La posición del Servicio de Reclamaciones del Banco de España sobre las necesarias advertencias a los clientes bancarios para evitar el fraude en el comercio electrónico constituye toda una "buena práctica bancaria". Si bien es cierto que dicho Servicio no tiene competencia para determinar las consecuencias que de los pactos, cláusulas y condiciones establecidos en el ámbito de las relaciones regidas por normas de derecho privado puedan derivarse, ya que es competencia exclusiva de los tribunales de justicia la resolución de las discrepancias que puedan producirse de las relaciones mercantiles entre las partes; no cabe duda que es un dato que puede llegar a tenerse muy en cuenta en la jurisdicción civil.
En tal sentido, según la última Memoria del Servicio de Reclamaciones del Banco de España (2008), las asociaciones profesionales del sector crediticio ya desde el año 2005, hicieron público entre sus asociados el procedimiento que se había de seguir para la reclamación de transferencias de fondos efectuadas fraudulentamente por Internet, como respuesta al incremento detectado de actuaciones delictivas. Generalmente, las transferencias fraudulentas por Internet se llevan a cabo mediante suplantación de la personalidad de los clientes de banca electrónica, previa obtención por distintos procedimientos de sus datos y claves de identificación. En este sentido, las asociaciones consideraron que una rápida reacción tanto del cliente como de las entidades ordenante y beneficiaria de la transferencia permitiría recuperar los fondos transferidos fraudulentamente; cosa que no siempre ocurre, en función de la mayor o menor disposición y medios de cada Entidad ante este tipo de casos.
En concreto, sobre la mayoría de los casos de transferencias fraudulentas de fondos analizados por el Servicio de Reclamaciones, el problema fundamental reside en la correcta identificación del cliente y en las medidas de autenticación ofrecidas por la entidad. A pesar de que, con carácter general, las entidades de crédito cuentan con medidas de seguridad internas muy eficaces y acertadas a efectos de prevenir y minimizar el fraude electrónico, contribuyendo sin duda a mejorar la seguridad del canal (también las advertencias realizadas a través de las propias páginas web de las entidades y el envío de comunicaciones periódicas a sus clientes son buenas medidas divulgativas destinadas a concienciar al cliente), estas medidas, muy importantes en su fin, no son suficientes para eludir los riesgos que analizamos, pues las actuales sofisticaciones de los fraudes electrónicos superan las posibilidades del cliente medio, que, en general, no es un experto en seguridad informática.
Ninguna de estas medidas por separado, ni todas ellas en su conjunto, son concluyentes a la hora de evitar las actuales vías de fraude electrónico, que atacan principalmente al usuario mediante técnicas de ingeniería social o intrusiones en los equipos y/o comunicaciones informáticos. Evidentemente, el diseño de las medidas de seguridad entra dentro del ámbito de actuación discrecional de cada entidad y, por tanto, nada puede objetar el Servicio de Reclamaciones a dicha forma de proceder; estamos ante una decisión adoptada por cada entidad al diseñar su política operativa y comercial, en la que el Servicio de Reclamaciones del Banco de España no puede inmiscuirse, por obvias razones competenciales.
Pero es de sobra conocido que los sistemas de autenticación ofrecidos a los clientes de banca electrónica por la mayoría de las entidades de crédito son sistemas débiles o de un solo factor (una clave fija o aleatoria), a pesar de que la mayoría de los expertos en seguridad informática coinciden en señalar que las medidas de autenticación son más eficaces si incorporan dos factores: algo que el cliente conoce (una clave) y algo que el cliente tiene (un token, un teléfono móvil, etc.). Estos sistemas de doble factor podrían evitar la captura indebida de la firma electrónica y, por consiguiente, el fraude.
En la medida en que la elección de uno u otro sistema de autenticación afecta al grado de seguridad en el que las operaciones, comunicaciones y datos de sus clientes están protegidos frente al acceso o la modificación por terceros no autorizados, entendemos —en la línea expuesta por la Comisión Europea— que resulta de gran importancia que los consumidores comprendan los riesgos de aceptar el sistema de autenticación ofrecido por la entidad con la que operan y que conozcan cuál es la mejor alternativa posible para poder prevenir un fraude.
En este sentido, si bien en los contratos se informa al cliente de las condiciones para operar y de las consecuencias que le depararía un uso indebido de sus claves, no se le suele advertir del riesgo de que estas puedan ser capturadas por los ciberdelincuentes para su posterior uso con fines delictivos, ni de que, en este caso, deberá soportar los quebrantos ocasionados (incluso aunque dicha captura no se hubiera realizado como consecuencia de la falta de la diligencia que le resulta exigible en su calidad de usuario). Por otro lado, tampoco podemos olvidar que el usuario de banca electrónica puede acceder a este servicio no solo desde su equipo en su domicilio, sino también desde lugares públicos, como bibliotecas, hoteles o cibercafés, y, en muchos casos, sin necesidad de un puesto fijo gracias a las redes inalámbricas. Algunas entidades dan publicidad a esta facilidad en su página web, destacando que la banca electrónica «permite realizar todo tipo de operaciones bancarias a través de Internet desde cualquier lugar en el que se encuentre y a cualquier hora».
Dicho esto, puede resultar un tanto incongruente que, si la entidad no ha limitado expresamente las vías de acceso a este canal, pretenda que su cliente sea el único responsable de la falta de seguridad del equipo a través del cual se efectuó la operación presuntamente fraudulenta. Tampoco comparte el Servicio de Reclamaciones la conclusión a la que llegan algunas entidades (tras comprobar que no ha existido fallo alguno en sus sistemas informáticos) cuando precisan que es al cliente, en calidad de perjudicado, a quien corresponde seguir las diligencias judiciales que se instruyan como consecuencia de la denuncia interpuesta por el fraude sufrido, debiendo entretanto asumir el coste de las operaciones fraudulentas.
No parece equitativo ni proporcionado que las entidades eludan sin más su responsabilidad, dirigiendo a sus clientes a los tribunales de justicia y haciendo recaer en los mismos la totalidad de los importes defraudados. Por ello, el Servicio de Reclamaciones considera que (al margen del recurso a los tribunales de justicia) la actuación de las entidades de crédito en relación con el supuesto fraude debe ser analizada teniendo en cuenta los siguientes principios de buenas prácticas bancarias:
1 De información, por el que las entidades deben asegurarse de que sus clientes:
a) En la fase precontractual, conocen la realidad y magnitud del riesgo que comporta operar a través de la Red, especialmente con el sistema de autenticación que les es ofrecido, a fin de poder comparar el mismo con otros existentes en el mercado.
b) Al suscribir el contrato, son conscientes de los compromisos que asumen.
c) Reciben la formación y el asesoramiento necesarios para operar de la manera más «segura», siguiendo así las directrices ya avanzadas, el 26 de enero de 2001, por la Comisión Europea.
2 De diligencia, por el que, advertidas del supuesto fraude, las entidades deben actuar con la diligencia que les es exigible como profesionales en la materia para gestionar la recuperación de los fondos fraudulentamente transferidos. A este respecto, las asociaciones profesionales del sector han formalizado acuerdos de colaboración para posibilitar la recuperación de estos importes.
3 De responsabilidad, por el que se entiende que la realización de estas operaciones a través de Internet es posible únicamente porque las entidades han implantado este sistema (con los mecanismos de seguridad y autenticación que han considerado convenientes) y lo han divulgado, adquiriendo por ello, según el Servicio de Reclamaciones, una responsabilidad respecto del buen funcionamiento y la seguridad del mismo.
En conclusión, el Servicio de Reclamaciones del Banco de España entiende que no sería equitativo ni acorde con una actuación calificable de buena práctica bancaria hacer recaer automáticamente la negligencia o culpa y el consiguiente perjuicio en el cliente que sufre una transferencia por internet articulada mediante “phising”, “pharming” o cualquier otra modalidad de fraude social o tecnológico. En ello estamos, esperando respuesta concreta del Banco de España, porque el plazo medio de respuesta es de 6 meses. TO BE CONTINUED
En tal sentido, según la última Memoria del Servicio de Reclamaciones del Banco de España (2008), las asociaciones profesionales del sector crediticio ya desde el año 2005, hicieron público entre sus asociados el procedimiento que se había de seguir para la reclamación de transferencias de fondos efectuadas fraudulentamente por Internet, como respuesta al incremento detectado de actuaciones delictivas. Generalmente, las transferencias fraudulentas por Internet se llevan a cabo mediante suplantación de la personalidad de los clientes de banca electrónica, previa obtención por distintos procedimientos de sus datos y claves de identificación. En este sentido, las asociaciones consideraron que una rápida reacción tanto del cliente como de las entidades ordenante y beneficiaria de la transferencia permitiría recuperar los fondos transferidos fraudulentamente; cosa que no siempre ocurre, en función de la mayor o menor disposición y medios de cada Entidad ante este tipo de casos.
En concreto, sobre la mayoría de los casos de transferencias fraudulentas de fondos analizados por el Servicio de Reclamaciones, el problema fundamental reside en la correcta identificación del cliente y en las medidas de autenticación ofrecidas por la entidad. A pesar de que, con carácter general, las entidades de crédito cuentan con medidas de seguridad internas muy eficaces y acertadas a efectos de prevenir y minimizar el fraude electrónico, contribuyendo sin duda a mejorar la seguridad del canal (también las advertencias realizadas a través de las propias páginas web de las entidades y el envío de comunicaciones periódicas a sus clientes son buenas medidas divulgativas destinadas a concienciar al cliente), estas medidas, muy importantes en su fin, no son suficientes para eludir los riesgos que analizamos, pues las actuales sofisticaciones de los fraudes electrónicos superan las posibilidades del cliente medio, que, en general, no es un experto en seguridad informática.
Ninguna de estas medidas por separado, ni todas ellas en su conjunto, son concluyentes a la hora de evitar las actuales vías de fraude electrónico, que atacan principalmente al usuario mediante técnicas de ingeniería social o intrusiones en los equipos y/o comunicaciones informáticos. Evidentemente, el diseño de las medidas de seguridad entra dentro del ámbito de actuación discrecional de cada entidad y, por tanto, nada puede objetar el Servicio de Reclamaciones a dicha forma de proceder; estamos ante una decisión adoptada por cada entidad al diseñar su política operativa y comercial, en la que el Servicio de Reclamaciones del Banco de España no puede inmiscuirse, por obvias razones competenciales.
Pero es de sobra conocido que los sistemas de autenticación ofrecidos a los clientes de banca electrónica por la mayoría de las entidades de crédito son sistemas débiles o de un solo factor (una clave fija o aleatoria), a pesar de que la mayoría de los expertos en seguridad informática coinciden en señalar que las medidas de autenticación son más eficaces si incorporan dos factores: algo que el cliente conoce (una clave) y algo que el cliente tiene (un token, un teléfono móvil, etc.). Estos sistemas de doble factor podrían evitar la captura indebida de la firma electrónica y, por consiguiente, el fraude.
En la medida en que la elección de uno u otro sistema de autenticación afecta al grado de seguridad en el que las operaciones, comunicaciones y datos de sus clientes están protegidos frente al acceso o la modificación por terceros no autorizados, entendemos —en la línea expuesta por la Comisión Europea— que resulta de gran importancia que los consumidores comprendan los riesgos de aceptar el sistema de autenticación ofrecido por la entidad con la que operan y que conozcan cuál es la mejor alternativa posible para poder prevenir un fraude.
En este sentido, si bien en los contratos se informa al cliente de las condiciones para operar y de las consecuencias que le depararía un uso indebido de sus claves, no se le suele advertir del riesgo de que estas puedan ser capturadas por los ciberdelincuentes para su posterior uso con fines delictivos, ni de que, en este caso, deberá soportar los quebrantos ocasionados (incluso aunque dicha captura no se hubiera realizado como consecuencia de la falta de la diligencia que le resulta exigible en su calidad de usuario). Por otro lado, tampoco podemos olvidar que el usuario de banca electrónica puede acceder a este servicio no solo desde su equipo en su domicilio, sino también desde lugares públicos, como bibliotecas, hoteles o cibercafés, y, en muchos casos, sin necesidad de un puesto fijo gracias a las redes inalámbricas. Algunas entidades dan publicidad a esta facilidad en su página web, destacando que la banca electrónica «permite realizar todo tipo de operaciones bancarias a través de Internet desde cualquier lugar en el que se encuentre y a cualquier hora».
Dicho esto, puede resultar un tanto incongruente que, si la entidad no ha limitado expresamente las vías de acceso a este canal, pretenda que su cliente sea el único responsable de la falta de seguridad del equipo a través del cual se efectuó la operación presuntamente fraudulenta. Tampoco comparte el Servicio de Reclamaciones la conclusión a la que llegan algunas entidades (tras comprobar que no ha existido fallo alguno en sus sistemas informáticos) cuando precisan que es al cliente, en calidad de perjudicado, a quien corresponde seguir las diligencias judiciales que se instruyan como consecuencia de la denuncia interpuesta por el fraude sufrido, debiendo entretanto asumir el coste de las operaciones fraudulentas.
No parece equitativo ni proporcionado que las entidades eludan sin más su responsabilidad, dirigiendo a sus clientes a los tribunales de justicia y haciendo recaer en los mismos la totalidad de los importes defraudados. Por ello, el Servicio de Reclamaciones considera que (al margen del recurso a los tribunales de justicia) la actuación de las entidades de crédito en relación con el supuesto fraude debe ser analizada teniendo en cuenta los siguientes principios de buenas prácticas bancarias:
1 De información, por el que las entidades deben asegurarse de que sus clientes:
a) En la fase precontractual, conocen la realidad y magnitud del riesgo que comporta operar a través de la Red, especialmente con el sistema de autenticación que les es ofrecido, a fin de poder comparar el mismo con otros existentes en el mercado.
b) Al suscribir el contrato, son conscientes de los compromisos que asumen.
c) Reciben la formación y el asesoramiento necesarios para operar de la manera más «segura», siguiendo así las directrices ya avanzadas, el 26 de enero de 2001, por la Comisión Europea.
2 De diligencia, por el que, advertidas del supuesto fraude, las entidades deben actuar con la diligencia que les es exigible como profesionales en la materia para gestionar la recuperación de los fondos fraudulentamente transferidos. A este respecto, las asociaciones profesionales del sector han formalizado acuerdos de colaboración para posibilitar la recuperación de estos importes.
3 De responsabilidad, por el que se entiende que la realización de estas operaciones a través de Internet es posible únicamente porque las entidades han implantado este sistema (con los mecanismos de seguridad y autenticación que han considerado convenientes) y lo han divulgado, adquiriendo por ello, según el Servicio de Reclamaciones, una responsabilidad respecto del buen funcionamiento y la seguridad del mismo.
En conclusión, el Servicio de Reclamaciones del Banco de España entiende que no sería equitativo ni acorde con una actuación calificable de buena práctica bancaria hacer recaer automáticamente la negligencia o culpa y el consiguiente perjuicio en el cliente que sufre una transferencia por internet articulada mediante “phising”, “pharming” o cualquier otra modalidad de fraude social o tecnológico. En ello estamos, esperando respuesta concreta del Banco de España, porque el plazo medio de respuesta es de 6 meses. TO BE CONTINUED
.JPG)
No hay comentarios:
Publicar un comentario