Miguel Tovar Pérez
abogado

¿Qué es el phising?

Avancemos que el término “pescar” es traducido en rigor por “fishing” y no “phishing”, pero la similitud fonética de ambas palabras nos permite utilizar su significado para ayudarnos a comprender más gráficamente, lo que en realidad es la suplantación de nuestra identidad para acceder a nuestros bancos bancarios. 

Este delito esta tipificado como «delito de estafa informática», en Grupo Cuatro Abogados tratamos estos delitos en el Área Civil.

El Instituto Nacional de Ciber Seguridad (INCIBE), expone en su último balance publicado para el año 2023 que el número de incidentes digitales que ponen en riesgo los datos o seguridad de los dispositivos que habitualmente todos utilizamos, han ascendido a 83.517, suponiendo un incremento del 24 % con respecto a los datos del 2022.

Pues bien, 14.261 de los referidos incidentes, se causan por el procedimiento denominado “PHISING”: 

Enlace a datos de Incibe

El anglicismo “phising”, se encuentra definido por nuestra Jurisprudencia  como «aquellas técnicas informáticas que determinan o causan la revelación de información confidencial, haciendo un click en un enlace, a través del engaño a  un cliente bancario, al ganarse previamente su confianza, y suplantando su identidad ante un tercero, (en este caso, su entidad bancaria). Lo que da lugar a que se lleven a cabo unas acciones que no fueron realmente autorizadas, y que la dicha entidad materializó de forma inmediata”. 

En palabras que podamos entender, y de forma quizás excesivamente resumida: es la autorización involuntaria de nuestros códigos de acceso a los fondos de nuestras cuentas bancarias, al haber sido engañados por un “experto informático” o “cracker”. Ello supone que ante el “aparente” pago que hemos ordenado, nuestro banco transferirá el capital en favor de ese “ciberdelincuente”.

¿Cómo detectar el phising?

Pongamos un ejemplo de un mensaje recibido en nuestro propio teléfono móvil:

«POSTAL:

Su paquete ha sido puesto en espera debido a que falta un número de calle en el paquete. Por favor, actualice la información de entrega:

https://u.se/Dy_xxca

«

Ante ese tipo de conductas delictivas, las entidades financieras, (por lo general), lejos de amparar y proteger a su cliente, le culpabilizan, desoyendo cualquier tipo de justificación que se les facilite al efecto. Y así, salvo que nos sublevemos, rechazando dócilmente el reproche que se nos realiza, responderemos del perjuicio económico causado por desatender los mínimos deberes de cuidado de nuestras “claves”, y que constantemente nos recuerdan no pueden ser reveladas en los mensajes que publican los Bancos en sus webs. 

Sin embargo, de la ilícita intromisión se es víctima y no infractor, y de la desalmada respuesta que a menudo nos ofrecen los Bancos, se deducen por el contrario, la inhibición de su propia responsabilidad. Tengamos en cuenta que la sofisticada operativa que las entidades financieras nos facilitan para realizar pagos “online”, es precisamente el “germen” que permite al “malhechor” actuar simulando ser el Banco también a través de un procedimiento técnicamente complejo que a nuestros ojos, lo hace indescifrable.

¿Cómo restaurar el daño producido por el phising?

 Por ello, nuestro dinero debe reintegrarse a nuestra cuenta, siendo la entidad crediticia quien en contra de su opinión, responda de la vulnerabilidad de su operativa digital.

Este es el criterio que consolidadamente vienen reconociendo nuestros tribunales, y que de manera nítida nos ofrecen la STS 12/05/2016,  SAP Valladolid de 19/10/2022 ó de 23/10/2023, o finalmente la SAP Girona de 31/01/2024,  al exponer:

 “no había desplegado otra actuación que la advertencia del posible riesgo de captura de datos por terceros más información estereotipada que consta en pagina web, y en dicho supuesto, ay a tenor de la diligencia que es exigible a la entidad bancaria, que debe de aumentar las medidas de seguridad específicas ante este tipo de prácticas delictivas, consideró que no basta con medidas genéricas de protección o avisos estereotipados, sino que la seguridad de este tipo de operaciones bancarias precisa de soluciones tecnológicas avanzadas a los efectos de garantizar la autenticidad como la integridad y confidencialidad de datos.» 

«…..En cuanto a la diligencia exigible a la entidad bancaria, que de manera incuestionable se beneficia de la extensión generalizada de este tipo de servicios de banca on line, evitando los costes asociados a la atención de sus clientes en la red comercial mediante oficinas y personal, el art. 12 bis de la ley 34/02, de Servicios de la Sociedad de la información y de Comercio Electrónico obliga al proveedor de dichos servicios a realizar una información a sus clientes permanente, fácil, directa y gratuita sobre niveles de seguridad, restricción de correos no solicitados, y filtrado de servicios de Internet no deseados. 

Sentencias sobre phising

La realidad de prácticas delictivas como el referido » phising «, hace exigible aumentar las medidas de seguridad específicas, , pues el banco no puede ofrecer un sistema on line, sin adoptar las medidas de seguridad necesarias

Como se afirma en dicha sentencia, no basta con medidas genéricas de protección o avisos estereotipados de cuidado, sino que «la seguridad de las operaciones bancarias precisa de soluciones tecnológicas avanzadas a los efectos de garantizar tanto la autenticidad como la integridad y confidencialidad de los datos», sin que se repute suficiente los avisos genéricos de los bancos, a través de su web, que ostentarían la calificación de » formulas predispuestas», vacías de contenido.» 

Así también se han despachado otras Audiencias Provinciales, como la SAP Navarra, sección 3ª de 9 de marzo del 2023, SAP Rioja de 17 de febrero del 2023, de Málaga, sección 5ª de 23 de mayo del 2023, o de Madrid, sección 10ª de 13 de enero del 2023 ( que califica como responsabilidad cuasiobjetiva para la entidad financiera la prevista en la legislación ya expuesta salvo prueba de culpa grave del ordenante). 

Protección contra el phising

En conclusión, es el Banco quien debe probar que la conducta de su cliente, víctima de un fraude, pueda ser calificada de grave en la custodia y uso de sus claves de seguridad en el sistema de servicios de pago on line de su tarjeta de crédito, sistema de pago que ofrece y pone a su servicio la entidad financiera 

En interpretación de directiva 2015/2366 , la negligencia que hace responder al cliente es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario , no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional. Como parámetro del actuar negligente también cabrá acudir al art. 1.104 CC , que exige la diligencia asociada a la naturaleza de la obligación y a las circunstancias personales, de tiempo y lugar. Ello destacándose la complejidad y grado de perfección que presenta en la actualidad el método de » phishing» de difícil detección por persona de formación media, así como el deber de la proveedora, del servicio de dotarse de tecnología suficiente y adecuada con exigencia de medidas implantadoras activas, sin entenderse suficientes avisos generales o en página web de mero carácter informativo o divulgativo