Saltar al contenido

Ciberestafas Bancarias y de Inversión. A cargo de José Ramón Oulego.

AD 157/2021

CIBERESTAFAS BANCARIAS Y DE INVERSIÓN

INTRODUCCIÓN:

En los últimos tiempos en Oulego Abogados y Consultores hemos asistido a un aumento exponencial de los casos relacionados con ciberestafas en productos de inversión y, recientemente, ciberestafas bancarias.

Ello ha motivado que mi colaboración bimensual con A Definitivas se centre en esta cuestión con una triple finalidad divulgativa: que las potenciales víctimas puedan identificar un intento de ciber estafa y que los afectados por este tipo de delitos sepan cuáles son sus derechos y los cauces procesales a seguir. Asimismo que los letrados no especialistas tengan una pequeña guía para afrontar uno de estos casos. Además brindaremos algunos consejos prácticos para evitar que los ciberdelincuentes se apropien de nuestro dinero.

PALABRAS CLAVE: Ciberestafas, Ciberdelitos, Derecho Penal, Derecho Financiero, Derecho Bancario, Phising, Smishing, Vishing, Criptomonedas, acciones, CFDs, Forex, inversión.

Según fuentes policiales en Galicia (desde donde escribo estas líneas) han aumentado los ciberdelitos un 20 % con respecto a 2020. A día de hoy uno de cada cinco delitos se comenten a través de la red.

Este es un fenómeno global (como lo es el medio para perpetrarlo: internet). Así el VIII Informe sobre Cibercriminalidad elaborado por la Dirección General de Coordinación y Estudios de la Secretaría de Estado de Seguridad confirma que en España hemos pasado de 92.000 ciberdelitos (aproximadamente) denunciados en 2016, lo que suponía un 4,6 % sobre el total de la actividad delictiva a 288.000 en 2020 (un 16,3% sobre el total de delitos).

Por tanto, es muy importante estar debidamente formados y alerta para no ser víctimas de este tipo de delincuentes.

Phising:

El método más utilizado continúa siendo es el phishing (aunque como veremos más adelante las ciberestafas cada vez están siendo más sofisticadas). El nombre deriva de “fishing” (pesca en inglés) y consiste en soltar un “anzuelo” en el ciberespacio para que alguna víctima “pique”.

Este método suplanta la identidad de una empresa (puede ser desde un banco hasta una empresa de transportes, pasando por la administración pública, un comercio online o una página de series y películas en streamming) con la finalidad de apropiarse de las claves de la víctima.

Normalmente se remite una comunicación (vía correo electrónico, SMS o aplicación de mensajería instantánea) que pretende que facilitemos nuestros datos bancarios, email, contraseñas, número y código de tarjeta o cualquier otro tipo de dato personal que permita al delincuente hacerse con nuestro dinero.

Habitualmente se utiliza un enlace que clona la interfaz de la empresa legítima (por ej: Correos, Amazon, UPS, Netflix o una entidad bancaria) donde al meter nuestros datos de acceso estos pasan automáticamente al delincuente que ha clonado la web.

Otras veces directamente se nos dice que, para hacer comprobaciones de seguridad o con otra excusa, debemos facilitar nuestros datos.

Esta es la forma más sencilla de hacer un ciberataque a una víctima (no requiere de especiales conocimientos técnicos como si lo requiere buscar brechas en un sistema de ciberseguridad de una compañía) pero al mismo tiempo es tremendamente efectiva y, por ello, peligrosa. Tiene su origen en los años 70 y a modo de curiosidad decir que el primer phishing contra una bancaria se produjo en septiembre de 2020.

Es muy efectiva porque cualquiera de nosotros puede caer en ella en un momento dado. Recordemos que el director de la campaña de Hillary Clinton en las elecciones presidenciales de 2016, John Podesta, fue víctima de un phishing mediante un mensaje que le pedía que cambiase las claves de su correo Gmail porque estaban en peligro. Al hacerlo facilitó sus contraseñas y se produjo una filtración de varios emails de su bandeja.

El phishing suele conllevar un envío masivo e impersonal de comunicaciones (como el ejemplo que acabamos de poner: el mensaje manifestando que las contraseñas estaban comprometidas se envió de forma masiva).

Una evolución del phishing o un subtipo del mismo (como queramos verlo) es el denominado spear phishing en el cual el delincuente averigua datos personales y laborales de la víctima para dar mayor verosimilitud a la comunicación y facilitar su eficacia. Imaginemos que somos el contable de una empresa y un día nos llega un email aparentemente del CEO de la compañía solicitando que hagamos un pago urgente a un ejecutivo de la misma o a un proveedor. Al hacer el pago en el enlace que se nos adjunta lo que hacemos realmente es abonar la cantidad al estafador (que se ha hecho pasar por el CEO) obteniendo previamente nuestros datos (nombre, dirección de email y cargo en la empresa).

CIBERESTAFAS BANCARIAS:

Definición. Caso actual.

Son aquellas que, a través de diversos métodos (principalmente el phishing), tratan de apropiarse de nuestras claves bancarias para detraer dinero de nuestras cuentas.

Como comentaba al inicio del artículo, en Galicia hemos detectado una estafa un poco más sofisticada y que afecta a varias entidades (principalmente ABANCA ((https://www.lavozdegalicia.es/noticia/galicia/2021/09/30/gallegos-victimas-ciberestafas-meteronme-banca-electronica-polos-ollos-estafaronme-9300-euros/00031633034542479790913.htm)

Decimos que es un poco más sofisticado porque además del phishing utiliza también el envío de SMS (smishing) y las llamadas telefónicas (vishing).

En este caso el método utilizado por los estafadores fue el siguiente: en un primer momento el cliente recibe un SMS (en la bandeja de entrada de su móvil en la que recibe habitualmente los mensajes de la entidad) en el que se le alerta de que alguien está intentando utilizar su banca electrónica con fines fraudulentos para realizar una o varis transferencias no consentidas por un importe determinado (de media unos 10.000 € aunque se han dado casos de importes inferiores y alguno superior a los 160.000 €). El mensaje contiene asimismo un enlace que la víctima debe visitar para evitar la transferencia y que simula ser la banca electrónica de la entidad, pero que lo único que pretende es apropiarse de las claves de la víctima (phishing)

Finalmente se comunica a la víctima que personal de la entidad se pondrá en contacto telefónico para terminar de evitar que se produzca la estafa. En un lapso de tiempo, que varía entre unos minutos y un par de días, una persona llama a la víctima desde un teléfono de la entidad (manipulado) haciéndose pasar por personal de ABANCA y advirtiendo de que hay una o varias transferencias fraudulentas que hay que evitar para lo cual solicita que se le facilite el código que va a llegar a la víctima a su dispositivo móvil. Este código, lejos de servir para evitar la transferencia, es el código único que se envía precisamente para verificar la identidad del titular de la cuenta y llevar a cabo el traspaso, de forma que el facilitar este código a los estafadores, unido al hecho de que antes se ha facilitado las claves (al pinchar en el enlace), arroja como resultado que la transferencia de dinero tenga lugar y que el cliente pierda los fondos.

¿Cómo puedo evitar ser víctima de una ciber estafa bancaria?

Lo primero que debemos tener en cuenta es que ninguna entidad bancaria nos va a pedir nuestras claves ni por SMS, llamada telefónica, email o cualquier otra vía. Jamás. Así de sencillo.

Lo más habitual es que tampoco nos manden descargar ningún archivo y jamás un archivo con una extensión .rar o .exe (estos archivos con estas extensiones ejecutan programas que infectan nuestros dispositivos y se apropian de nuestra información personal)

Es muy importante que no accedamos a nuestra banca electrónica pinchando en un enlace contenido en un SMS, email o similar. Siempre debemos acceder a nuestra banca electrónica mediante la página oficial de la entidad. Y antes de ello debemos verificar que la página en la que entremos contenga el dominio de la entidad y el protocolo de seguridad https en la barra de direcciones. (Ej correcto: https://www.abanca.com/es/. Ejemplo fraudulento: http://www.abanca.iox). Es conveniente tener la página verificada de la entidad en los favoritos de nuestro ordenador o dispositivo móvil ya que incluso se han dado casos en que los estafadores no solo han clonado la web de la entidad sino que han patrocinado en Google dicha página por lo que al buscar la página de la banca uno de los principales resultados que arrojaba el buscador era precisamente la página fraudulenta.

Otra precaución es que, si recibimos un email supuestamente de la entidad, debemos verificar la dirección de envío pues, pese a que el texto del email imite la estética e imagen corporativa de la entidad, podemos encontrarnos con que la dirección del email sea algo como abanca1@unimail.uk. Todos los emails que recibamos de nuestra entidad van a venir desde el dominio propio de la entidad. Ejemplo correcto (aunque ficticio): suscursal020@abanca.com

Las faltas de ortografía o la redacción inconexa son otra de las señales de alarma que nos deben indicar que estamos ante un mensaje fraudulento ya que los estafadores utilizar servicios de mensajería masiva y traductores automáticos para delinquir.

Si, por ejemplo leemos algo como “Est¿mado clienta, su cuenta bancar!a es en peligo” debemos borrar automáticamente el mensaje y no abrir ningún enlace que contenga.

La impersonalidad es otra de las características de las comunicaciones fraudulentas. Las entidades bancarias tratan de acercarse a sus clientes por lo que utilizan normalmente el nombre del cliente. De esta forma un mensaje de la entidad comenzará diciendo, por ejemplo, “Estimado Sr. Pérez” o “Querído Alfonso”. Por el contrario los mensajes fraudulentos, como dijimos, son masivos y desconocen la identidad de la víctima (hasta el momento en que acceden a nuestros datos o que nos hallemos ante un caso de spear phising. A partir de ahí nos tratan por el nombre) por lo que normalmente se encabezan con fórmulas impersonales parecidas a estas: “Estimado cliente” “Querido usuario”.

Es importante que ante la mínima sospecha de encontrarnos ante una comunicación fraudulenta la borremos de nuestra bandeja o colguemos el teléfono y contactemos de forma inmediata con la persona de confianza que tengamos en la entidad.

¿Y si he sido víctima de una estafa bancaria qué hago?

Lo primero que debemos hacer es poner el hecho en conocimiento de nuestro banco para que tome las medidas necesarias (bloquear la cuenta, tarjeta, banca online etc)

En segundo lugar debemos denunciar la estafa antes la Fuerzas y Cuerpos de Seguridad del Estado que cuentan con unidades especializadas para combatir estos delitos.

Finalmente debemos formular una reclamación ante el banco instando que nos devuelvan el dinero detraído.

¿ Y el banco debe devolverme mi dinero? ¿Cómo reclamo?

En estos delitos existen dos tipos de responsabilidad:

– Responsabilidad penal: la de los estafadores que han cometido el delito, penado en España con pena de hasta 8 años de prisión si hablamos de una estafa agravada (artículos 248 y ss del Código Penal).

– Una responsabilidad civil derivada del delito. Todo delito lleva aparejada la responsabilidad civil encaminada a resarcir el daño que se nos haya causado. Esta responsabilidad recae sobre quien ha cometido el delito.

– Responsabilidad civil del banco: El banco tiene una responsabilidad derivada del contrato firmado con la víctima además de una responsabilidad legal.

En relación a este último tipo de responsabilidad, la Ley 16/2009, de 13 de noviembre, de servicios de pago obligaba a la entidad a devolver de inmediato el importe de la operación no autorizada, salvo en caso de una actuación fraudulenta, un incumplimiento deliberado o negligencia grave del cliente titular de la cuenta de la que se detrajeron los fondos.

Así el Art. 31 establece: “Responsabilidad del proveedor de servicios de pago en caso de operaciones de pago no autorizadas

Sin perjuicio de lo dispuesto en el artículo 29 de la presente Ley, y de las indemnizaciones por daños y perjuicios a las que pudiera haber lugar conforme a la normativa aplicable al contrato celebrado entre el ordenante y su proveedor de servicios de pago, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante le devolverá de inmediato el importe de la operación no autorizada y, en su caso, restablecerá en la cuenta de pago en que se haya adeudado dicho importe el estado que habría existido de no haberse efectuado la operación de pago no autorizada.”

Por su parte el Art. 32 de la indicada norma establece excepciones: “Responsabilidad del ordenante en caso de operaciones de pago no autorizadas

1. No obstante lo dispuesto en el artículo 31, el ordenante soportará, hasta un máximo de 150 euros, las pérdidas derivadas de operaciones de pago no autorizadas resultantes de la utilización de un instrumento de pago extraviado o sustraído.

2. El ordenante soportará el total de las pérdidas que afronte como consecuencia de operaciones de pago no autorizadas que sean fruto de su actuación fraudulenta o del incumplimiento, deliberado o por negligencia grave, de una o varias de sus obligaciones con arreglo al artículo 27.

[…]”

El posterior Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, por su parte, deroga la Ley de 2009 y tiene como objetivo principal crear un marco integrado de servicios de pago a nivel europeo y hacer frente a los nuevos retos y cambios planteados por los pagos a través de tarjeta, internet y dispositivos móviles.

Esta norma refuerza la seguridad de las transacciones estableciendo el criterio de doble firma y reduce a 50 € la responsabilidad del cliente en el caso de pérdidas derivadas de pago no autorizado en supuestos de ciberestafas. Por otro lado reduce el plazo de resolución de las reclamaciones a 15 días. También incluye un canal de denuncias ante el Banco de España.

Asimismo el Art. 21.1 b) establece una protección de los fondos de los usuarios de los medios de pago mediante la contratación de un seguro u otra garantía comparable. Así establece dicho artículo que: “b) Los fondos estarán cubiertos por una póliza de seguro u otra garantía comparable de una compañía de seguros o de una entidad de crédito que no pertenezcan al mismo grupo que la propia entidad de pago, por una cantidad equivalente a la que habría sido separada en caso de no existir la póliza de seguro u otra garantía comparable, que se hará efectiva en caso de que la entidad de pago sea incapaz de hacer frente a sus obligaciones financieras”.

Finalmente, y por lo que se refiere a la responsabilidad del proveedor de servicios de pago en caso de operaciones de pago no autorizadas, el Art. 45 de la indicada norma establece que: “1. Sin perjuicio del artículo 43 de este real decreto-ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada.

La fecha de valor del abono en la cuenta de pago del ordenante no será posterior a la fecha de adeudo del importe devuelto.

2. Cuando la operación de pago se inicie a través de un proveedor de servicios de iniciación de pagos, el proveedor de servicios de pago gestor de cuenta devolverá inmediatamente y, en cualquier caso, a más tardar al final del día hábil siguiente, el importe de la operación de pago no autorizada y, en su caso, restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada.

Si el responsable de la operación de pago no autorizada es el proveedor de servicios de iniciación de pagos, deberá resarcir de inmediato al proveedor de servicios de pago gestor de cuenta, a petición de este, por las pérdidas sufridas o las sumas abonadas para efectuar la devolución al ordenante, incluido el importe de la operación de pago no autorizada. De conformidad con el artículo 44.1, corresponderá al proveedor de servicios de iniciación de pagos demostrar que, dentro de su ámbito de competencia, la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable.

3. Podrán determinarse otras indemnizaciones económicas de conformidad con la normativa aplicable al contrato celebrado entre el ordenante y el proveedor de servicios de pago o el contrato celebrado entre el ordenante y el proveedor de servicios de iniciación de pagos, en su caso.

Por su parte el Art. 46 de la citada norma establece excepciones de las cuales se deriva la responsabilidad del ordenante de la operación:

“1. No obstante lo dispuesto en el artículo 45, el ordenante podrá quedar obligado a soportar, hasta un máximo de 50 euros, las pérdidas derivadas de operaciones de pago no autorizadas resultantes de la utilización de un instrumento de pago extraviado, sustraído o apropiado indebidamente por un tercero, salvo que:

a) al ordenante no le resultara posible detectar la pérdida, la sustracción o la apropiación indebida de un instrumento de pago antes de un pago, salvo cuando el propio ordenante haya actuado fraudulentamente, o

b) la pérdida se debiera a la acción o inacción de empleados o de cualquier agente, sucursal o entidad de un proveedor de servicios de pago al que se hayan externalizado actividades.

El ordenante soportará todas las pérdidas derivadas de operaciones de pago no autorizadas si el ordenante ha incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41. En esos casos, no será de aplicación el importe máximo contemplado en el párrafo primero.

En todo caso, el ordenante quedará exento de toda responsabilidad en caso de sustracción, extravío o apropiación indebida de un instrumento de pago cuando las operaciones se hayan efectuado de forma no presencial utilizando únicamente los datos de pago impresos en el propio instrumento, siempre que no se haya producido fraude o negligencia grave por su parte en el cumplimiento de sus obligaciones de custodia del instrumento de pago y las credenciales de seguridad y haya notificado dicha circunstancia sin demora.

2. Si el proveedor de servicios de pago del ordenante no exige autenticación reforzada de cliente, el ordenante solo soportará las posibles consecuencias económicas en caso de haber actuado de forma fraudulenta. En el supuesto de que el beneficiario o el proveedor de servicios de pago del beneficiario no acepten la autenticación reforzada del cliente, deberán reembolsar el importe del perjuicio financiero causado al proveedor de servicios de pago del ordenante.

3. Salvo en caso de actuación fraudulenta, el ordenante no soportará consecuencia económica alguna por la utilización, con posterioridad a la notificación a que se refiere el artículo 41.b), de un instrumento de pago extraviado o sustraído.

4. Si el proveedor de servicios de pago no tiene disponibles medios adecuados para que pueda notificarse en todo momento el extravío o la sustracción de un instrumento de pago, según lo dispuesto en el artículo 42.1.c), el ordenante no será responsable de las consecuencias económicas que se deriven de la utilización de dicho instrumento de pago, salvo en caso de que haya actuado de manera fraudulenta”.

En este orden de consideraciones la reciente Sentencia de la AP Pontevedra (Sección de Vigo) de 7 de abril de 2021 es la primera que condena a una entidad bancaria (ABANCA) en un supuesto de phishing, estableciendo los criterios que delimitan la responsabilidad del banco y del cliente.

Esta Sentencia destaca la asimetría entre cliente y entidad de forma que no se puede exigir la misma diligencia a ambos, concluyendo que concurre responsabilidad de la entidad bancaria porque considera que el banco no ha demostrado debidamente ni que tuviera un comportamiento «diligente» tras ser conocedor de la estafa ni que su clienta actuara de manera negligente.

Afirma la citada resolución que: “Si el banco con los medios técnicos a su alcance no detectó el inicio del fraude, alertando de ello a su clienta, no puede evidentemente tachar de no diligente la actitud de ella», subrayan los magistrados, que reprochan a la entidad que no bloquease dicha transferencia”.

En nuestra opinión no podemos hablar de comportamiento negligente de los clientes de ABANCA (aunque hay que analizar cada caso de forma individual) puesto que la estafa es tan sofisticada y utiliza unos métodos tales que es muy fácil para un cliente caer en la misma con una diligencia media (recordemos que los mensajes llegan al hilo habitual de comunicación entre banco y cliente y que el teléfono desde el que recibe la llamada es de la propia entidad y mucha veces consta en la agenda de teléfonos del cliente).

Por ello consideramos que la entidad debe devolver el dinero al cliente y que la vía más adecuada es la civil ante los juzgados de primera instancia.

 

¿Es posible reclamar al estafador y al banco?

No podemos reclamar al estafador y al banco que nos devuelvan la misma cantidad perdida, pero sí podemos ejercitar la acción penal contra el estafador ante los juzgados del orden penal y exigir la responsabilidad civil al banco ante los juzgados del orden civil e incluso una indemnización de daños y perjuicios si estos se han producido y son acreditables.

CIBER ESTAFAS SOBRE PRODUCTOS DE INVERSIÓN

Otro de los fenómenos detectados en Oulego Abogados y Consultores es el aumento de las ciberestafas relacionadas con productos de inversión. En nuestro despacho se han multiplicado las consultas y los casos que llevamos respecto de este tipo de delitos en la jurisdicción penal (algunos de los cuales afectan a numerosas personas como el “caso Arbistar”, el “caso Investing State”, el caso “Energy Markets”, el caso “dtnet3650” o el caso “Investing Times” entre otros).

Salvo el “caso Arbistar” en el que nos hallamos presuntamente ante una estafa piramidal (donde las rentabilidades ofrecidas en el arbitraje de criptomonedas no eran tales sino que derivaban de los ingresos de los nuevos inversores) el resto son presuntamente “chiringuitos financieros”: empresas que tratan de dar apariencia de solvencia técnica y económica y que, a través de distintas estrategias, tratan de forzarnos a invertir la mayor cantidad de dinero posible y, una vez que ya no invertimos más dinero, desaparecen para seguir funcionando con otras víctimas con la misma o diferente identidad.

Relataremos un patrón que hemos detectado en el despacho utilizado por varias de estas empresas:

Se coloca un anuncio en redes sociales en el que se dice que, por la módica cantidad de 250 € invertidos en acciones de Amazon, se puede obtener una alta rentabilidad.

Si se pincha en el enlace que acompaña al anuncio se nos deriva a un formulario en el que tenemos que ingresar nuestros datos. Una vez hecho esto una persona del “bróker” fraudulento se pone en contacto con nosotros y nos dice que el mínimo son 250 € que es lo que cuesta una acción pero que para aumentar la rentabilidad lo deseable es comprar, al menos, diez. Con ello se consigue que nuestra inversión mínima sea de 2.500 €.

A veces, además de en acciones, nos ofrecen invertir en Bitcoin o en una cartera mixta de Bitcoin junto con otras monedas.

A partir de ahí lo normal es que nos digan que nuestra inversión está siendo rentable e incluso que nos muestren unas gráficas falseadas de aumento de rentabilidad.

Si, por ejemplo, hemos invertido 3.000 € nos dirán que hemos ganado un mínimo de un 10 %. Si queremos retirar beneficios normalmente nos dejarán retirarlos (todo o en parte) aunque normalmente se nos conmina a no retirar todos los beneficios. Si retiramos el total de los beneficios o una parte (300 euros o una cantidad inferior) el estafador (empecemos a llamar a las cosas por su nombre) nos dejará hacerlo pues aun obtiene un beneficio de 2.700 € (nuestra inversión inicial menos los supuestos beneficios). Si queremos retirar todo (3.300 €) le generamos una pérdida por lo que, automáticamente, nos dirá que debemos pagar su comisión o un impuesto para lo cual nos pedirá un dinero y si no lo ingresamos no se nos permite retirar la inversión y/o los beneficios. Al pagar esa supuesta comisión o impuesto seguimos sin poder retirar el dinero por lo que nuestra pérdida es de 3.000 € más la cantidad ingresada en concepto de comisión o impuesto.

Pero lo normal es que queramos retirar una cantidad para ver si nos dejan y no es una estafa (por ejemplo 250 €), lo cual se nos permite porque el saldo del estafador aun es positivo.

A partir de ahí normalmente nos convencemos de que estamos ante un sistema legítimo de inversión (aunque sea una forma bastante usual de “enganchar” a una víctima). Entonces el estafador nos dice que si con 3.000 euros hemos ganado 300 si invertimos 30.000 ganaremos 3.000 € o más y todo ello en un solo día.

En ese momento lo más probable es que nuestra cabeza esté cegada por la codicia e invirtamos más dinero. Lo podemos hacer mediante un ingreso directo o, en los casos más peligrosos (por desconocimiento o falta de tiempo) dejando que el estafador acceda a nuestro dispositivo mediante un programa remoto (por ej:: AnyDesk). Este último es el supuesto más peligroso ya que damos al estafador (metafóricamente hablando) las “llaves” de nuestra casa (nuestro ordenador, con las claves y todo lo que en él se encuentre) por lo que el estafador puede hacer lo que quiera: desde ordenar una transferencia hasta vaciarnos las cuentas y tarjetas.

A partir de ahí el modo de operar es siempre el mismo: a veces se nos dice que obtenemos beneficios y para retirarlos necesitamos pagar un impuesto o las comisiones del bróker con dinero externo (no con el que hay en nuestra cuenta de inversión sino uno que ingresamos nuevamente) o se nos dice que la cuenta está a punto de entrar en número rojos por una variación del mercado y para salvarla tenemos que ingresar más dinero.

La finalidad es siempre la misma aunque se llegue a ella de diversas formas: que ingresemos la mayor cantidad de dinero posible hasta que dejemos de hacerlo, momento en el cual el estafador desaparece con todo nuestro dinero.

¿Qué puedo hacer para evitar ser víctima de una ciberestafa de inversión?

Las ciberestafas son cada vez más sofisticadas por lo que se hace necesario extremar las precauciones. A continuación os dejamos unos pequeños consejos para evitar, en la medida de lo posible, ser víctimas de este tipo de delitos:

– Invertir solo en productos que conozcamos. Si no conocemos el funcionamiento de la bolsa, o de las criptomonedas, CFDs, Forex o metales sencillamente no invirtamos en esto ya que se multiplican las posibilidades de perder todo nuestro capital o ser víctima de una estafa.

– Invirtamos solo el capital que no necesitemos a corto/medio plazo. Todos los productos de los que hablamos son productos sometidos a las fluctuaciones del mercado, por lo que puede ocurrir que necesitemos rescatar nuestro capital en un momento en que el mercado esté en una posición más baja respecto al punto de entrada, lo que conllevará que perdamos dinero. Lo ideal es invertir dinero que nos podamos permitir perder en su integridad.

– No es recomendable pedir un préstamo para invertir sino que debemos invertir aquel capital propio que no necesitemos a corto/medio plazo.

Imaginemos que somos víctimas de una estafa: además de haber perdido el dinero invertido, tendremos que hacer frente al pago de las cuotas del préstamo, por lo que nuestra situación económica puede volverse crítica.

– Invertir en brókers autorizados y regulados, en nuestro caso por la CNMV. Ello nos da, entre otras, la ventaja de que nuestra inversión está protegida por el Fondo de Garantía de Inversiones (FOGAIN) hasta un límite de 100.000 € en caso de insolvencia de la empresa de servicio de inversión.

– En caso de que nos decidamos por un bróker no regulado (algo nada recomendable) verificar la identidad y solvencia de dicha empresa, algo relativamente sencillo en internet. Si, tras una búsqueda, no obtenemos datos sencillamente no invertir con esa empresa. Además, hoy en día hay multitud de foros de afectados por empresas de inversión fraudulentas en los que podemos obtener mucha información.

– Jamás dar nuestras claves ni mucho menos instalar un programe remoto (como AnyDesk o similares). Con ello damos acceso a todo nuestro patrimonio online a un tercero. ¿Darías las llaves de tu piso a alguien para que entre cuando tú no estás y pueda llevarse lo que quiera? Pues eso.

– Firmar siempre un contrato donde conste la identidad de las partes y se establezcan las obligaciones y el servicio que llevará a cabo la empresa de inversión. En este contrato deberá figurar la compañía de seguros que cubre la actividad del bróker y la póliza. Solicitar copia de dicha póliza. Antes de firmar el contrato contactar con la compañía de seguros y verificar que dicha póliza es real y no ha sido falseada.

– Ningún bróker legítimo nos va a pedir que paguemos una comisión a mayores de los beneficios obtenidos. La comisión siempre se va a detraer de los beneficios obtenidos por lo que estos serán menores. Si alguien nos pide ingresar dinero en concepto de comisión para retirar nuestra inversión o nuestros beneficios automáticamente debemos poner los hechos en conocimiento de las Fuerzas y Cuerpos de Seguridad del estado y de un abogado especialista: lo más probable es que sea una estafa y peligre nuestro capital.

– De la misma forma tampoco paguemos ningún tipo de impuesto. Los impuestos se liquidan en nuestro país de residencia fiscal y jamás abonando una cantidad al intermediario financiero. En el caso español se tributa en el IRPF en el apartado de ganancias y pérdidas patrimoniales.

Si el intermediario nos pide una cantidad en concepto de impuesto o tasa para retirar nuestro capital o beneficios actuar de la misma forma que en el punto anterior.

¿Cómo actuar si he sido víctima de una ciberestafa de inversión?

Lo primero que debemos hacer ante la mera sospecha es no ingresar más dinero y solicitar el reembolso de lo aportado. Si este se nos niega o se nos pide más dinero, automáticamente poner los hechos en conocimiento de las autoridades competentes (CNP o Guardia Civil y CNMV) y contactar con un letrado especializado. Pero, repito, jamás ingresar un solo euro más. Los estafadores van a solicitar más ingresos con múltiples excusas.

Lo recomendable es mantener el contacto hasta que lo corten los estafadores con la finalidad de grabar conversaciones telefónicas, hacer capturas de pantalla, aportar mensajes y toda la documentación que podamos a los Cuerpos y Fuerzas Seguridad del Estado al efecto de identificar a los estafadores y poder bloquear en la medida de los posible los fondos estafados. Aunque los medios con los que cuentan no son los deseados, las unidades especializadas en estos delitos realizan muy buena labor. Recordemos a este respecto lo ocurrido recientemente en el caso Nimbus (https://elpais.com/economia/2021-10-07/la-fiscalia-pide-intervenir-millones-de-euros-en-bitcoins-vinculados-a-la-plataforma-nimbus.html)

CONCLUSIÓN: Internet nos ha facilitado poder invertir como nunca antes en la historia.

Invertir y diversificar nuestras inversiones es una actividad recomendable para paliar los efectos de la inflación sobre nuestros ahorros.

Pero ello debe hacerse siempre con un cierto grado de conocimientos financieros y muchas precauciones.

Desafortunadamente el conocimiento financiero de la población no es el deseable (fruto, sin duda, de carencias en nuestro sistema educativo que no está enfocado a adquirir destrezas extra académicas para la vida adulta, como puede ser la educación financiera). Los estafadores son conscientes de ello. Si además añadimos que durante la pandemia ha aumentado el ahorro de las familias debido a la reducción del gasto, contamos con un caldo de cultivo idóneo para que proliferen las ciberestafas. Internet permite multiplicar el número de potenciales víctimas. Además, las ciberestafas son cada vez más sofisticadas.

Por todo ello, debemos extremar las precauciones y ser autodidactas en cuestiones financieras (para lo cual hay excelente información gratuita en la red). Espero que este artículo haya contribuido, aunque sea mínimamente, a ambos objetivos.

José Ramón Oulego


JOSÉ RAMÓN OULEGO ERROZ

Abogado (ICA Santiago).

Socio Director Oulego Abogados (http://www.oulegoabogados.com/)

Licenciado en Derecho (USC).

Escuela Práctica Jurídica (USC).

Master en Derecho Financiero y Tributario (USC).

Linkedin: https://www.linkedin.com/in/joseramonoulego/?originalSubdomain=es

 

Twitter: @joseramonoulego

 

Deja un comentario

A %d blogueros les gusta esto: