AD 125/2022
Cuestiones prácticas en el tratamiento de supuestos de phishing.
Resumen: En el presente artículo analizamos algunas cuestiones prácticas que rodean a los supuestos de phishing o estafa informática que, ante las frecuentes dificultades para la identificación de los responsables en la vía penal, nos obliga a buscar soluciones satisfactorias en la vía civil a través de la responsabilidad de la entidad bancaria.
KEYWORDS: phishing | responsabilidad civil
Introducción.
De conformidad con la STS, Sala Segunda 834/2012, de 25 de octubre, lo que se produce en el delito de phishing es una conducta fraudulenta que parte del envío masivo de mensajes de correo electrónico desde diversos sitios web y que tiene como destinatarios a usuarios de banca electrónica, a quienes se les redirecciona a un sitio web similar al original, donde se les requiere el ingreso de sus credenciales bancarias para después proceder a la exacción fraudulenta de fondos, mediante el uso diversas técnicas de convicción que generan confianza en el destinatario al efecto de conseguir el propósito fraudulento. De este modo, conforme a la referida sentencia, de “forma gráfica se dice que el autor pesca los datos protegidos -de ahí la denominación phishing-, que permiten el libre acceso a las cuentas de particulares y, a partir de ahí, el desapoderamiento”.
En los últimos años, las modalidades de phishing que nos podemos encontrar son innumerables, si bien es cierto que el patrón empleado por los phisher es muy similar al analizado anteriormente, aunque variando sustancialmente el medio para el envío de la comunicación (correo electrónico, sms, aplicaciones de mensajería instantánea, etc.) y la forma de crear confianza en el destinatario para conseguir sus claves bancarias. Sin embargo, como decimos, el patrón de la conducta es siempre el mismo y se contrae a obtener, por medios telemáticos, las claves de acceso de banca electrónica de un tercero para efectuar transacciones bancarias no autorizadas.
Tal y como afirma la reciente SAP Pontevedra 539/2021, de 21 de diciembre, “en el phishing se usan técnicas de ingeniería social para ganarse la confianza del usuario del instrumento de pago y aprovecharse de los sesgos cognitivos en la toma de decisiones”, de ahí que de forma habitual nos encontremos con supuestos de phishing en los que dicha generación de confianza se pretende mediante la simulación de representar a una entidad bancaria de reconocido prestigio, empresas de paquetería populares, conocidas empresas de telefonía, etc. Conforme a la referida sentencia, el phishing aparece configurado por dos elementos fundamentales:
- Envío de un correo electrónico con apariencia de ser remitido por una entidad con la que el receptor puede tener alguna relación de servicios (banco, telefonía, paquetería, etc.).
- En el correo electrónico se suele contener un enlace o una palabra hipervinculada con un enlace que redirecciona al receptor a otro sitio web que habitualmente imita al original, donde se le requieren las claves de su banca electrónica. Dicho sitio web que imita al original, realmente tiene un dominio que pertenece al phisher, pero que cuenta indebidamente con logotipos, eslóganes, fotografías, etc., que pueden inducir a error sobre su autenticidad y que genera la pretendida confianza.
Tramitación en vía penal.
En la práctica, aunque la conducta que integra el delito de phishing encaja en las estafas informáticas del art. 248.2 CP, lo cierto es que el recorrido de las denuncias por este tipo de delitos es, frecuentemente, bastante corto, toda vez que es habitual que en la instrucción de estos delitos nos encontremos con extraordinarias dificultades para identificar y traer al procedimiento a los responsables, ya que en este tipo de conductas tienden a conjugarse elementos internacionales e ingeniería informática que dificultan el éxito de la vía penal. Independientemente de ello, siempre deben principiarse este tipo de procedimientos mediante denuncia que, como decimos, muy posiblemente acaben con un auto de archivo por la imposibilidad de identificar al responsable y que será el punto de partida para proceder por otras vías.
Como decimos, lo anterior nos obliga a buscar soluciones que nos permitan obtener una reparación satisfactoria del daño causado a las víctimas y ello nos lleva a la responsabilidad civil de la entidad bancaria que permitió las exacciones de fondos sin el verdadero consentimiento del titular de la cuenta.
La vía civil: responsabilidad de la entidad bancaria.
En virtud de las dificultades de la vía penal antedichas, la vía civil suele ser la más apropiada para encontrar una solución satisfactoria, la cual pasa por exigir la responsabilidad civil de la entidad bancaria por permitir la realización de las exacciones de dinero sin el verdadero consentimiento del titular.
En materia normativa, resulta de especial trascendencia la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior; el Reglamento Delegado (UE) 2018/389 de la Comisión de 27 de noviembre de 2017, por el que se complementa la Directiva (UE 2015/2366) del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros; el Real Decreto-Ley 19/2018, de 25 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera.
En este tipo de procedimientos, resultan fundamentales los arts. 41 RDL 19/2018 que establece las obligaciones del usuario de servicios de pago en relación con los instrumentos de pago y las credenciales de seguridad personalizadas, que le impone a los usuarios una obligación de diligencia para adoptar medidas razonables a fin de proteger sus credenciales personales y, por su parte, el art. 42 que establece las obligaciones del proveedor se servicios de pago en relación con los instrumentos de pago. Por su lado, resulta trascendental el art. 44, que en materia probatoria, invierte la carga de la prueba y establece que cuando un usuario de servicios de pago niegue haber autorizado una operación de servicios de pago ya ejecutada o alegue que ésta se ejecutó de forma incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago; el art. 46 establece la responsabilidad del ordenante en caso de operaciones de pago no autorizadas en casos de negligencia grave o fraude y el art. 68 impone a los proveedores el establecimiento y aplicación de la autenticación reforzada de clientes.
De este modo, conforme a la jurisprudencia, el régimen de la responsabilidad por las pérdidas derivadas de las operaciones de pago por uso fraudulento de un instrumento de pago por un tercero se determina interpretando de manera integrada las previsiones del art. 46, con la regulación general de las pérdidas por operaciones de pago no autorizadas del art. 45, todo ello en consonancia con el sistema probatorio contenido en el art. 44 RDL 19/2018. Así:
- Será el proveedor de los servicios de pago el que responderá de la totalidad de las pérdidas derivadas del uso fraudulento del instrumento de pago por un tercero cuando al ordenante no le hubiera sido posible detectar el posible uso fraudulento antes de que éste se hubiese materializado o cuando la pérdida se debiera a la acción u omisión de cualquier persona de la que el proveedor de servicios hubiera de responder.
- Será el ordenante quien responda cuando la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por deficiencias del servicio y cuando actuó de forma fraudulenta o por negligencia grave, teniendo en cuenta la prescripción del art. 41 RDL 19/2018.
En consecuencia, en este tipo de procedimientos nos solemos encontrar con la oposición de las entidades bancarias a responsabilizarse de las pérdidas ocasionadas por conductas de phishing alegando negligencia grave de los ordenantes al confiar, indebidamente, de un mensaje recibido por tercero. De este modo, en el seno de estos juicios se entra a analizar cuestiones como:
- Si objetivamente el mensaje recibido podía inducir a error, para lo cual se analizan las frases contenidas en el mismo, posibles faltas de ortografía y otras señales que pudieran alertar de la falsedad del mismo.
- Se analizan los logotipos, imagen corporativa y detalles estéticos que pudieran inducir a error
- Si la entidad bancaria operó con autenticación reforzada, aplicó las debidas medidas de seguridad y medidas antiphishing
Así, analizados los detalles de los mensajes recibidos y la operativa de las entidades, se somete a criterio del juzgador si efectivamente el ordenante incurrió en negligencia grave o, en su caso, si debe ser la entidad la que soporte íntegramente las pérdidas ocasionadas por negligencia en la admisión y tramitación de las operaciones realizadas por el tercero.
Adrián Domingo
22 de noviembre de 2022

Adrián Domingo Rodríguez.
Abogado socio de AYA Consulting
Presidente de la Agrupación de Jóvenes Abogados de Zamora.