb la notificació sense demorar-se i des que coneix els fets, la responsabilitat recau en el proveïdor dels serveis de pagament tal com assenyala l’article 45: “el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude”.

Un altre element que ja hem anomenat abans és el consentiment lliure i conscient que en els casos de phishing, és absent, perquè l’usuari dona el seu consentiment de manera viciada, promogut per un engany, per això el consentiment queda anul·lat.

La jurisprudència ha confirmat que el banc és qui té l’obligació de facilitar un sistema de banca telemàtica segura i no els clients els qui han de prevenir o esbrinar les modalitats de riscos que el sistema comporta (SAP de Alicante, Sec. 8ª, nº 107/2018, de 12/3/2018).

Per a més informació o assessorament, no dubtin en contactar amb ADVISORIA.