15 Jul Nueva sentencia contra la banca: ellos son los responsables si ‘hackean’ tu cuenta
El volumen de ataques informáticos y daños relacionados con operaciones electrónicas en el sector de la banca se ha multiplicado exponencialmente en los últimos años. Y eso está teniendo una consecuencia directa: cada vez más clientes reclaman a las entidades la devolución de las cantidades defraudadas. El problema es que los bancos no siempre aceptan y culpan en su lugar al propio usuario de los daños causados. Hasta ahora. Una nueva sentencia judicial ha dejado las cosas claras: si ‘hackean’ tu cuenta es responsabilidad del banco.
El Juzgado de Primera Instancia Número 48 de Madrid ha condenado a uno de los principales bancos españoles a indemnizar a un usuario víctima de un ‘malware’ que logró sustraer de su cuenta 55.275 euros. Según la sentencia, a la que ha tenido acceso Teknautas, el dinero fue robado gracias a un virus informático conocido como Citadel que estaba instalado en el ordenador del cliente. La responsabilidad, sin embargo, y siempre según el juez, es del banco y no del usuario, ya que este último no cometió ninguna negligencia grave y, en todo caso, le corresponde a la entidad bancaria asegurarse de que el dispositivo desde el que se accede a la cuenta no está infectado.
La Ley de Servicios de Pago establece que los usuarios son responsables de las operaciones de pago no autorizadas en aquellos casos en los que hayan cometido una negligencia grave, como lo puede ser según reza el propio texto, “no tomar las medidas de seguridad razonables”. Dentro de esta definición tan abstracta, la jurisprudencia había venido entendiendo hasta ahora que se podía considerar negligencia grave tener un virus informático en cualquiera de nuestros dispositivos.
En este caso la sentencia ha dictaminado que no se puede considerar una negligencia grave tener ‘malware’ siempre y cuando el usuario tenga instalado un programa antivirus para evitarlo. Además, el juez afirma que es el banco, en cualquier caso, el responsable de implementar las medidas tecnológicas necesarias para detectarlo.
“A pesar de que el ordenador del usuario no estaba en perfectas condiciones, este había tomado las medidas de seguridad razonables con el propósito de proteger su dispositivo instalando un sistema antivirus antes de haberse infectado. De cualquier forma, es el banco quien tiene y dispone de los medios necesarios para detectar el virus y posteriormente eliminarlo”, explica el fallo judicial, que ha obligado al banco a reembolsar los 55.275 euros sustraídos al cliente, además de pagar el coste del juicio.
“Citadel es un troyano bastante popular que suele entrar en los ordenadores en forma de PDF, complemento flash o incluso antivirus, extrayendo información mediante las técnicas de ‘keylogger’, ‘man in the middle’ o incluso capturas de pantalla. Ante un ciberataque de este tipo, es el banco quien tiene que comprobar que la operación está autorizada. Poco más puede hacer un usuario que no sea tener instalado un antivirus, sobre todo cuando hay tantos dispositivos móviles, PCs y portátiles infectados”, explica Pablo Fernández Burgueño, socio del despacho de abogados Abanlex.
¿Qué pasa si no actualizas el antivirus?
Esta no es la primera sentencia que falla en contra de los bancos ante casos similares de ataques informáticos a sus usuarios. Es más, son ya varios los fallos judiciales que progresivamente han ido exigiendo una mayor responsabilidad a las entidades bancarias obligándolas a desplegar cada vez más medios, controles y análisis de comportamiento de sus clientes.
Una sentencia del 7 de febrero de 2013 de la Audiencia Provincial de Badajoz condenó a otro banco a indemnizar a un cliente que había sido víctima de un ataque de ‘phishing’. Se trata de un modelo de abuso informático que se vale del engaño para poder llevar a cabo el fraude y que en este caso llegó a solicitar al usuario su tarjeta de coordenadas física. Lejos de considerar que hubiese existido un descuido por parte del usuario, el juez dictaminó que la responsabilidad también era de la entidad bancaria.
Según otra sentencia del 19 de diciembre de 2013 de la Audiencia Provincial de Castellón, el hecho de no tener actualizados el sistema operativo o antivirus, así como compartir la contraseña con otros usuarios, tampoco es constitutivo de una negligencia grave, por lo que la responsabilidad en este tipo de casos sigue siendo del banco.
“En los casos de operaciones bancarias no autorizadas la tendencia es atribuir al proveedor de servicios de pago la responsabilidad de demostrar que la misma fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico o cualquier otra deficiencia”, añade Burgueño.
Los bancos, obligados a proteger tus dispositivos
De esta forma, cada vez son más los tribunales que están exigiendo implementar más soluciones de seguridad y control de los dispositivos con los que accedemos al banco. Entre estas acciones adicionales se estable que las entidades pueden y deben analizar las operaciones y establecer patrones de comportamiento, analizar las conexiones entre el usuario de los medios de pago y la entidad prestadora del servicio, y llevar a cabo análisis remotos de los terminales empleados por los usuarios y sistemas, en la medida en que los primeros lo permitan.
“Se presupone que el usuario final no tiene conocimientos informáticos. Es por esto que si está infectado, en muchos casos no lo sabe. Existen soluciones que pueden ayudar a protegerlos para que esto no suceda, como implantar una tecnología en la salida de internet del banco capaz de monitorear el dialógo entre su ‘app’ y el usuario, añadiendo de esta forma una capa extra de seguridad. De momento pocas entidades lo están haciendo”, explica Alejandro López, directivo de la firma de seguridad F5.
Los datos lo demuestran. Según la Fiscalía General del Estado, los delitos informáticos se incrementaron un 210% entre 2011 y 2014, pasando de los 6.532 a los 20.534 en el último año. Las estafas financieras representan ya un 84% del total de este tipo de delitos en España, denunciándose cada día hasta 47 nuevos casos. Con la proliferación de los dispositivos móviles (España es el país líder en Europa en penetración de ‘smartphones’), este panorama no parece que vaya a cambiar a corto plazo.