¿Puedo reclamar al banco si me roban el dinero en internet?

EKA/ACUV, la asociación de personas consumidoras y usuarias vascas, ha detectado en las últimas semanas un aumento de los casos de ciberestafa bancaria. Y pone como ejemplo el de un cliente de un banco que recibió dos mensajes de texto móvil (SMS) donde se le informaba de un supuesto bloqueo de su cuenta y que incluía un enlace para habilitarla de nuevo. Esta persona cayó en la trampa y al cabo de unos días se percató de que se había realizado una transferencia de 3.000 euros desde su cuenta a otra totalmente desconocida. Además, los estafadores habían efectuado otras dos operaciones con la tarjeta de crédito sin su autorización.

En estos casos, ¿está obligado el banco a asumir la responsabilidad?¿Cómo denunciar un fraude de 'phishing'?

La Asociación de Usuarios Financieros, Asufin, aclara que la ley «establece la responsabilidad el banco en salvaguardar la seguridad de nuestras operaciones financieras». De manera que, «salvo negligencia grave o fraude por parte del consumidor, está obligado a devolvernos el dinero robado». Eso sí, en el caso de pérdida o robo de tarjetas bancarias, la pérdida de los primeros 50 euros la asume el consumidor.

Es importante, añaden en la asociación, que tan pronto una persona detecte haber sido víctima de 'phishing', «lo comunique al banco o entidad financiera responsable», donde deberá presentar «todas las evidencias que pueda recabar y que reflejen que ha sido objeto de engaño, como pantallazos, recibos de compra, etc.».

Las víctimas de este tipo de fraude están amparadas por la ley de servicios de pago, aclaran en Asufin. Esto implica, generalmente, «que nuestro banco devuelve el dinero en 24 horas, si la cantidad es pequeña y la operación, poco compleja».

Lo que es menos conocido es que además se puede reclamar a la entidad financiera por incumplimiento en materia de protección de datos. Una vía que, según el abogado Luis Felipe Gómez -que recientemente participó en una webinar de Asufin sobre fraude- «ya está empezando a dar sus frutos, de la que los bancos son conscientes y que incluso les está llevando a suscribir seguros para evitar indemnizaciones».

El letrado recordó que la Agencia Española de Protección de Datos (AEPD) ya está imponiendo sanciones por este tipo de casos, lo que conlleva la posibilidad de que miles de afectados puedan reclamar indemnizaciones adicionales.

El resarcimiento, añadió Gómez, no deben tener nunca carácter simbólico y puede alcanzar un mínimo de 3.000 euros puesto que hablamos de infracción grave por parte de la entidad bancaria.

En el caso expuesto por EKA/ACUV, el cliente estafado logró anular la transferencia de 3.000 euros, pero no pudo solucionar las compras restantes. Interpuso una denuncia ante la policía, que sirvió para presentar una reclamación contra el banco para que se le reembolsase la cantidad sustraída, que superaba los 1.100 euros.

El cliente, aclara la asociación de consumidores, «tomó las medidas razonables para proteger sus credenciales de seguridad y notificó en plazo la utilización no autorizada». Los bancos, añaden en EKA/ACUV, «como proveedores de servicios o medios de pago, deben disponer de mecanismos de supervisión de las operaciones que les permitan detectar operaciones de pago no autorizadas o fraudulentas».

Además, deben detectar que las claves personales «han sido comprometidas o sustraídas, así como localizar señales de infección por programas informáticos maliciosos en el proceso de autenticación. Un factor indicativo son las cuantías elevadas, por lo que los servicios de control de la oficina deberían haber alertado de la situación ante movimientos tan seguidos».

En este caso la entidad financiera «eludió su responsabilidad comprobando sólo que la operación se había realizado introduciendo las claves de seguridad de la tarjeta». Sin embargo, «no se localizó la IP que realizaba la conexión, o la configuración del dispositivo que verifica la cadena de los movimientos».

El cliente estafado logró recuperar su dinero sustraído después de que el juzgado encargado de tramitar la demanda «consiguió dar con la empresa en el que estaba depositado el dinero», que iba a ser canjeado por bitcóins.