Phishing: l’amenaça permanent


22 d’abril de 2024 phishing, sentència phishing, recuperar diners phishing, ciberdelinqüència

L’Institut Nacional de Ciberseguretat ha alertat sobre una intensa campanya de phishing o robatori de dades personals a través d’Internet i telefonia que aprofita l’inici de la campanya de la Renda per apropiar-se d’informació bancària a través de falsos SMS. Un exemple més d’aquesta activa (i molt lucrativa) indústria criminal.

..............................................................

La campanya sobre la qual ha alertat recentment l’Institut Nacional de Ciberseguretat consisteix en l’enviament massiu de SMS adreçats, suposadament, per Hisenda o la Seguretat Social on se’ns informen que ens han d’ingressar 411 euros en concepte de devolució corresponent a la nostra declaració de la renda. Però per rebre’ls hem d’actualitzar les nostres dades bancàries a la web de l’Agència Tributària, que apareix enllaçada al propi missatge. I en fer-ho, acabem d’obrir la porta i donar accés als nostres comptes bancaris a pirates informàtics perquè no existeix l’ordre de retornar-nos 411 euros, el missatge no prové de cap administració ni la pàgina web és la de l’Agència Tributària, encara que sigui una rèplica exacta.
Aquest és tan sols un exemple de recent de phishing, les pràctiques il·legals de pirates informàtics que durant 2023 van afectar més de 300.000 persones a tot l’Estat, amb conseqüències milionàries. Però n’hi ha molts més i de més habituals. Potser la pràctica més estesa és aquella en què els delinqüents informàtics ens fan arribar un missatge aparentment adreçat per la nostra pròpia entitat bancària on se’ns diu que no s’ha pogut realitzar una determinada operació. En comprovar de què es tracta, perquè nosaltres no hem ordenat aquesta operació, accedim a una pàgina web que sembla la del nostre banc, però no ho és, només té l’aparença. I és a través de les credencials que introduïm en aquesta falsa web com els pirates accedeixen a les nostres dades.

Què passa a partir d’aquest moment? Què podem fer si a través d’aquestes o altres formes d’engany els ciberdelinqüents han aconseguit les nostres dades i accedit, per exemple, als comptes bancaris?

La responsabilitat dels bancs

Moltes de les persones que han patit alguna de les variades i cada vegada més sofisticades formes d’estafa informàtica destinades a obtenir les nostres dades bancàries o suplantar-nos amb finalitats delictives pensen que tenen poc a fer per denunciar els fets o, encara menys, recuperar els diners sostrets. Però això està lluny de ser cert. La realitat és que la legislació vigent a Espanya estableix que són els bancs els responsables de vetllar per la seguretat dels seus clients i usuaris i garantir-los protecció front als riscos inherents a la utilització de mitjans digitals de pagament. I aquesta norma té molt poques excepcions.

Efectivament, la normativa en vigor pel que fa a mitjans de pagament digitals és Reial Decret-Llei 19/2018, que es va aprovar de forma urgent per adaptar la Llei espanyola a les exigències de la UE en matèria de protecció dels consumidors d’entitats bancàries. Aquesta norma és, per exemple, la que va fer obligatòria el doble sistema d’autenticació que ens demana que confirmen la nostra identitat a través del telèfon mòbil quan fem una compra per Internet o a l’hora d’ordenar una transferència.
El RDL 19/2018 ha establert el que es denomina un sistema de «responsabilitat quasi objectiva» dels bancs. És a dir, les entitats són responsables de preservar la seguretat de les nostres dades bancàries i personals i per fer-ho, tenen l’obligació de vetllar per alertar i impedir maniobres fraudulentes, fins i tot, deixant en suspens temporalment la nostra capacitat per operar si cal comprovar fefaentment que som nosaltres i no algú altre qui ha ordenat un pagament o transferència. D’aquesta forma, són els bancs qui tenen la responsabilitat de comprovar que no hi ha cap intenció fraudulenta darrera les operacions que afecten les nostres dades i comptes bancaris i adoptar totes les mesures necessàries per impedir i anticipar-se a l’activitat dels delinqüents informàtics si, per exemple, detecten moviments o accions pocs habituals (pagaments inusuals, imports poc habituals, destinataris sospitosos...).
Com a conseqüència d’aquesta responsabilitat quasi objectiva, la legislació obliga els banca a retornar-nos els imports que poden haver estat sostrets dels nostres comptes bancaris amb una única excepció: que el banc demostri que hem estat nosaltres qui de forma deliberada o per negligència greu hem incomplert amb l’obligació de custodiar les nostres dades. I això, tinguem-ho clar, no és gens fàcil de demostrar.

La negligència greu de les usuàries

L’única circumstància que permet als bancs defugir l’obligació de retornar-nos els diners és acreditar ells mateixos han adoptat totes les mesures possibles per impedir l’acció delictiva i que aquesta només ha estat possible com a conseqüència de la nostra pròpia negligència.
Tot i que cada cas s’ha d’analitzar individualment, el cert és que els tribunals espanyols gairebé sempre descarten l’existència de negligència per part de les víctimes de phishing. Es considera que imputar negligència a les persones que han patit una estafa només és possible en aquells casos en què aquesta resulta flagrant atesa la creixent sofisticació dels mètodes emprats pels delinqüents informàtics que, sovint, fan gairebé indetectable els intents de robatori, especialment per a persones que no són expertes en ciberseguretat o poden no estar familiaritzades amb l’entorn digital. A més a més, cal considerar que el Codi Civil espanyol determina que la negligència greu implica «no procedir amb la més mínima diligència» o, senzillament, «no fer allò que tothom fa i no preveure allò que tothom preveu».

Si no hi ha negligència, com recuperar els diners?

Si hem estat víctimes d’un cas de phishing i detectem operacions que nosaltres no hem ordenat el primer i més urgent que hem de fer és contactar de forma immediata la nostra entitat per tal que anul·li el mitjà de pagament intervingut pels ciberdelinqüents i generi el més ràpidament possible unes noves credencials de seguretat. Així evitarem que el perjudici pugui agreujar-se amb noves maniobres fraudulentes.
Un cop realitzat aquest tràmit, cal denunciar els fets davant les forces policials. Per fer-ho, és important aportar tota la documentació i informació que sigui possible sobre quin ha estat el mitjà utilitzat pels pirates per aconseguir les nostres dades i com s’ha comés el frau del qual hem estat víctimes. Aquesta informació és cabdal no tan sols per ajudar a esclarir els fets sinó també per demostrar davant l’entitat que no hi ha hagut negligència per la nostra part.
Després de denunciar, cal adreçar-se al servei d’atenció al client de la nostra entitat per informar-los de la denúncia presentada davant la policia i reclamar la devolució dels imports sostrets. Teòricament, l’entitat disposa de 15 dies per respondre el nostre requeriment, malgrat aquest és un termini que no sempre es respecta. Si el nostre banc accepta els fets i ens retorna els imports, aquí haurà acabat el nostre problema. Però, malauradament, això no és habitual. Els bancs responen en la majoria de casos a dient que per part seva es van seguir els processos d’autenticació establerts per la normativa vigent i que els fets no els són imputables sinó que deriven de la nostra pròpia manca de diligència. En aquest cas, no teniu altre remei que buscar l’assessorament de persones expertes en la matèria i acudir als tribunals per exigir que el banc assumeixi la seva responsabilitat i reclamar la devolució dels vostres diners. Això sí, ara podreu fer-ho sabent que la legislació vigent us reconeix el dret a veure retornats els diners i que l’obligació de demostrar l’existència d’una possible negligència correspon a l’entitat que, en cas de no poder fer-ho, tal i com és habitual, incorre en responsabilitats legals i contractuals respecte el perjudici que hem sofert. Diàriament rebem consultes d’aquest tipus i al nostre despatx no deixem d’obtenir noves sentències que reconeixen els drets de les persones afectades que, malauradament, cada vegada són més. Per sort, els jutjats acostumen a valorar la condició de víctimes de les persones afectades pel phishing i descartar l’existència d’una negligència greu. Aquí us deixem enllaçades algunes de les sentències recents aconseguides per Col·lectiu Ronda per tal que pugueu veure quins són els raonaments que acostumen a aplicar jutges i jutgesses:

22 d’abril de 2024

..............................................................

La campanya sobre la qual ha alertat recentment l’Institut Nacional de Ciberseguretat consisteix en l’enviament massiu de SMS adreçats, suposadament, per Hisenda o la Seguretat Social on se’ns informen que ens han d’ingressar 411 euros en concepte de devolució corresponent a la nostra declaració de la renda. Però per rebre’ls hem d’actualitzar les nostres dades bancàries a la web de l’Agència Tributària, que apareix enllaçada al propi missatge. I en fer-ho, acabem d’obrir la porta i donar accés als nostres comptes bancaris a pirates informàtics perquè no existeix l’ordre de retornar-nos 411 euros, el missatge no prové de cap administració ni la pàgina web és la de l’Agència Tributària, encara que sigui una rèplica exacta.
Aquest és tan sols un exemple de recent de phishing, les pràctiques il·legals de pirates informàtics que durant 2023 van afectar més de 300.000 persones a tot l’Estat, amb conseqüències milionàries. Però n’hi ha molts més i de més habituals. Potser la pràctica més estesa és aquella en què els delinqüents informàtics ens fan arribar un missatge aparentment adreçat per la nostra pròpia entitat bancària on se’ns diu que no s’ha pogut realitzar una determinada operació. En comprovar de què es tracta, perquè nosaltres no hem ordenat aquesta operació, accedim a una pàgina web que sembla la del nostre banc, però no ho és, només té l’aparença. I és a través de les credencials que introduïm en aquesta falsa web com els pirates accedeixen a les nostres dades.

Què passa a partir d’aquest moment? Què podem fer si a través d’aquestes o altres formes d’engany els ciberdelinqüents han aconseguit les nostres dades i accedit, per exemple, als comptes bancaris?

La responsabilitat dels bancs

Moltes de les persones que han patit alguna de les variades i cada vegada més sofisticades formes d’estafa informàtica destinades a obtenir les nostres dades bancàries o suplantar-nos amb finalitats delictives pensen que tenen poc a fer per denunciar els fets o, encara menys, recuperar els diners sostrets. Però això està lluny de ser cert. La realitat és que la legislació vigent a Espanya estableix que són els bancs els responsables de vetllar per la seguretat dels seus clients i usuaris i garantir-los protecció front als riscos inherents a la utilització de mitjans digitals de pagament. I aquesta norma té molt poques excepcions.

Efectivament, la normativa en vigor pel que fa a mitjans de pagament digitals és Reial Decret-Llei 19/2018, que es va aprovar de forma urgent per adaptar la Llei espanyola a les exigències de la UE en matèria de protecció dels consumidors d’entitats bancàries. Aquesta norma és, per exemple, la que va fer obligatòria el doble sistema d’autenticació que ens demana que confirmen la nostra identitat a través del telèfon mòbil quan fem una compra per Internet o a l’hora d’ordenar una transferència.
El RDL 19/2018 ha establert el que es denomina un sistema de «responsabilitat quasi objectiva» dels bancs. És a dir, les entitats són responsables de preservar la seguretat de les nostres dades bancàries i personals i per fer-ho, tenen l’obligació de vetllar per alertar i impedir maniobres fraudulentes, fins i tot, deixant en suspens temporalment la nostra capacitat per operar si cal comprovar fefaentment que som nosaltres i no algú altre qui ha ordenat un pagament o transferència. D’aquesta forma, són els bancs qui tenen la responsabilitat de comprovar que no hi ha cap intenció fraudulenta darrera les operacions que afecten les nostres dades i comptes bancaris i adoptar totes les mesures necessàries per impedir i anticipar-se a l’activitat dels delinqüents informàtics si, per exemple, detecten moviments o accions pocs habituals (pagaments inusuals, imports poc habituals, destinataris sospitosos...).
Com a conseqüència d’aquesta responsabilitat quasi objectiva, la legislació obliga els banca a retornar-nos els imports que poden haver estat sostrets dels nostres comptes bancaris amb una única excepció: que el banc demostri que hem estat nosaltres qui de forma deliberada o per negligència greu hem incomplert amb l’obligació de custodiar les nostres dades. I això, tinguem-ho clar, no és gens fàcil de demostrar.

La negligència greu de les usuàries

L’única circumstància que permet als bancs defugir l’obligació de retornar-nos els diners és acreditar ells mateixos han adoptat totes les mesures possibles per impedir l’acció delictiva i que aquesta només ha estat possible com a conseqüència de la nostra pròpia negligència.
Tot i que cada cas s’ha d’analitzar individualment, el cert és que els tribunals espanyols gairebé sempre descarten l’existència de negligència per part de les víctimes de phishing. Es considera que imputar negligència a les persones que han patit una estafa només és possible en aquells casos en què aquesta resulta flagrant atesa la creixent sofisticació dels mètodes emprats pels delinqüents informàtics que, sovint, fan gairebé indetectable els intents de robatori, especialment per a persones que no són expertes en ciberseguretat o poden no estar familiaritzades amb l’entorn digital. A més a més, cal considerar que el Codi Civil espanyol determina que la negligència greu implica «no procedir amb la més mínima diligència» o, senzillament, «no fer allò que tothom fa i no preveure allò que tothom preveu».

Si no hi ha negligència, com recuperar els diners?

Si hem estat víctimes d’un cas de phishing i detectem operacions que nosaltres no hem ordenat el primer i més urgent que hem de fer és contactar de forma immediata la nostra entitat per tal que anul·li el mitjà de pagament intervingut pels ciberdelinqüents i generi el més ràpidament possible unes noves credencials de seguretat. Així evitarem que el perjudici pugui agreujar-se amb noves maniobres fraudulentes.
Un cop realitzat aquest tràmit, cal denunciar els fets davant les forces policials. Per fer-ho, és important aportar tota la documentació i informació que sigui possible sobre quin ha estat el mitjà utilitzat pels pirates per aconseguir les nostres dades i com s’ha comés el frau del qual hem estat víctimes. Aquesta informació és cabdal no tan sols per ajudar a esclarir els fets sinó també per demostrar davant l’entitat que no hi ha hagut negligència per la nostra part.
Després de denunciar, cal adreçar-se al servei d’atenció al client de la nostra entitat per informar-los de la denúncia presentada davant la policia i reclamar la devolució dels imports sostrets. Teòricament, l’entitat disposa de 15 dies per respondre el nostre requeriment, malgrat aquest és un termini que no sempre es respecta. Si el nostre banc accepta els fets i ens retorna els imports, aquí haurà acabat el nostre problema. Però, malauradament, això no és habitual. Els bancs responen en la majoria de casos a dient que per part seva es van seguir els processos d’autenticació establerts per la normativa vigent i que els fets no els són imputables sinó que deriven de la nostra pròpia manca de diligència. En aquest cas, no teniu altre remei que buscar l’assessorament de persones expertes en la matèria i acudir als tribunals per exigir que el banc assumeixi la seva responsabilitat i reclamar la devolució dels vostres diners. Això sí, ara podreu fer-ho sabent que la legislació vigent us reconeix el dret a veure retornats els diners i que l’obligació de demostrar l’existència d’una possible negligència correspon a l’entitat que, en cas de no poder fer-ho, tal i com és habitual, incorre en responsabilitats legals i contractuals respecte el perjudici que hem sofert. Diàriament rebem consultes d’aquest tipus i al nostre despatx no deixem d’obtenir noves sentències que reconeixen els drets de les persones afectades que, malauradament, cada vegada són més. Per sort, els jutjats acostumen a valorar la condició de víctimes de les persones afectades pel phishing i descartar l’existència d’una negligència greu. Aquí us deixem enllaçades algunes de les sentències recents aconseguides per Col·lectiu Ronda per tal que pugueu veure quins són els raonaments que acostumen a aplicar jutges i jutgesses: