Las ciberestafas, tanto en bancos como en fintech están a la orden del día. Por la pandemia del COVID-19 cambiaron las conductas de consumo, con una abrupta movilización de clientes de los canales bancarios presenciales a los virtuales, donde se incrementaron fuertemente los fraudes, especialmente por el método conocido como phishing.
"Es fácil identificar el incremento de ciberestafas si tomamos como ejemplo una población hiper vulnerable como jubilados o pensionados, donde se generó un aumento del 300% de los ciberdelitos, con especial énfasis en materia de defraudación", remarca en diálogo con iProUP Matías Werner, del sector Information Governance & Privacy Services, de PwC AC Buenos Aires.
A los ciberdelincuentes la Justicia casi nunca llega, porque las instituciones no están preparadas para ello todavía.
Por ese motivo, lo que discuten los jueces hoy es quién pierde a manos del defraudador, ¿el particular al que le vaciaron la cuenta por haberse distraído, o el banco por no haber provisto mejores herramientas de seguridad al cliente?
Las ciberestafas y el método phishing
"El phishing es la suplantación de identidad. Se apunta a engañar y manipular a la persona para que revele datos sensibles", precisa el abogado Flavio Lowenrosen, y agrega que "esos datos si son sobre cuentas bancarias, pueden usarse para la realización de estafas".
"El engaño puede realizarse a través de correos electrónicos falsos o falsas páginas webs de instituciones donde se deben completar datos, o a través de fichas de concursos, y por cualquier medio masivo digital que los estafadores acondicionan para convertirlo en un instrumento donde se carga información que parece ser real, pero no lo es", ejemplifica.
"El pishing suele afectar a los usuarios en general, pero con particular hincapié en los que se denominan hiper vulnerables, por razones de edad o situación social. Es por ello, que atento la legislación vigente, los bancos deben adoptar medidas que los protejan, informativas y operativas", considera Lowenrosen.
Y añade: "El pishing se traduce en otorgamientos de falsos créditos, en falsos pagos que realizan los consumidores, en falsos retiros de dinero, entre otros", remarca.
Los jueces aún no terminan por definir si los bancos o los clientes son responsables ante una ciberestafa
"Desde páginas falsas posicionadas como primer resultado en Google para que los ansiosos ingresen sin darse cuenta, hasta llamadas por teléfono suplantando la identidad de funcionarios públicos, o el ya clásico caso del comprador que transfiere dinero de más y luego llama para que se lo reintegremos porque fue un error de tipeo (cuando en realidad solicitó un préstamo en nuestro nombre y es éste el dinero que ingresó a nuestra cuenta bancaria)", completa el especialista Ismael Lofeudo.
Quién debe pagar por una ciberestafa
Frente a este escenario, la pregunta es si un banco debe o no indemnizar a su cliente ante una ciberestafa, ya que puede ser producto de falta de seguridad del banco o bien una negligencia o descuido del cliente.
"La respuesta no puede ser taxativa. Sin duda, la entidad debe procurar brindar la máxima seguridad a los clientes cuando estos se encuentran dentro de la sucursal, y lo mismo ocurre cuando usan canales digitales", remarca Lofeudo.
Werner, por su parte, identifica las siguientes tres situaciones:
1. Responsabilidad del banco: no tener una actitud proactiva en cuanto al monitoreo y control puede implicar responsabilidad, más allá de que cumpla con las medidas de concientización, capacitación, integridad y registro y gestión de incidentes.
Este fue el argumento de la primera condena a un banco por un ciberfraude, en un caso civil y comercial de La Plata contra el Banco Provincia que aún no está firme.
2. Culpa de la víctima: para otros jueces, el consumidor responde ante su negligencia de otorgar las claves y debe afrontar las consecuencias de su falta de celo a la hora de proteger su cuenta.
¿Hasta dónde llega la obligación de seguridad de la entidad financiera si su cliente, pese a todos los recaudos que se tomaron, compartió sus claves con un desconocido por teléfono?, se preguntaron quienes integraron el tribunal que rechazó una demanda contra un banco. Se trató de la Cámara Civil y Comercial de Gualeguaychú, Sala 1, en un caso contra el Banco de Entre Ríos.
3. Culpa compartida: el banco es negligente al mantenerse pasivo frente a movimientos extraños en las cuentas de sus clientes, pero el cliente también tiene parte de la culpa por haber otorgado sus claves.
La responsabilidad del banco frente al phishing
Lowenrosen asevera que "el banco es responsable por los daños que soportan los usuarios como consecuencia del phishing si no adoptó las medidas de seguridad debidas".
Así, el pasado 11 de febrero, un juzgado de la ciudad de San Francisco Córdoba, le dio la razón a Nicolás Martín Urquía contra el BBVA ARGENTINA S.A. y condenó a la entidad a indemnizarlo por daños y perjuicios.
El juez afirmó que "cualquier daño sufrido por el consumidor en el ámbito de la relación de consumo compromete la responsabilidad objetiva del proveedor", y agregó "los bancos deben asegurar a sus usuarios la seguridad de estos entornos digitales, debiendo desplegar herramientas de ciberseguridad".
En el caso Suárez, el Banco Provincia depositó en la cuenta de la víctima un préstamo de importante cuantía y un adelanto de haberes, con seguidas transferencias a cuentas de terceros.
"El juez reconoció la relación de consumo, y consideró que la actividad fraudulenta se basó en la falta de medidas hábiles del banco para asegurarse la identidad del usuario y sumar a ellos sistemas de alerta por la existencia de movimientos inusuales por fuera de los patrones habituales del consumidor", advierte Lowenrosen.
Los ciberdelincuentes utilizan e-mails falsos o incluso portales de instituciones falsos para conseguir datos de las víctimas
Estrategias de los bancos frente a las ciberestafas
"En la mayoría de los casos, los bancos no sólo deben reintegrar el dinero, sino indemnizar a los clientes por los daños sufridos", afirmó Lofeudo.
"Pero muchas veces especulan con las necesidades de los consumidores, se niegan a resarcir y sólo ofrecen la restitución del dinero, obligando a los consumidores vulnerables a demandar civilmente para reclamar la reparación del daño causado", alerta.
"Esta actitud de mala fe y en contra de los derechos de los consumidores también es asumida por financieras y por las denominadas billeteras virtuales", indica. "Muchas estrategias de los estafadores pueden ser detectadas por los bancos, ya que una vez conseguidas las claves de acceso mediante engaños, las acciones son casi siempre las mismas", explica.
"Los delincuentes ingresan desde un nuevo dispositivo a la cuenta de la víctima, por lo cual la dirección IP desde la cual se realiza la conexión es nueva. Luego cambian las claves de acceso, suelen modificar los correos electrónicos y el teléfono para que no lleguen las alertas. Luego elevan los montos para transferencias, dan de alta nuevos destinatarios y comienzan a vaciar la cuenta en grandes transferencias", relata.
"Siempre es el mismo modus operandi, que puede ser fácilmente detectado por las entidades si tuvieran intención de hacerlo", enfatiza Lofeudo.
Medidas de seguridad que deben adoptar los bancos
"El banco como proveedor, debe cumplir con deberes y obligaciones, tales como el deber de información y la obligación de que sus servicios sean brindados, tanto de forma personal como por medio de elementos mecánicos o electrónicos, con total seguridad para el cliente", indica la abogada Bárbara V. Peñaloza.
"Ante el aumento de ciberfraudes, con la modalidad conocida como "phishing", quedó en evidencia que los bancos no cumplían con estas obligaciones ni tampoco con las establecidas por el BCRA que les ha exigido contar con "mecanismos de seguridad informática" que garanticen la confiabilidad de la operatoria", asegura.
"Los bancos, aun pudiendo hacerlo, no han adoptado medidas de seguridad para detectar acciones inusuales en las cuentas de sus usuarios. Tampoco para verificar la identidad de quien solicita un préstamo online, y no brindan canales de comunicación para solicitar ayuda o denunciar estos hechos 24/7, precisa.
"No alcanza con advertir que las claves no deben ser compartidas para liberarse de responsabilidad, sino que al diseñar su homebanking debe prever los riesgos del sistema de validación frente a un universo de usuarios (desde adolescentes nativos digitales hasta jubilados) e implementar medidas para mitigar posibilidades de accesos no autorizados", explica Federico Tjor, del estudio Golber.
"Hay soluciones técnicas de validación de identidad por biometría. El Sistema de Identificación Digital (SID) del ReNaPer permite contrastar, entre otros elementos, una selfie (prueba de vida) del usuario contra sus bases de datos. La no utilización de dicha tecnología para validar operaciones críticas (como toma de préstamos o transferencias a desconocidos) es inexcusable", advierte.
"La segunda área de responsabilidad nace en la normativa del BCRA, que impone requisitos mínimos de gestión, implementación y control de riesgos relacionados con tecnología informática, que incluyen medidas de verificación positiva antes de otorgar un crédito pre aprobado, como así también monitorear actividades no habituales", indica Tjor.
Cuando la culpa es del cliente por negligencia
"Cabe la pregunta sobre si en algún caso la culpa es de la víctima. Y la respuesta es que sí", reconoce Lofeudo. En una demanda por fraude con inversiones en criptoactivos, la Sala 5 de la Cámara Criminal y Correccional nacional sostuvo: "No se aprecia en el caso un supuesto con aristas delictivas, sino una inversión de alto riesgo dado por su carácter virtual y falta de regulación legal.".
"Es decir que en plataformas de alto riesgo, puede perder su derecho a reclamar si incurre en una negligencia", dice Lofeudo. En el caso "Kosten c/ Mercadolibre", la Sala D de la Cámara Comercial señaló que el cliente "ha sido víctima de su propia torpeza", ya que fue estafado con la publicación de un auto que nunca existió y por el cual se le solicitó un adelanto de fondos.
"El comprador jamás vio el auto, ni realizó diligencias para verificar la situación jurídica del mismo, que constituían los dos recaudos mínimos necesarios para adquirirlo", cuenta Lofeudo. Pero estos casos son más bien aislados y los jueces coinciden en general en atribuir responsabilidad al dueño de la plataforma digital, advierte.
Recomendaciones para no caer en ciberestafas
Lofeudo enumera las principales medidas de prudencia para no caer en ciberestafas:
• Activar la verificación de dos pasos en servicios de redes sociales como WhatsApp, Facebook, Instagram o Twitter.
• Activar el doble factor de autenticación en aplicaciones bancarias, y no utilizar las aplicaciones que no brinden esa posibilidad.
• Jamás hay que suministrar los datos de tarjetas de crédito a nadie, por más que nos afirmen que son de la empresa.
• Las empresas de tarjetas de crédito nunca regalan nada
• Los bancos jamás llaman para consultar sobre los servicios o para encuestas, o para hacer saber números de teléfonos útiles
• Si se recibe una transferencia de un desconocido, comunicarlo al banco
"Habitualmente los estafadores realizan llamados los viernes después del horario bancario, para que no podamos conseguir información hasta el lunes, y de esa forma tienen varios días para engañarnos, o varios días hasta que podamos realizar la denuncia correspondiente en el banco o en la policía", advierte.
"Otra maniobra habitual es la falsificación de comprobantes de transferencias por compra de un producto. No debemos fiarnos, y siempre hay que esperar a que los fondos se acrediten en nuestra cuenta", enfatiza.
También las telefónicas son parte en la ciberestafa
"Finalmente existen terceros con altísima responsabilidad subsidiaria: las empresas proveedoras de telefonía celular, que fallan a la hora de verificar la identidad de sus usuarios", afirma Tjor.
"Las telefónicas permiten el alta, por parte de estafadores, de nuevos chips (SIM) con el número de línea de las víctimas, (conocido como SIM swapping), lo que a su vez les abre un universo de posibles estafas (recupero de claves de homebanking, de cuentas de correo electrónico y diversos servicios, Whatsapp, Instagram, Facebook, etc)", describe.
"Por ello, el envío de códigos por SMS resulta vulnerable y los bancos, en conocimiento de ello, también resultan responsables por negligencia al continuar permitiendo tal método como segundo factor de autenticación", remata Tjor.
"La seguridad en materia de protección del patrimonio de los usuarios bancarios debe ser llevada a cabo por las entidades para satisfacer sus derechos a la protección de sus intereses económicos, resguardar y garantizar su derecho de propiedad, como también a recibir servicios en condiciones de calidad y seguridad cuya prestación mantenga protegido su patrimonio", concluye Lowenrosen.