Responsabilidad por phishing

por

publicado el 30 octubre 2008

Categorías: Delitos informaticos / Jurisprudencia / Phishing

En la pasada edición de ENISE organizada por INTECO se debatió el primer día sobre la banca on-line, desde una perspectiva de la seguridad y la confianza en el usuario. A mi juicio quedó patente la preocupación por las entidades bancarias por el crecimiento y sofisticación de los ataques, sobre todo del “phishing” siendo uno de los mayores peligros en la actualidad en lo que a seguridad de la banca on-line se refiere. Asimismo, se comentó la necesidad de una mayor concienciación, o más bien de una mayor sensibilización y educación a los usuarios, sin olvidarse de aplicar mayores medidas de seguridad a los sistemas de banca on-line. Por mi parte, considero que los bancos están muy cómodos con los sistemas actuales de contraseñas y tarjetas de “barcos”, puesto que el usuario ya se los conoce y ha aprendido a utilizarlos, pero que los propios bancos no quieren (aunque ya lo tengan preparado) usar sistemas de firma electrónica reconocida (o el DNI electrónico) o avanzada por el peligro que ello conlleva en falta de conocimiento del usuario, etc.

Asimismo, hasta el momento las entidades bancarias (y las cajas) estaban más o menos tranquilas (sin entrar a valorar realmente los daños que esto les genera en imágen y la falta de denuncia de dichos casos como así lo pone de manifiesto las pocas reclamaciones en el servicio de reclamaciones del Banco de España en la materia) puesto que en caso de ataques de “phishing” consideraban que las cláusulas de los contratos de servicios financieros les protegían, al considerar que estos ataques al final se defendían con las cláusulas que hacen responsable a los usuarios del uso y la custodia de las claves personales.

Esta situación puede cambiar (a falta de una sentencia firme) tras la Sentencia del Juzgado de Primera Instancia nº 2 de Castellón, de 25 de Junio por la que se condena a una caja de ahorros a devolver el dinero que les fue sustraído a dos clientes, que aseguraban no haber dado sus claves a través de la banca electrónica. El Juzgado de Castellón entiende que este tipo de claúsulas incluídas en los contratos de la banca on-line:

Las claves facilitadas por *****, que podrán ser modificadas por los usuarios en cualquier momento, no deberán ser conocidas por otras personas, y los usuarios se responsabilizan de la utilización personal e intransferible de las mismas y de no facilitar a terceros dichas claves secretas o anotarlas en un lugar de fácil acceso a terceros. ***** queda exonerada de cualquier responsabilidad derivada de la utilización fraudulenta de las claves de identificación por culpa o negligencia de los usuarios.

Estas cláusulas infringen la normativa sobre usuarios y consumidores:

Ciertamente, y como dice la SAP de Madrid, Sección 13ª, de 11 de febrero de 2005, las referidas cláusulas desplazan la responsabilidad que incumbe al Banco hacia su cliente que no ha tenido ninguna participación en el daño causado, infringiendo así lo contemplada en la cláusula 14 de la Disposición Adicional primera de la Ley General para la Defensa de Consumidores y Usuarios en cuanto impone limitación de los derechos del consumidor.

En efecto, no es dado imponer al consumidor la renuncia indiscriminada al derecho que le pueda asistir para reclamar, frente a la entidad que le proporciona los medios técnicos necesarios para una mejor o más cómoda prestación de sus servicios, en aquellos supuestos en los que, no mereciendo la consideración de caso fortuito o fuerza mayor así como los efectivamente no imputables a la propia entidad bancaria, le ocasionen daños y/o perjuicios.

Asimismo, el Juzgado tiene en consideración el informe que el Servicio de Reclamaciones del Banco de España dictó para este caso, en el que el Servicio entiende que la entidad bancaria no ofreció una información clara y precisa sobre las recomendaciones de seguridad que debe emplear cada vez que se accede a la banca on-line:

Y si bien es cierto que ese Servicio no tiene competencia para determinar las consecuencias que de los pactos, cláusulas y condiciones establecidos en el ámbito de las relaciones regidas por normas de derecho privado puedan derivarse, ya que es competencia exclusiva de los tribunales de justicia la resolución de las discrepancias que puedan producirse de las relaciones mercantiles entre las partes, pero sí es un dato más a tener en cuenta en esta jurisdicción civil (donde ahora se han planteado cuestiones concernientes a las relaciones contractuales entre las partes) el hecho de que dicho organismo, tras examinar la documentación aportada al expediente por las partes, no haya podido constatar que la entidad hubiera ofrecido a su cliente una información clara y precisa sobre las recomendaciones de seguridad que debe emplear cada vez que accede al uso de la línea electrónica.

  • mmmm, estoy un poco dormido, pero me parece que el juzgador se cuelga del dictamen del Banco de España y califica la renuncia a reclamar como ilegal, no?. Es decir, que no entra realmente al tema de fondo sobre la responsabilidad… ( repito que estoy dormido y sin cafeina suficiente)

    Ojo, que tal y como argumenta, con los tribunales como medios exclusivos, se olvida de los ADR, Arbitrajes, muy usados en materia de consumo y de servicios financieros…

  • Pingback: Intento de fraude a los titulares de nombres de dominio: Iurismatica - Derecho TICs()

  • Pingback: meneame.net()

  • En Argentina, procesos que comenzaron el 2004 al 2006 por casos de phishing recién el año 2008-2009 se resolvieron en favor de los clientes que son el lado más débil de las dos partes contratantes.

    3) Fallo: “Rossen Bárbara c/ Banco de la Ciudad de Buenos Aires s/ Ordinario
    2) Fallo: “Traverso María del Carmen c/Banco de la Ciudad de Buenos Aires s/ordinario”
    1) Fallo: “Bieniauskas Carlos c/ Banco de la Ciudad de Buenos Aires s/ Ordinario”

    Los detalles de los casos en:
    http://fraudit.blogspot.com/2009/04/jurisprudencia-phishing-iii.html

  • Hola he recibido su contestacion por el tema del robo de dinero de mi
    > cuenta por falta de seguridad en su web.
    > Tal y como le comente anteriormente yo no he accedido a la web por ningun
    > correo ni pagina copiada de la original porque estuve viendo mis
    > movimientos
    > como siempre se ha hecho.
    > Dispongo de fotografias y video donde se observa que al entrar en su
    > pagina
    > el ssl y verisign estan activados y sin embargo salta el aviso de entrada
    > de
    > coordenadas,entonces no es tan seguro como ustedes afirman y estos datos
    > no
    > estan cifrados.
    > Siempre se dice que las paginas falsas son identicas a las originales y
    > que
    > si vemos cambios en la pagina que no sigamos con el proceso.Ahora hemos
    > pedido otra nueva tarjeta y si que hay cambios en la pagina de barclays y
    > aqui nadie ha informado de nada.otro fallo mas.
    > El señor interventor que me atendio desde el principio me dijo que el
    > limite
    > para que salte una alarma por transferencia efectuada es de 3000 €,la
    > segunda transferencia que me hicieron es de 3000,34 € y nadie se ha dado
    > cuenta,otro fallo mas.
    > Ahora el sr interventor ya si que me comenta que han bajado este limite a
    > 1500 €,Que casualidad que ha sido justo despues de haberme pasado esto a
    > mi,(desconfianza)
    > El señor interventor con su buena fe e intentando hacer las cosas lo mas
    > rapido posible hizo sus llamadas a los bancos pertinentes para paralizar
    > las
    > transferencias que no se habian cobrado aun.Estando en la sucursal me
    > recibe
    > una llamada y dice que una la acaban de hacer efectiva(3000€ menos ya
    > vamos
    > por 12000€).Al volver de poner la denuncia otros 3000 € menos (ya van
    > 15000€)El dia que yo fui informado fue el 4-3-10 y el pasado dia18 al
    > personarme en la sucursal es cuando tengo la noticia que habien cobrado
    > una
    > mas(total 18000€).No se podria llamar por telefono para informarme y no
    > dejar pasar 14 dias para tener noticias de este hurto.
    > .El señor interventor dice que como los tramites para paralizar las
    > transferencias se hicieron por telefono no ha quedado constancia de la
    > conversacion,las consultas telefonicas con los bancos no son grabadas para
    > que quede constancia,no se podria haber enviado un misero fax y asi tener
    > un
    > documento para probar que se ha pedido una paralizacion del cobro
    > momentaneamente hasta que se pusiera la denuncia en la guardia civil.
    > Sigo estando muy a disgusto con vuestra forma de llevar este tema siempre
    > echandome la culpa a mi,que soy vuestro cliente.
    > Espero que tomeis en consideracion esta informacion y sea devuelto mi
    > dinero
    > robado en su entidad por falta de seguridad,de otra forma tomare las
    > medidas
    > legales oportunas en este caso e informare al banco de españa y a los
    > medios
    > de comunicacion del citado robo.
    > Adjunto fotografias sobre la seguridad ssl y verisign que no ha sido
    > efectiva en este caso.
    >
    >

  • el caso anterior es en el banco barclays

  • Pingback: Consideración de abusiva la cláusula de exoneración de responsabilidad de los bancos en los casos de phishing « ACCDeley()