El phishing bancario es una de las modalidades de fraude electrónico más frecuentes en la actualidad. En los últimos años, los ataques de phishing a través de aplicaciones bancarias y plataformas online han aumentado considerablemente, lo que plantea una cuestión fundamental: ¿quién es responsable de los fraudes cometidos mediante este tipo de ataques? ¿El banco o el usuario?
En este artículo, vamos a analizar las responsabilidades del usuario y las obligaciones de las partes involucradas en casos de phishing.
¿Qué es el phishing y cómo afecta a los usuarios de aplicaciones bancarias?
El phishing es un término inglés que proviene de «fishing» (pescar), haciendo alusión a la técnica utilizada por los ciberdelincuentes para «pescar» información de sus víctimas mediante engaño.
Se trata de una técnica de ciberdelincuencia que busca engañar a las víctimas mediante la suplantación de identidad de entidades bancarias para obtener sus datos personales y financieros, como contraseñas o datos bancarios,
En el contexto de las aplicaciones bancarias, este fraude puede manifestarse de varias maneras:
- Correos electrónicos falsos que aparentan provenir del banco y solicitan datos personales.
- Mensajes SMS fraudulentos con enlaces a páginas web falsas que imitan la interfaz de una entidad bancaria.
- Llamadas telefónicas fraudulentas en las que los delincuentes se hacen pasar por empleados del banco y piden información confidencial.
- Aplicaciones bancarias clonadas que imitan apps bancarias lícitas y roban datos de acceso.
- Intercepción de credenciales a través de malware o troyanos bancarios.
Cuando un usuario cae en la trampa y proporciona sus datos, los ciberdelincuentes pueden acceder a su cuenta bancaria y realizar operaciones fraudulentas.
¿Cuál es la normativa aplicable?
En España, el marco normativo sobre seguridad en transacciones bancarias electrónicas está regulado principalmente por:
- Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, que transpone la Directiva Europea (UE) 2015/2366 sobre servicios de pago (PSD2).
- Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, que tipifica los delitos informáticos y estafas.
- Reglamento General de Protección de Datos (RGPD) y Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que protegen la información de los usuarios.
- Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).
Responsabilidades del usuario en caso de phishing bancario
1.Obligación de diligencia y protección de datos
El usuario tiene el deber de proteger sus credenciales bancarias (contraseñas, PIN, códigos de autenticación, etc.). Según el artículo 46 del Real Decreto-ley 19/2018, si un usuario actúa de manera negligente y facilita voluntariamente sus datos en un entorno no seguro (aunque sea engañado), podría ser considerado responsable parcial del fraude.
2. Comunicar el fraude al banco sin demora
Según el artículo 43 del mismo Real Decreto-ley, el usuario debe informar de “sin demora injustificada” a la entidad bancaria en caso de detectar una operación fraudulenta, es decir, de forma inmediata desde que tenga conocimiento dicha operación. En todo caso, si no lo hacen en un plazo máximo de 13 meses, pierden el derecho a reclamar.
3. Actuar con diligencia ante medidas de seguridad reforzadas
La normativa obliga a los bancos a ofrecer sistemas de autenticación reforzada (doble factor de autenticación), que requiere métodos de doble verificación para autorizar pagos. Si el usuario facilita el acceso sin validar adecuadamente estas medidas, podría ser considerado parcialmente responsable en caso de fraude.
Responsabilidad de la entidad bancaria
Aunque el usuario tiene obligaciones, las entidades bancarias también deben garantizar la seguridad de los servicios de pago. Según el artículo 43 del Real Decreto-ley 19/2018, el banco debe reembolsar el importe de operaciones fraudulentas, salvo que pueda demostrar que:
- El usuario actuó con negligencia grave.
- El fraude fue realizado con el consentimiento del usuario.
- Se utilizó un sistema autenticación reforzada.
- La entidad ha implementado medidas de seguridad adecuadas.
Si el banco no cumple con sus medidas de seguridad y el usuario no ha sido negligente, la entidad deberá asumir el coste del fraude.
¿Cómo evitar el phishing bancario? Consejos prácticos
Para minimizar riesgos, los usuarios deben seguir estas recomendaciones:
- No compartir datos personales o bancarios a través de correos electrónicos, SMS o llamadas.
- Verificar siempre la URL antes de ingresar credenciales en una web bancaria.
- No descargar aplicaciones bancarias de fuentes no oficiales.
- Activar la autenticación en dos pasos en la app bancaria.
- Contactar directamente con el banco ante cualquier duda sobre la autenticidad de una comunicación.
En conclusión, el phishing bancario es un problema creciente, y la legislación española establece un equilibrio de responsabilidades entre el usuario y la entidad bancaria. Mientras que el usuario debe actuar con diligencia y reportar fraudes a tiempo, los bancos tienen la obligación de garantizar la seguridad de los servicios de pago. La clave para evitar problemas radica en la prevención y la información: cuanto más consciente sea el usuario de los riesgos, menos vulnerable será ante este tipo de ataques.
En caso de haber sido víctima de phishing, lo más importante es actuar rápido, denunciar el fraude y contactar con el banco para intentar recuperar los fondos sustraídos.
