El conocido como fraude BEC (por su nombre en inglés, Business Email Compromise) se produce cuando los ciberdelincuentes acceden a la cuenta de correo de un empresario, buscan una factura y cambian el número de cuenta bancaria del destinatario de la transferencia. Como ya os contamos en Maldita.es, es un método de timo habitual que afecta a las empresas y para el que se emplean diferentes técnicas.
Ahora bien, ¿podemos recuperar el dinero estafado? Isaac F. Pérez, abogado especializado en derecho de las nuevas tecnologías y ciberseguridad del despacho Sirvent & Granados, explica a Maldita.es que, cuando nos enfrentamos a este tipo de fraudes, lo lógico es que se inicie un proceso penal. Sin embargo, según el experto, esta vía puede ser un callejón sin salida: “Lo que nos encontramos es que la cuenta bancaria en la que acaban los fondos está a nombre de un testaferro en el extranjero, que es insolvente y es imposible recuperar el dinero de ahí. Al timador que está detrás no conseguimos llegar”. Por ello, el abogado propone una opción alternativa: demandar al banco por vía civil por “ejecución incorrecta de una orden de pago”.
La responsabilidad del banco por la transferencia dependerá de la interpretación y criterio del tribunal
Juan Ortolá, abogado de Derecho Civil en Ortolá Abogados y maldito que nos ha prestado sus superpoderes, afirma que cabría plantearse la responsabilidad de los bancos por efectuar una transferencia en la que el titular de la cuenta bancaria no coincide con el nombre del beneficiario de la misma.
Sin embargo, Ortolá apunta que este camino podría estar “abocado al fracaso”. El artículo 59 de la Ley de Servicios de Pago establece que “cuando una orden de pago se ejecute de acuerdo con el identificador único, se considerará correctamente ejecutada en relación con el beneficiario especificado en dicho identificador”. Es decir, si el código IBAN de esa orden de pago es correcto —y lo es, aunque es el que ha puesto el ciberdelincuente cuando ha cambiado la factura— el banco no tendría responsabilidad. “La única obligación del banco en este caso es que ‘se esforzará razonablemente por recuperar los fondos de la operación de pago’”, indica el abogado.
Pérez, quien lleva casos de este tipo, afirma que es habitual que los bancos usen este artículo en su defensa y que “es el argumento con el que los jueces le suelen dar la razón a los bancos”. Frente a esto, Pérez plantea lo siguiente: “A nuestro parecer, este argumento sólo resulta de aplicación cuando la única información que le doy al banco es ese código único, que sería el IBAN. Pero cuando yo le doy al banco mucha más información, espero que la use toda para la ejecución de la orden de pago”.
Para entenderlo mejor, el abogado pone el ejemplo de Bizum, la aplicación que permite recibir o mandar dinero a otros usuarios en cuestión de segundos. “Cuando yo hago un Bizum, toda la información que le doy a la aplicación es el número de móvil. Si no era a quien yo quería mandar el dinero, Bizum no tiene responsabilidad, porque no tiene más información que un número de móvil. En este caso, yo le doy al banco mucha más información que un número de IBAN”, resume. El abogado apunta que esta argumentación va en la línea de lo expuesto en el artículo 56 de la Ley de Servicios de Pago, que es el que utilizan habitualmente para argumentar que el banco debe devolver el dinero.
“Así hemos conseguido resoluciones favorables”, señala Pérez. En concreto, según el abogado, han fallado a favor de los usuarios en distintos casos las audiencias provinciales de Córdoba, Madrid y Valencia. Otras, como la de Zaragoza, han fallado a favor del banco al entender que no tienen responsabilidad en el fraude. “Es decir, que si tú demandas por esto no sabes qué respuesta te van a dar”, explica. Y asegura que desde su despacho se han presentado recursos al Tribunal Supremo para que determine un criterio, que están en espera de si admiten a trámite o no.
La ley excluye de responsabilidad al banco si hay negligencia grave por parte del usuario
Por su parte, desde la Asociación de Usuarios Financieros (Asufin) apuntan a que el fraude BEC “se trataría de un pago no autorizado y, por tanto, contaría con la garantía de cobertura de la Ley de Servicios de Pago y el banco debería devolver el dinero”. No obstante, la asociación señala que la ley excluye de responsabilidad al banco si hay una negligencia grave del usuario, según lo establecido en el artículo 46 de la citada ley. “Es necesario que la empresa a la que le haya sucedido esto haya respetado las medidas de seguridad básicas (por ejemplo, no usar la misma contraseña para todo o no cambiarla periódicamente) así como aquellas otras adicionales que a las que se haya obligado en el contrato con su proveedor de servicios de pago”, señala la organización.
A este respecto, Pérez afirma que este es otro de los argumentos habituales que utilizan los bancos en su defensa. Sin embargo, según el abogado, “el usuario podría demostrar que es diligente si, en cuanto tuvo conocimiento del fraude, reclamó a su banco, denunció el fraude y se puso en contacto con el banco que recibió los fondos”. El experto recalca la importancia de actuar rápido si hemos sido víctimas de este timo.
Juan Ortolá indica que la empresa estafada debe “dirigirse sin demora” a su banco a contarles lo ocurrido, y este tiene la obligación de hacer las gestiones “razonables” para intentar darle una solución. Desde Asufin señalan que la víctima debe reclamar a su entidad, denunciar el suceso en la comisaría y aportar esa denuncia a la reclamación.
En este artículo ha colaborado con sus superpoderes Juan Ortolá.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.