El phishing es una técnica de ingeniería social cuyo objeto consiste en, a través de medios de carácter informático, suplantar la identidad de terceros (compañías, organismos públicos e, incluso, la propia entidad financiera) para que el usuario (i.e. la potencial víctima) facilite al defraudador (en adelante, el “phiser”) determinada información de carácter confidencial que le permita sustraer su dinero, ya sea a través de meras transferencias, ya sea a través de pagos con tarjeta, ya sea a través del uso de sus líneas de factoring/confirming.
El phishing es el término genérico que se viene empleando para referirse a esta compleja y laboriosa tipología de ciberataque. Ahora bien, dado que se trata de una técnica basada en ingeniera social (es decir, no es un fraude basado en una técnica estándar), el phising se puede configurar de múltiples -por no decir casi infinitas- maneras, siendo las categorías más conocidas y generalizadas, por ejemplo, el smishing (a través de whatsapp), el vishing (a través de llamada telefónica), el spoofing (a través de correo electrónico que contiene un malware), o el whaling (donde la identidad suplantada es la del personal directivo de una determinada compañía, también conocido en España como “fraude del CEO”).
El Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (en adelante, la “LSP”), en su capítulo II (“Autorización de operación de pago”), sienta un régimen de responsabilidad cuasiobjetiva para las entidades financieras en aquellos supuestos en los que se produzcan operaciones no autorizadas por el usuario que, fundamentalmente, encuentra dos límites (vid. artículo 44 de la LSP): (i) que la operación se trate de un fraude cometido por el propio cliente; o (ii) que el cliente haya incumplido deliberadamente o por negligencia grave las obligaciones previstas en el artículo 41 de la LSP, es decir, su deber de adoptar medidas razonables para proteger sus credenciales de seguridad y/o notificar al proveedor de servicios de pago la sustracción de dichos datos sin demora injustificada.
Es de ver como el régimen de responsabilidad cuasiobjetiva que establece la LSP para las entidades financieras no es, ni mucho menos, de carácter automático, sino que quiebra en aquellos supuestos en los que las credenciales del usuario se hayan visto comprometidas como consecuencia de que este -el usuario- haya incumplido, con negligencia grave, su obligación de adoptar medidas razonables para custodiarlas y/o de notificar sin demora la vulneración de sus credenciales al proveedor de servicios de pago.
No puede olvidarse que el proveedor de servicios de pago, en la mayoría de las ocasiones, no tiene forma de evitar la perpetración de este tipo de ciberataques, que generalmente sitúan al usuario en un primer frente de batalla por ser el único que puede facilitar al phiser sus propias claves y credenciales.
Con lo cual, de una recta y razonable interpretación de los artículos 41 y 44 de la LSP, solo cabe concluir que el usuario tiene el deber de custodiar, con una diligencia básica y esencial, sus propias credenciales confidenciales de acceso y seguridad, sin que este régimen de responsabilidad cuasiobjetiva pueda -ni deba- traducirse en la imposición automática de condenas que encuentre su fundamento en la inercia provocada por el elevado número de procedimientos que versan sobre esta materia, como desafortunadamente se ha podido advertir en otras materias.
De lo anteriormente expuesto subyace una premisa que es fundamental para que la entidad financiera pueda valorar la procedencia o no de la reclamación del usuario, así como, en su caso, la viabilidad de formular una oposición fundada: que el usuario ofrezca en su demanda un completo, cumplido y justificado relato del proceso defraudatorio con los detalles que solo él conoce.
¿Qué SMS le ha llegado? ¿qué apariencia tiene? ¿qué enlace ha pinchado? ¿quién le ha llamado, desde dónde y cuándo? ¿cómo es la landing fraudulenta a la que ha accedido? ¿cuántas vences ha contactado el phiser con él y cuál fue el contenido de esas comunicaciones? Las respuestas a estos meros ejemplos de cuestiones necesariamente deben ser expuestas por el demandante desde el inicio de su reclamación.
¿Por qué? Porque evidentemente, de no facilitar dichas pruebas e información, es materialmente imposible valorar si la reclamación del usuario es procedente o, por el contrario, concurre la negligencia grave a la que se refiere el artículo 44 de la LSP, por más que en su apartado 1º se establezca que “cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada”, ya que razonablemente el proveedor de servicios no puede conocer hechos que, por la propia naturaleza y carácter del fraude, solamente conoce el usuario (i.e. la presunta víctima).
Es doctrina del Tribunal Constitucional (vid. Sentencias núm. 227/1991, de 28 de noviembre; núm. 7/1994, de 17 de enero; y núm. 95/1999, de 31 de mayo), plenamente acogida por el Tribunal Supremo (vid. Sentencias de la Sala Primera del Tribunal Supremo núm. 684/1999 de 15 de noviembre; núm. 48/2000, de 31 de enero; y núm. 75/2010, de 10 de marzo, entre otras) y reflejada incluso en los artículos 217, 304 y 329 de la Ley 1/2000, de Enjuiciamiento Civil (en adelante, la “LEC”), que cuando las fuentes de la prueba se encuentran en poder de una de las partes del litigio, la obligación constitucional de colaborar con los Tribunales en el curso del proceso (artículo 118 de la Constitución Española) conlleva que dicha parte es quien debe aportar la información y los datos requeridos; que los tribunales no pueden exigir de ninguna de las partes una prueba imposible o diabólica, so pena de causarle indefensión contraria al artículo 24 de la Constitución Española, por no poder justificar procesalmente sus derechos e intereses pertinentes para su defensa; y que los obstáculos y dificultades puestos por la parte que tiene en su mano acreditar los hechos determinantes del litigio, sin causa que lo justifique, no pueden repercutir en perjuicio de la contraparte, porque a nadie le es lícito beneficiarse de su propia torpeza.
La reciente Sentencia de la Audiencia Provincial de Madrid, Sección 9ª, núm. 47/2023, de 26 de enero, ha tenido ya ocasión de advertir que una explicación vaga y genérica del proceso defraudatorio por parte del demandante constituye una circunstancia que (i) ocasiona una grave indefensión al proveedor de servicios de pago; y (ii) debe tenerse en consideración a los efectos de apreciar la concurrencia de negligencia grave.
Conforme se indica en dicha resolución, el vago detalle del proceso que se ofrecía en la demanda rectora de aquel procedimiento partía de la base de un “posible” clonado de tarjeta o técnicas defraudatorias similares, con referencia a unos artículos periodísticos referidos a “SIM swapping” o “clonado de tarjeta SIM”, en los cuales se señalaba que la técnica defraudatoria consistía en, una vez apoderados de las claves de acceso a los portales de banca online, los autores solicitan un duplicado de la tarjeta SIM del teléfono a fin de recibir los códigos de confirmación de las transferencias -u otras operaciones- fraudulentas previamente ordenadas.
En particular, la indicada Sentencia de la Audiencia Provincial de Madrid acordó desestimar la reclamación del usuario con base en la siguiente fundamentación:
“En el caso de autos, el demandante se limita a invocar un uso fraudulento de sus tarjetas bancarias pero, aun recordando artículos publicados sobre tal clonado o duplicados de tarjeta SIM, no relata hecho alguno en virtud del cual terceras personas se hiciesen con sus claves personales de la banca online y de su línea telefónica, forma de actuación que no niega.
Es decir, ante tal situación es de reconocer la indefensión del Banco demandado, este no sabe cómo se ha iniciado el procedimiento defraudador para así poder defenderse.
[…]
Es decir, en el caso de autos lo cierto es que si bien no se efectúa mención en la demanda a la forma en que los defraudadores se hicieron con las claves bancarias del demandante, el actor ya conocía (tras contestar el Banco de Santander a la reclamación formulada por el cliente) que las operaciones se efectuaron bajo pago tokenizado -doble factor de autentificación-, máxime con la remisión de certificado de Redsys Servicios de Procesamiento en el que se reflejaba la ejecución de los pagos y extracciones en cajeros por medio de la aplicación Samsung Pay.
[…]
el demandante no da ninguna explicación de la forma en la que el defraudador pudo hacerse con su clave de banca online, desconociéndose la forma de hacerse con esta, incluso si fue al mismo tiempo de hacerse con los datos para la clonación de la tarjeta SIM del mismo, como tampoco de la forma que tenía de acceso desde el teléfono móvil.
CUARTO.- Sentado lo anterior, la Sala considera que corresponde apreciar negligencia grave del demandante en la custodia de su clave de acceso a la banca on line desde su teléfono móvil, no solo no indicando en la demanda que la cantidad defraudada fue mediante pagos efectuados por una aplicación instalada en su línea de teléfono móvil sino tampoco cómo se efectuó tal aportación de datos o claves como, respecto a las operaciones efectuadas en el año 2021, cómo seguían los defraudadores "controlando" su móvil (al que se remitieron SMS para confirmar las operaciones).
Debiéndose de anudar a tal negligencia a que, conforme a la certificación de Vodafone que obra en autos, no consta que, en junio de 2021, (casi al año de las primeras operaciones defraudadoras) el demandante se hubiere cambiado de número telefónico, máxime cuando ya conocía las defraudaciones cometidas en junio de 2020 como que las mismas se cometieron utilizando una aplicación de pago enrolada a su móvil.”
Es de ver como la anterior resolución desestima la reclamación de un usuario que, supuestamente, había sufrido uno de los fraudes más complejos y laboriosos que existen (el “SIM swapping”), pero, por no detallar y acreditar las circunstancias particulares sobre cómo había acontecido el proceso defraudatorio (desconociéndose si de forma intencionada o no), su demanda se vio abocada al fracaso por apreciarse negligencia grave en el cumplimiento de sus obligaciones.
Lo cierto, y esto ya es una opinión particular, es que la sociedad se encuentra en constante evolución y el usuario medio, que cada vez se encuentra más instruido sobre la seguridad de sus cuentas, razonablemente debería poder evitar los phising más sencillos aplicando una diligencia básica y esencial, pues ciertas advertencias, tales como que una “entidad financiera nunca va a pedir a sus usuarios sus claves o credenciales de seguridad”, ya son -o lo deberían ser en el corto plazo- de común y general conocimiento, cuya observancia, por tanto, deberá considerarse a la hora de valorar la concurrencia de la negligencia grave a la que se refiere el artículo 44 de la LSP.
Por ello, respondiendo a la pregunta que consta en el título de este artículo, ofrecer un cumplido y justificado detalle del proceso defraudatorio en las reclamaciones que versen sobre materia de phising no es que sea “algo necesario”, sino que es una cuestión fundamental para poder entablar un debate judicial serio y riguroso.
