En los últimos años estamos viviendo un nuevo fenómeno hasta ahora nunca visto, el de las ciberestafas y falsas inversiones. Un fenómeno que, además, crece exponencialmente año tras año. Si hemos sido víctimas de alguna de estas prácticas fraudulentas, lo primero que debemos evitar es la culpabilidad y la vergüenza que en tantas ocasiones afecta a las personas que las sufren. La sofisticación y la profesionalidad de estas estafas hacen que cualquiera pueda ser víctima. En el último año, según el Ministerio de Interior se han producido 427.000 ciberestafas. Pero no hay que desesperar, en su mayoría, con paciencia, tienen solución.
Entre las ciberstafas más comunes están los denominados “phishings” en las que mediante técnicas sofisticadas de suplantación de identidad y de engaño mediante ingeniería social, los ciberstafadores pueden hacerse con nuestras credenciales bancarias y lograr autenticar las operaciones o movimientos ordenados sin nuestro consentimiento.
Y luego están las estafas que derivan de las falsas inversiones. Se trata de aquellas en las que alguien, un supuesto Trader, nos ha hecho creer que estábamos ganando dinero mediante inversiones que, en realidad, son inexistentes, habitualmente en criptomonedas, divisa extranjera o, simplemente, fondos de inversión. Se trata de auténticos trileros digitales. En estos casos además, las pérdidas económicas suelen ser muy elevadas porque los ciberstafadores insistirán en el engaño hasta hacerse con todos nuestros ahorros e, incluso, endeudarnos con préstamos preconcedidos obtenidos también sin nuestro conocimiento.
¿Es la vía penal la más adecuada para recuperar nuestro dinero?
Podría pensarse que al tratarse de un delito de estafa, el tratamiento adecuado debiera ser por la vía penal. No obstante, según datos de la Policía, sólo el 10% de las estafas terminan con la detención de los ciberdelincuentes. El principal obstáculo es su identificación y localización, ya que en muchas ocasiones la estafas se realizan desde el extranjero. La baja cuantía del importe estafado, la gran multitud diaria de ciberestafas producidas o la dificultad de rastrear el dinero que ha sido transferido de forma inmediata, muchas veces a otros países y a paraísos fiscales, también suponen un factor de dificultad añadido. En definitiva, la Policía tiene verdaderas dificultades para investigar y perseguir estos delitos. Y aún es mayor la dificultad para recuperar el dinero sustraído, pues habitualmente se blanquea de forma inmediata utilizando criptomonedas.
Por este motivo, ante las dificultades que enfrenta la vía penal, nos permitimos señalar a los bancos y su propia responsabilidad. Debemos tener en cuenta que este fenómeno nace, en buena parte, como consecuencia de la digitalización de la banca, el cierre de las sucursales y la sustitución de empleados por la operativa digital, ya sea a través de internet o de aplicaciones móviles, dirigidos y supervisados por algoritmos informáticos y no por personas.
Efectivamente, buena parte de la solución a este problema, desde la óptica de los afectados, parte de la idea de entender que existe un conjunto de normas jurídicas ( el Real Decreto Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera; y el Código Civil) que tratan de protegernos frente a estas situaciones. La Ley, que es conocedora de este problema, establece un sistema de responsabilidad denominada “cuasi-objetiva” de las entidades financieras, es decir, parte de la idea de que los bancos, por contrato y por ley, tienen la obligación de custodiar debidamente nuestro dinero. Este régimen de responsabilidad implica que la entidad financiera será siempre la responsable de las sustracciones que hayamos sufrido, a menos que la entidad financiera demuestre que hemos actuado fraudulentamente o hayamos incurrido en negligencia grave. Esto último, la negligencia, que además tiene que ser grave, es lo que los jueces, atendiendo a las circunstancias de cada caso, deben analizar. No obstante, la doctrina jurisprudencial que se está asentando se decanta por entender que “la negligencia que hace responder al cliente es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional”.
Por tanto, si hemos sido víctimas de un delito o fraude, se aplica el principio de responsabilidad del banco, aunque de entrada éste aprecie lo contrario o intente trasladar la responsabilidad al afectado.
Esto último es aplicable a casi todas las modalidades de ciberfraude. Así, tanto si hemos sido víctimas de un “phishing” en el que hemos accedido a un enlace remitido por SMS, como si hemos sido víctimas de un fraude orquestado mediante una llamada de teléfono de alguien que se hacía pasar por nuestro gestor personal del banco ( o incluso una combinación de ambas), si nos han duplicado la targeta SIM del teléfono móvil o han accedido a las aplicaciones de banca online después de robarnos el teléfono o, incluso, nos han introducido un malware en el dispositivo, etc. en todos estos casos la Ley interpreta que posiblemente no hemos incurrido en negligencia grave y se aplica el principio de responsabilidad cuasi-objetiva. Ello supone que la entidad debe devolvernos el dinero sustraído mediante suplantación, puesto que no ha existido un consentimiento real por nuestra parte en la realización de las operaciones fraudulentas.
La responsabilidad en los casos de “falsas inversiones”
Mención a parte merecen los delitos por falsas inversiones. En este caso la clásica instalación de programas de control remoto como el “Anydesk” deberá examinarse bajo las circunstancias concretas del caso, en especial, las circunstancias personales, la edad y el perfil de la víctima, sus conocimientos informáticos, su habilidad para interactuar con la banca digital, etc. No obstante, deberán aplicarse los mismos principios jurídicos explicados anteriormente. Además en estos casos suele ser frecuente que los ciberdelincuentes, aprovechando el control remoto de los dispositivos de la víctima, soliciten y obtengan préstamos o créditos personales, a veces incluso de entidades financieras de las que el afectado ni tan siquiera es cliente. En estos casos, el consentimiento de la persona afectada, que es un requisito esencial para que la contratación sea válida, no existe, por lo que, los juzgados y Tribunales acaban anulando éstos préstamos y devolviendo al afectado el importe de las cuotas abonadas.
En cualquier caso, el denominador común, motivo por el cual señalar a la entidad financiera suele ser la vía más factible, es que en todos los casos hallamos unos patrones inusuales de conducta incapaces de ser detectados por los algoritmos de seguridad de los bancos, o que si los detectan, lo hacen de forma tardía. Así, y aunque la responsabilidad de las entidades financieras es cuasi-objetiva y la carga de la prueba le corresponde a éstos, no está de más, hacerle ver a los juzgados y Tribunales, que los bancos cuentan, a menudo, con un sistema de seguridad muy frágil. El hecho de que durante un periodo de tiempo muy corto se conecten dispositivos ajenos al del cliente mediante conexiones IP también ajenas, y al mismo tiempo se produzca una multitud de movimientos bancarios con el fin de vaciar la cuenta, es un patrón inusual de conducta, especialmente cuando va precedido de la solicitud de un préstamo o de la disposición del límite máximo de un crédito, o si se ordenan multitud de transferencias inmediatas, bizums, cargos en tarjeta, etc, muchas de ellas al extranjero y casi siempre con destino a paraísos fiscales. En estos casos, además, tampoco se da un adecuado cumplimiento de la Ley de Prevención de Blanqueo de Capitales del mismo modo que los bancos incumplen gravemente la normativa vigente si se conceden préstamos sin un análisis previo de solvencia del cliente.
Por todo ello, y finalmente, cabe insistir en la necesaria purga del sentimiento de culpabilidad en el que muchas víctimas se encuentran después de sufrir un fraude como los descritos aquí, porque en la mayoría de las situaciones cabe replicar que si nuestra entidad financiera hubiera actuado conforme a la Ley y hubiera tenido unos sistemas de seguridad adecuadamente implementados, la gran mayoría de estos robos se hubieran podido evitar.
Oscar Serrano Castells
Abogado ICAB 28.288.
mala práctica bancaria 