Responsabilidad por phishing

por Jorge Campanillas Ciaurriz

publicado el 30 octubre 2008

Categorías: Delitos informaticos / Jurisprudencia / Phishing

En la pasada edición de ENISE organizada por INTECO se debatió el primer día sobre la banca on-line, desde una perspectiva de la seguridad y la confianza en el usuario. A mi juicio quedó patente la preocupación por las entidades bancarias por el crecimiento y sofisticación de los ataques, sobre todo del «phishing» siendo uno de los mayores peligros en la actualidad en lo que a seguridad de la banca on-line se refiere. Asimismo, se comentó la necesidad de una mayor concienciación, o más bien de una mayor sensibilización y educación a los usuarios, sin olvidarse de aplicar mayores medidas de seguridad a los sistemas de banca on-line. Por mi parte, considero que los bancos están muy cómodos con los sistemas actuales de contraseñas y tarjetas de «barcos», puesto que el usuario ya se los conoce y ha aprendido a utilizarlos, pero que los propios bancos no quieren (aunque ya lo tengan preparado) usar sistemas de firma electrónica reconocida (o el DNI electrónico) o avanzada por el peligro que ello conlleva en falta de conocimiento del usuario, etc.

Asimismo, hasta el momento las entidades bancarias (y las cajas) estaban más o menos tranquilas (sin entrar a valorar realmente los daños que esto les genera en imágen y la falta de denuncia de dichos casos como así lo pone de manifiesto las pocas reclamaciones en el servicio de reclamaciones del Banco de España en la materia) puesto que en caso de ataques de «phishing» consideraban que las cláusulas de los contratos de servicios financieros les protegían, al considerar que estos ataques al final se defendían con las cláusulas que hacen responsable a los usuarios del uso y la custodia de las claves personales.

Esta situación puede cambiar (a falta de una sentencia firme) tras la Sentencia del Juzgado de Primera Instancia nº 2 de Castellón, de 25 de Junio por la que se condena a una caja de ahorros a devolver el dinero que les fue sustraído a dos clientes, que aseguraban no haber dado sus claves a través de la banca electrónica. El Juzgado de Castellón entiende que este tipo de claúsulas incluídas en los contratos de la banca on-line:

Las claves facilitadas por *****, que podrán ser modificadas por los usuarios en cualquier momento, no deberán ser conocidas por otras personas, y los usuarios se responsabilizan de la utilización personal e intransferible de las mismas y de no facilitar a terceros dichas claves secretas o anotarlas en un lugar de fácil acceso a terceros. ***** queda exonerada de cualquier responsabilidad derivada de la utilización fraudulenta de las claves de identificación por culpa o negligencia de los usuarios.

Estas cláusulas infringen la normativa sobre usuarios y consumidores:

Ciertamente, y como dice la SAP de Madrid, Sección 13ª, de 11 de febrero de 2005, las referidas cláusulas desplazan la responsabilidad que incumbe al Banco hacia su cliente que no ha tenido ninguna participación en el daño causado, infringiendo así lo contemplada en la cláusula 14 de la Disposición Adicional primera de la Ley General para la Defensa de Consumidores y Usuarios en cuanto impone limitación de los derechos del consumidor.

En efecto, no es dado imponer al consumidor la renuncia indiscriminada al derecho que le pueda asistir para reclamar, frente a la entidad que le proporciona los medios técnicos necesarios para una mejor o más cómoda prestación de sus servicios, en aquellos supuestos en los que, no mereciendo la consideración de caso fortuito o fuerza mayor así como los efectivamente no imputables a la propia entidad bancaria, le ocasionen daños y/o perjuicios.

Asimismo, el Juzgado tiene en consideración el informe que el Servicio de Reclamaciones del Banco de España dictó para este caso, en el que el Servicio entiende que la entidad bancaria no ofreció una información clara y precisa sobre las recomendaciones de seguridad que debe emplear cada vez que se accede a la banca on-line:

Y si bien es cierto que ese Servicio no tiene competencia para determinar las consecuencias que de los pactos, cláusulas y condiciones establecidos en el ámbito de las relaciones regidas por normas de derecho privado puedan derivarse, ya que es competencia exclusiva de los tribunales de justicia la resolución de las discrepancias que puedan producirse de las relaciones mercantiles entre las partes, pero sí es un dato más a tener en cuenta en esta jurisdicción civil (donde ahora se han planteado cuestiones concernientes a las relaciones contractuales entre las partes) el hecho de que dicho organismo, tras examinar la documentación aportada al expediente por las partes, no haya podido constatar que la entidad hubiera ofrecido a su cliente una información clara y precisa sobre las recomendaciones de seguridad que debe emplear cada vez que accede al uso de la línea electrónica.