Asufin pide que el sistema judicial responda de manera «más adecuada» a los casos de phising
Asufin ha denunciado la «desprotección» del consumidor frente a los casos de phising y con una jurisprudencia que «exime de responsabilidad a los bancos», por lo que ha pedido un sistema judicial que responda de manera «más adecuada» al problema creciente de los ciberataques bancarios, según ha trasladado hoy en un comunicado.
En concreto, ha afirmado que dispone de «numerosas sentencias» que demostrarían que el sistema judicial «no está dando una respuesta adecuada a un entramado de vacíos de seguridad que perjudican, fundamentalmente, al usuario de banca, por la sustracción de fondos que le origina».
Pone como ejemplo una reciente sentencia del juzgado de primera instancia nº53 de Barcelona, en la que el magistrado reconoce que el consumidor fue víctima de phising , pero que el banco «no puede ser el responsable» y aduce que «si el demandante, nervioso por la situación, facilitó los códigos OTP [o de un solo uso], a pesar de que en el mensaje se le indicaba que era para confirmar las compras, y no para anularlas, debe asumir las consecuencias de sus actos».
Sin embargo, Asufin critica que el fallo «no da relevancia» a circunstancias fundamentales, como que el SMS que le llegó al usuario «se colocó en la línea de mensajes legítimos que previamente había recibido de la entidad», ni a que «la llamada que recibió provenía de un número que su teléfono directamente identificó como BBVA».
Tampoco a que su interlocutor «se dirigiera a él por su nombre y apellido, dándole determinados datos que le hicieron creer legítimamente que hablaba con su banco, ni a que el dispositivo desde el que se efectuaron las operaciones fraudulentas no era el que el asociado tenía registrado en su perfil».
Asufin recuerda, además, que la ley vigente «no otorga la misma responsabilidad» a la entidad bancaria y al usuario de los medios de pago, dado que la situación de ambos «no es equivalente, sino todo lo contrario, desigual». «La entidad bancaria es la que dispone de los medios de seguridad para proteger adecuadamente los fondos y transacciones», sostiene.
En concreto, indica que el artículo 41 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, establece para el usuario la obligación de «tomar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas», sin entrar en mayor detalle de qué se considera razonable.
Por el contrario, otros artículos de la misma ley señalan que «corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave».
Por último, afirma que la entidad «está obligada a restituir las cantidades objeto de fraude», ya que la ley de servicios de pago establece que, «en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato».