MENÚ

Recuperar el dinero de las ciberestafas: cuándo nos lo debe devolver la entidad bancaria y cómo reclamarlo

Publicado
Actualizado
Comparte

Estafas amorosas en páginas de citas, SMS que se hacen pasar por nuestro banco, páginas web que suplantan a plataformas de compraventa…son muchos los timos que pueden llegarnos al móvil o con los que podemos encontrarnos cuando navegamos por internet en el día a día y, como nos explicaban varias psicólogas, todos podemos ser susceptibles de ser víctimas en un momento dado. ¿Qué podemos hacer cuándo nos ocurra? ¿En qué circunstancias está el banco obligado a devolvernos el dinero? 

Antes de nada, debemos saber que las entidades bancarias, por norma general, no devuelven el dinero si consideran que hemos cometido una negligencia grave, por ejemplo, si somos nosotros los que proporcionamos las credenciales bancarias. No obstante, según los expertos consultados por Maldita.es, sí que nos lo deben devolver si se trata de una operación no autorizada por nosotros (pongamos el caso de que ha fallado el doble factor de autenticación). Sea cual sea el caso, recomiendan que lo denunciemos a las autoridades y también pongamos una reclamación en nuestro banco.

¿Cuándo se considera que el cliente es el responsable?

“En phishing, como el caso de la suplantación de la página web de BlaBlaCar, por norma general, el banco no se ve obligado a devolver el importe perdido en el fraude, debido a que se considera negligencia por parte del usuario”, explica la maldita, criminóloga y jurista especialista en ciberinteligencia, privacidad y ciberseguridad, Susana Alwasity a Maldita.es. Esto se debe a que la víctima, engañada por los ciberdelincuentes, introduce sus datos bancarios en una página fraudulenta sin comprobar si es legítima.

Así lo indican también desde CaixaBank a Maldita.es: “Cuando se dan fraudes, habitualmente, estos no se deben a causas tecnológicas, sino a causas humanas, como descuidos en la custodia de los datos de seguridad para el acceso a la banca online y a los medios de pago”. 

La Ley de Servicios de Pago “impone una serie de derechos y obligaciones a los usuarios y proveedores de servicios de pago, es decir, las entidades bancarias, importante a tener en cuenta para determinar la responsabilidad y ver si el importe es susceptible de devolución”, añade Alwasity.

Estas obligaciones del cliente a la que se refiere la experta en ciberseguridad son “usar el instrumento de pago (por ejemplo, la tarjeta de bancaria) de acuerdo con las condiciones pactadas en el contrato), tomar las medidas razonables para proteger las credenciales de seguridad y notificar sin demora indebida el extravío, la sustracción, la apropiación indebida o la utilización no autorizada”.

No obstante, y en caso de que nuestro banco no considere que debe devolvernos el dinero y lo denunciemos en un juzgado, Alwasity señala que habrá que “tener en cuenta también el criterio del legislador”, como ocurrió con una clienta de Abanca que cayó en un caso de phishing a través de un SMS (smishing): “En primer lugar, el Juzgado de Primera Instancia de Vigo consideró que esta acción era una negligencia de la clienta y por eso falló que debía asumir el coste ella”, nos indica. 

Sin embargo, “la Audiencia Provincial falló finalmente a favor de la clienta después de que los jueces reconocieran que, aunque el mensaje recibido por la víctima tenía 'ciertas peculiaridades​​' que deberían haberla alertado de la estafa, concluyeron que eso 'no permite deducir sin más'  un comportamiento 'de culpabilidad', ni mucho menos, que se acredite un delito de 'negligencia grave' por su parte”.

Aunque esta sentencia fuese finalmente favorable para la víctima del phishing, no debemos olvidar que, según Alwasity, “el usuario está obligado a proteger sus credenciales y que, ante el aumento de casos de phishing, entidades, bancos y organizaciones” informan constantemente sobre estas prácticas fraudulentas. 

Si el cliente “no ha hecho caso de este importante aviso, y ha accedido a una de esas páginas engañosas y ha dado sus datos relevantes, en parte es responsabilidad del cliente”, explica a Maldita.es Carles Capdevila, experto en riesgo operacional y también maldito que nos ha prestado sus superpoderes.

Por tanto, es importante, según el también maldito y abogado experto en protección de datos, privacidad y nuevas tecnologías de la información y la comunicación, Gerard Espuga, que “el usuario tome las precauciones oportunas” para evitar ser víctima de cualquier caso de phishing o timo. En este sentido, recomienda seguir las advertencias y los consejos que ofrece, por ejemplo, el Instituto Nacional de Ciberseguridad (INCIBE).

No obstante, el abogado especializado en derecho y nuevas tecnologías y maldito, Miguel Vieito Villar, puntualiza que el banco no debería sostener por principio y sin analizar caso por caso, que todos sus clientes han sido negligentes”, por lo que debe probar esa negligencia.

El banco tampoco tiene responsabilidades cuando hacemos una transferencia a alguien, aunque actuar rápido juega en nuestro favor para recuperar el dinero

En ocasiones podemos ser víctimas de engaños y acabamos haciendo una transferencia a alguien a quien creemos que es de confianza. Lo vemos en el timo que circula por plataformas de citas como Tinder donde la víctima envía dinero a su match, cuando este, bajo alguna excusa, le pide que le haga transacciones prometiéndole que se las devolverá. 

En estos casos, ceder y enviar ese dinero nos “puede salir caro”, declara Capdevila. “El banco no tiene responsabilidad en lo que ejecuta el usuario, si mandamos el dinero por transferencia, es nuestra responsabilidad”, añade.

Y es que, como indica Alwasity, “una orden de pago sólo se considera autorizada cuando el ordenante haya dado el consentimiento para su ejecución, y en estos casos es más complejo que el banco devuelva el dinero”.

Para entenderlo mejor, el maldito y experto en análisis de riesgo y blanqueo de capitales, Daniel Ramiro, equipara los fraudes mediante transferencias bancarias al viejo timo de la estampita: “¿sería lógico pedir la devolución del dinero estafado a algún organismo?”. En su opinión, no.

No obstante, si tras hacer la transferencia bancaria nos damos cuenta de que estamos ante un timo, sí es recomendable ponerse en contacto de forma inmediata con la entidad bancaria y pedirle que cancele la transacción. El tiempo, en este caso, juega un papel fundamental, como explica en su página web BBVA, y los plazos dependerán de la modalidad de transferencia realizada. Un caso favorable fue el de Agustín, un lector de Maldita.es que consiguió recuperar el dinero después de ser timado en la reventa de unas entradas para la Eurocopa. En ese caso, el importe estaba retenido por la entidad bancaria, es decir, aún no había sido transferido, y, tras presentar una orden judicial de la Guardia Civil, consiguió que se lo devolvieran.

Por otro lado, Espuga nos recuerda la importancia de denunciar los hechos ante la justicia, ya que los timadores podrían ser condenados por delito de estafa.

La entidad bancaria está obligada a devolver las cantidades dispuestas cuando se realizan operaciones de pago no autorizadas por el titular

Las responsabilidades no afectan sólo a los clientes, el banco también tiene las suyas. Volviendo al caso de la clienta que recibió un SMS que se hacía pasar por Abanca, la sentencia de la Audiencia Provincial exponía que el dinero que le robaron los ciberdelincuentes, alrededor de 20.000 euros, casi duplicaba la cantidad máxima autorizada entre banco y cliente. Por tanto, consideraron que era una negligencia de la entidad, al no haberlo detectado.

La Directiva europea 2015/2366 sobre los servicios de pago establece que la negligencia grave por parte del usuario tiene que entrañar "una conducta caracterizada por un grado significativo de falta de diligencia". Un ejemplo de esta conducta sería guardar las claves de nuestra tarjeta bancaria junto a la propia tarjeta. Miguel de Prada, director del departamento jurídico de dPG Legal, explica a El País que no se le puede atribuir una negligencia grave a una víctima de estafa, dado que facilita sus claves personales a un tercero como consecuencia de un engaño. *

Por su parte, Iñigo Serrano, socio fundador de Sello Legal, indica a El País que, a la hora de evaluar la falta de diligencia de un cliente, no es lo mismo una persona mayor que un joven que está acostumbrado a hacer compras online. Y añade: "Lo más probable es que la jurisprudencia acabe moldeando un criterio como el que tienen para las cláusulas abusivas: consumidor medio, normalmente informado, razonablemente atento y perspicaz". *

Por otro lado, las entidades bancarias deben tener implementadas “medidas de seguridad necesarias para asegurar la identidad del ordenante y la autenticación de la operación. Así lo indica la Directiva de Servicios de Pago (DSP2) que obliga a estas entidades a que las órdenes de pago se realicen mediante una autenticación reforzada o, lo que es lo mismo, que la operación esté validada con la clave personal y, además, con un factor biométrico (como puede ser la huella dactilar) o una clave aleatoria generada en cada operación, que debe ser enviada al usuario para revalidar la operación (lo que se denomina doble factor de autenticación)”, nos indica Alwasity.

Esto lo vemos, por ejemplo, cuando vamos a realizar una compra en internet y nuestro banco nos pide, por ejemplo, que abramos en nuestro móvil la aplicación, introduzcamos el PIN e insertemos el código que nos envían por SMS para poder autorizarla.

Y es que, si falla el doble factor de autenticación mencionado y el ciberdelincuente consigue hacerse con nuestro dinero, la responsabilidad en este caso no sería solo de la víctima. Un cliente del Banco Santander, tras recibir un email fraudulento que se hacía pasar por esta entidad, que indicaba que su cuenta estaba bloqueada y que disponía de un enlace de desbloqueo, decidió pinchar en dicho enlace “sin percatarse de que era fraudulento”, según la organización de consumidores FACUA. Tras esto, le quitaron 2.929 euros sin que, según la organización de consumidores, el cliente autorizara el pago.

Aunque, según FACUA, en un principio su banco no le aportó ninguna solución, tras una reclamación de la organización de defensa de consumidores al Banco de España, alegando que el cliente no había autorizado el pago, entre otras cuestiones, el banco le devolvió el importe defraudado por el phishing.

En resumen, según Vieito Villar, “más allá de la práctica bancaria, las entidades tienen obligación de devolución en toda operación no autorizada”, según la Ley de Servicios de Pago.

¿Cuál es el proceso para intentar recuperar el dinero una vez descubrimos la estafa?

Independientemente de si has caído en el SMS que se hacía pasar por tu banco o has introducido tus datos bancarios en una página web fraudulenta, es importante que en el momento en el que seas consciente de que es un timo, contactes con tu banco inmediatamente “para cancelar cualquier pago no autorizado o nuestra tarjeta en caso necesario”, como nos explica el Instituto Nacional de Ciberseguridad (INCIBE). En Maldita.es, además, ya contamos que existe la posibilidad de apagar la tarjeta sin necesidad de cancelarla de forma que no pueden usarla, algo que podemos hacer mientras contactamos con nuestro banco.

Actuar rápidamente es crucial, según nos indica Vieito Villar: “En la práctica, un punto clave es la notificación al banco. En términos generales, el banco no pondrá objeciones a devolvernos el dinero de toda operación posterior a haberles informado de la suplantación, y serán reticentes a devolver el dinero anterior a los avisos”, añade. 

El segundo paso, de acuerdo con el INCIBE, es “recopilar todas las pruebas posibles y poner una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado”.

Ya por último, como explica la Organización de Consumidores y Usuarios (OCU) debes poner una reclamación a la entidad bancaria, siempre y cuando no te hayan devuelto el dinero reclamado. Es importante que lo hagas con la denuncia que hayas puesto.

“Ya sea el cargo anterior o posterior al aviso a la entidad bancaria", debemos rellenar lo que se conoce como formulario de "cargos no reconocidos", es decir, la reclamación en la que exponemos lo ocurrido, añade Vieito Villar.

Indica todos los detalles del fraude en la reclamación

“No es lo mismo decir que he sido víctima de un phishing, sin concretar nada, que indicar que han obtenido el PIN y el número de mi tarjeta de manera fraudulenta y que se han autorizado los pagos sin realizar la segunda validación”, explica Capdevila. 

Con esto el experto en riesgo operacional hace hincapié en la importancia de documentar correctamente todo lo ocurrido y entender bien lo que ha pasado y demostrar, en caso de que así sea, “que en el proceso de pago o acceso, el banco también ha tenido parte de responsabilidad “porque no ha realizado la segunda validación o porque ha aceptado un pago y ha dejado la cuenta en descubierto, si en el phishing han contratado productos de crédito y nos han sustraído dinero de ello, etc”.

¿Qué podemos hacer si la entidad bancaria se niega a devolvernos el dinero?

Si ya has puesto la reclamación y el banco, tras estudiarla, “la deniega o no es conforme con lo que entendemos justo, la podemos trasladar al Banco de España, que las acepta y las analiza una vez hemos reclamando primero al banco o al defensor del cliente”, explica Capdevila.

El Banco de España nos da tres opciones para poder presentarla: por vía telemática, a través de un escrito enviado por correo postal o presencialmente en alguna de sus oficinas.

De manera adicional, si no sabemos cómo actuar ante un caso de phishing o timo del que hemos sido víctimas, el experto en ciberseguridad y maldito que también nos ha prestado sus superpoderes, Eduardo Carrasco, nos recomienda acudir a una oficina u organismo de defensa de los consumidores para que nos ayuden con el proceso.

Si has sido víctima de un fraude y has reclamado el dinero a una entidad bancaria, puedes contarnos tu experiencia escribiéndonos a [email protected].

En este artículo ha colaborado con sus superpoderes los malditos Susana Alwasity, Gerard Espuga, Carles Capdevila, Miguel Vieito Villar, Daniel Ramiro y Eduardo Carrasco.

Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.

*Este artículo se ha actualizado el 04/07/2022 para incluir más información.


Primera fecha de publicación de este artículo: 24/01/2022