El phishing es una de las técnicas que utilizan los hackers para apoderarse de nuestros datos. El phishing que proviene del verbo inglés fish (pescar) es un ataque en el que el phisher (pescador-hacker) se hace pasar por una empresa o persona, generalmente proveedor de algún tipo de servicio que podamos tener contratado (banca, telefonía, suministradores de agua, gas o electricidad, etc.), con el fin de obtener nuestros datos personales.
¿Pero qué responsabilidad tiene la entidad bancaria y cuál el usuario de servicios bancarios? Debemos partir de la base de que el banco es un proveedor de servicios y que cuando un usuario de estos servicios no ha prestado su autorización para dichos pagos u operativas existe una responsabilidad de la entidad bancaria “cuasi objetiva” que viene determinada en el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, que transpuso al ordenamiento interno la Directiva (UE) 2015/2366 del Parlamento y del Consejo, de 25 de noviembre, sobre Servicios de Pago en el Mercado Interior. El cliente tiene que autorizar de forma expresa y consciente la orden de pago, ya sea ordenándola él mismo, ya sea autorizando de forma expresa y consciente a un tercero para que la ordene en su nombre.
Como se podrá intuir la mayoría de entidades bancarias que optan por no atender la reclamación del usuario realizada directamente a la entidad y se ven abocadas a un procedimiento judicial suelen oponer que el usuario ha actuado de manera negligente en la conservación de sus claves o datos personales. Sin embargo, la jurisprudencia suele resolver a favor de los usuarios, porque la negligencia grave “consiste en no proceder ni siquiera con la más elemental diligencia” o en “la más grave falta de diligencia, no hacer lo que todos hacen, no prever lo que todos prevén”, y en la mayoría de las ocasiones el usuario es objeto de un fraude con capacidad para engañar a una generalidad de personas y por tanto no se considera que actúe con grave negligencia (entre otras, SAP de Alicante, Sec. 8ª, nº 107/2018, de 12/3/2018).
Además de todo ello, corresponderá a la entidad bancaria probar que el fraude fue fruto de una negligencia grave del cliente para poder eludir su responsabilidad, por lo que es habitual encontrarnos con una “negativa por sistema” del banco a devolvernos la cantidad ya que en la mayoría de casos el usuario desiste de interponer acciones legales por miedo a asumir los costes de un procedimiento judicial. Sin embargo, nuestro consejo es claro, en caso de ser víctima de una estafa informática debemos reclamar a la mayor brevedad al banco de manera fehaciente y por escrito, poniendo de manifiesto su obligación de devolver el dinero depositado y si contestan de manera desfavorable a nuestra reclamación, buscar asesoramiento legal autorizado para emprender en su caso las acciones legales correspondientes.
