FINTECH y Ciberseguridad
En este blog nos hemos venido ocupando de diferentes manifestaciones del fenómeno “fintech” -término que nace de la contracción de los términos anglosajones “finance” y “technology”- que sirve para denominar, en un sentido amplio, aquellas actividades financieras que usan de las modernas tecnologías digitales de la información y comunicación para mejorar la eficiencia en la prestación de los servicios financieros. En particular, se trata de una tendencia imparable que –por sus ventajas evidentes- inunda los tres sectores del mercado financiero (bancario, asegurador y del mercado de valores) y que obliga a los reguladores y a los supervisores a replantear sus esquemas de trabajo tradicionales para adaptarlos al nuevo contexto digital.
Pues bien, estos indudables beneficios del fintech tienen –como siempre sucede con los fenómenos novedosos- sus riesgos típicos que se potencian o “apalancan” gracias, precisamente, al uso de las nuevas tecnologías. Y, por ello, el entusiasmo generalizado que despiertan estos nuevos productos y servicios digitales debe venir acompañado de un esfuerzo en la ciberseguridad para evitar que “el factor humano” -que siempre esta tras los progresos tecnológicos- conduzca a fraudes masivos que lesionen los intereses legítimos de inversores, asegurados o clientes bancarios.
Marco legal: la responsabilidad bancaria conforme a la Ley 16/2019 de Servicios de Pago
Dado que la mayor parte de los fraudes informáticos en el mercado bancario se cometen con ocasión de pagos y cobros, hay que partir de la Ley 16/2009, de 13 de noviembre, de servicios de pago que regula los servicios de pago que se presten en territorio español, incluyendo la forma de prestación de dichos servicios, el régimen jurídico de las entidades de pago, el régimen de transparencia e información aplicable a los servicios de pago, así como los derechos y obligaciones respectivas tanto de los usuarios de los servicios como de los proveedores de los mismos.
Dichos servicios de pago abarcan los servicios que permiten el ingreso o la retirada de efectivo en una cuenta de pago y todas las operaciones necesarias para la gestión de la propia cuenta de pago; la ejecución de operaciones de pago, incluida la transferencia de fondos, a través de una cuenta de pago en el proveedor de servicios de pago del usuario u otro proveedor de servicios de pago; la ejecución de operaciones de pago cuando los fondos estén cubiertos por una línea de crédito abierta para un usuario de servicios de pago (ejecución de adeudos domiciliados, incluidos los adeudos domiciliados no recurrentes; ejecución de operaciones de pago mediante tarjeta de pago o dispositivo similar; ejecución de transferencias, incluidas las órdenes permanentes); la emisión y adquisición de instrumentos de pago; el envío de dinero; etc.
El sistema de prevención de fraudes informáticos y de imputación de las responsabilidades patrimoniales derivadas de los mismos entre banco y cliente (sin perjuicio de las de los propios estafadores) se basa en los 4 factores siguientes:
a) El deber del usuario de servicios de pago (cliente) de notificar al proveedor (banco) las operaciones no autorizadas o las operaciones de pago ejecutadas incorrectamente, a fin de poder obtener su rectificación (art.29).
b) El deber del proveedor de los servicios de pago de probar la autenticación y ejecución de las operaciones de pago, cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta. En concreto, el proveedor deberá demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico o cualquier otra deficiencia (art.30).
c) La responsabilidad del proveedor de servicios de pago (banco) en caso de operaciones de pago no autorizadas porque, cuando se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante le devolverá de inmediato el importe de la operación no autorizada y, en su caso, restablecerá en la cuenta de pago en que se haya adeudado dicho importe el estado que habría existido de no haberse efectuado la operación de pago no autorizada (art.31).
d) La responsabilidad del ordenante (cliente) en caso de operaciones de pago no autorizadas en dos hipótesis: Si se trata de operaciones de pago no autorizadas resultantes de la utilización de un instrumento de pago extraviado o sustraído, el ordenante soportará las pérdidas derivadas hasta un máximo de 150 euros. Si se trata de operaciones de pago no autorizadas que sean fruto de su actuación fraudulenta o del incumplimiento, deliberado o por negligencia grave, de una o varias de sus obligaciones, el ordenante soportará el total de las pérdidas derivadas.
Modalidades de fraudes informáticos en los mercados financieros
Nuestras Audiencias Provinciales se han referido, en sus sentencias, a los distintos tipos de fraudes informáticos en el negocio bancario que las entidades deben conocer para adoptar las medidas oportunas que los impidan o cuando menos, limiten los daños. Entre tales fraudes han enumerado la clonación de tarjeta en comercio o en un banco «pisica» o gato en lengua rumana; el lazo libanés o falsa boca en cajero en que se introduce la tarjeta, skimming o carcasa superpuesta que tiene diferentes variantes y el phising o el pharming, similar al anterior, que consiste en introducirse en un servidor ya sea local o ISP, a través de hackers o a través de la introducción de virus o spyware en los ordenadores, o keyloogers que registra todas las teclas que el usuario oprime en el teclado para capturar claves, contraseñas, etc…, o el hacking o variantes del hijacking o secuestro o modificación de (IP, o page, o módem, o browser, etc…)
La Sentencia de la Audiencia Provincial de Vizcaya de 10 de noviembre de 2016: responsabilidad bancaria por falta de medidas de seguridad que eviten las consecuencias del “pishing”
Esta Sentencia de ubica en un contexto de jurisprudencia menor sobre los fraudes informáticos en el mercado bancario integrada por las Sentencias siguientes:
La Sentencia de 20 de junio de 2012 de la Sección 2ª de la Audiencia Provincial de Bilbao (PROV 2013\132086).
La Sentencia núm.91/2013, de 7 de febrero de 2013 de la Sección 2ª de la Audiencia Provincial de Badajoz (Recurso de apelación 3/2013, PROV 2013\91133).
La Sentencia núm.151/2013, de 7 de marzo de 2013 de la Sección 14ª de la Audiencia Provincial de Barcelona (Recurso de apelación 150/2012, PROV 2013\171665).
La Sentencia núm.1027/2013, de 14 de mayo de 2013 de la Sección 4ª de la Audiencia Provincial de Zaragoza (Recurso de apelación 116/2013, PROV 2013\197766).
La Sentencia núm.178/2015, de 4 de mayo de 2015 de la Sección 9ª de la Audiencia Provincial de Madrid (Recurso de apelación 661/2013, PROV 2015\151311).
Esta Sentencia núm.429/2016, de 10 de noviembre de 2016, de la Sección 3ª de la Audiencia Provincial de Vizcaya (Recurso de apelación 386/2016, AC 2016\2241) estima el recurso de apelación interpuesto por la dos consumidores contra la Sentencia del Juzgado de 1ª Instancia nº 9 de Bilbao de 27 de Junio de 2016, la revoca y estima la demanda interpuesta por los dos consumidores recurrentes contra un banco al que condena a abonar a los actores la cantidad de 59.327,18 euros más los intereses legales de dicha cantidad por falta de medidas de seguridad que evitaran las consecuencias del “pishing” de las cuentas de los demandantes.
Supuesto de hecho
a) Los consumidores demandantes tenían contratado con el Banco demandado el servicio de banca por internet.
b) A través de la línea “on line” del Banco, sin que el mismo detectara ninguna anomalía; se realizó un tipo de fraude informático sobre las cuentas de los clientes denominado “phising” que proviene de la traducción del término inglés “pescar” (en concreto, “phishing” es la contracción de password harvesting fishing: cosecha y pesca de contraseñas) y en el que se utiliza a unas personas llamadas «muleros» que abren una cuenta corriente a la que se transfieren los fondos, y después éste los transfiere a otra o dispone de los mismos, cobrando por ello una comisión.
c) En concreto, se realizaron operaciones que no solo conllevaron retiradas de fondos de las cuentas de los actores sino que también se transmitieron órdenes de ventas de valores y, tras recibir la cantidad se transferían a cuentas de terceros; en dichos actos se aprobaban por el Banco órdenes de venta que no verificaron su validez.
Conflicto jurídico
a) Los consumidores afectados interpusieron demanda en reclamación de cantidad contra el banco por responsabilidad debida a la falta de medidas de seguridad que evitaran las consecuencias del “pishing” de las cuentas de los demandantes.
b) La Sentencia del Juzgado de 1ª Instancia nº 9 de Bilbao de 27 de Junio de 2016 desestimó la demanda al imputar responsabilidad a los demandantes por entregar sus claves bancarias desconociendo que precisamente el fraude se comete a partir de que los estafadores se introducen en la línea del banco y solicitan las claves, creando así la apariencia a los clientes de validez de la solicitud.
c) El recurso de apelación parte de la base de que el propio Banco admite que fue un fraude no detectado, de que no consta probado el error grave que se imputa a los demandantes y de que no consta acreditado por el Banco que su sistema de operar “on line” sea seguro y fiable, tal y como se le exige y se recuerda por el Banco de España. Por lo que solicita la revocación de la Sentencia, si bien rebaja su solicitud de reintegro por parte de la demandada de 59.327,18 euros al haber sido recuperada posteriormente a la presentación de la demanda la cantidad de 27.548,66 euros.
Criterio de solución de la Audiencia Provincial de Vizcaya
La Sentencia de la Sección 3ª de la Audiencia Provincial de Vizcaya de 10 de noviembre de 2016 estima el recurso de apelación, revoca la Sentencia de 1ª Instancia y estima la demanda.
Para ello, parte de la definición del phishing que se origina con la suplantación de la identidad del banco por parte del phisher con la finalidad de adquirir información confidencial sobre contraseñas de cuentas bancarias, tarjetas de crédito o cualquier otra información en relación con el banco, que permita entrar en las cuentas de los usuarios en Internet de banca electrónica. El internauta recibe un correo electrónico o cualquier mensaje instantáneo, a través del cual se le informa de que debe cambiar sus claves bancarias, proporcionándole un link a través del cual pueda acceder a la página web de la supuesta entidad bancaria y allí realizar la modificación aconsejada. En la mayoría de los métodos de phishing se utilizan técnicas de engaño, a través de las cuales el phisher utiliza contra la víctima el propio código de programa del banco o servicio similar, adquiriendo la página web la verdadera apariencia de la entidad bancaria. Igualmente, resulta muy habitual que el internauta reciba un correo en el que se le informe de que debe verificar sus cuentas, seguido por un enlace que parece la página web oficial de la entidad bancaria.
En concreto, la estimación del recurso y la demanda obedecen a razones que se explicitan en el Fundamento de Derecho Cuarto y se sintetizan cuando señala: “Dichas circunstancias vienen a contemplar un sistema bancario electrónico diseñado por la entidad demandada adoleciendo de seguridad, la oferta a los clientes para operar a través de dicha banca electrónica y que es un hecho conocido de que cada vez se impone más por las entidades bancarias a los clientes, eliminando los servicios en ventanilla, se publicita por ser seguro contener los filtros para detectar fraudes y operar de forma fiable siendo así que en cuanto se ha probado la mecánica de la facilidad para operar por terceros no autorizados a través de la banca electrónica de la demandada dificilmente podemos decir de que el Banco demandado no haya incurrido en negligencia grave de sus obligaciones, se han permitido efectuar operaciones bancarias (30 movimientos) sin superar ningún filtro cuando la legislación bancaria tiende precisamente a establecer que se efectuen y se establezcan diferentes controles por los bancos en protección de los clientes, tendiendo a establecerse una responsabilidad cuasi objetiva de las entidades bancarias en cuanto deben soportar los riesgos de su actividad profesional en cuanto que se establece con el cliente una responsabilidad contractual del servicio de depósito, custodia y pagos de las cuentas del cliente”.
La Sentencia de la Sala Segunda de lo Penal del Tribunal Supremo de 16 de febrero de 2017: manipulación de un dominio de internet de una empresa pública española para estafar a varias empresas extranjeras
Otra manifestación de los fraudes informáticos en los mercados financieros y del imprescindible desarrollo de la ciberseguridad nos la ofrece la Sentencia núm.92/2017, de 16 de febrero de 2017, de la Sección 1ª de la Sala Segunda de lo Penal del Tribunal Supremo (Ponente: Excmo. Sr. Cándido Conde-Pumpido Touron, Recurso de casación 1245/2016, RJ 2017\647, LA LEY 4627/2017).
Supuesto de hecho
a) A partir del mes de agosto de 2010, un conjunto de personas, actuando desde varios países (fundamentalmente Nigeria y España) decidieron aprovecharse del prestigio internacional de MAYASA, MINAS DE ALMADÉN Y ARRAYANES SA, empresa española dedicada a la explotación y comercialización de recursos naturales, en especial mercurio, para obtener un beneficio económico injustificado.
b) A tal efecto, crearon el dominiomayasaespana.com, alojado en el Reino Unido. Seguidamente desarrollaron una página web a la que se accedía a través de dicho dominio, imitando el estilo, diseño y contenido de la página web www.mayasa.es, perteneciente a la empresa española, eliminando los datos de contacto auténticos y sustituyéndolos por otros.
c) De esta manera, cuando los clientes de MAYASA accedían por error a la página web alojada en el dominio www.mayasaespana.com, se les facilitaban teléfonos de contacto y direcciones de correo electrónico que correspondían a personas que actuaban en concierto con los que habían creado la falsa página web. Así, los clientes de MAYASA, creyendo estar en contacto con empleados o agentes comerciales de dicha entidad, contactaron con personas que nada tenían que ver con la empresa, quienes, actuando en colaboración con los que habían creado la falsa página web, ofrecían partidas de mercurio a precios ventajosos, exigiendo que se remitiera a las cuentas por ellos designadas cantidades en efectivo por adelantado, en concepto de señal o como confirmación de los pedidos.
d) Seguidamente, el grupo de personas abrían las cuentas corrientes donde se producirían los ingresos y remitían posteriormente las cantidades obtenidas fuera del país, bien directamente mediante transferencias a empresas extranjeras, bien mediante sucesivas retiradas de dinero en efectivo, para su posterior reenvío al extranjero.
e) En concreto, los tres acusados, en ejecución del plan preconcebido, lograron que 4 empresas extranjeras les adelantaran cantidades de dinero ocasionándoles los siguientes daños: a una empresa radicada en la India, 17.283,44 euros; a una empresa radicada en Arabia Saudí, 23.154 euros; a una empresa radicada en Singapur, 99.799,95 euros; y a una empresa radicada en Turquía, 14.000 euros.
Conflicto jurídico
a) El Juzgado de Instrucción num. 17 de Valencia, instruyó Procedimiento Abreviado con el num. 64/2015 y, una vez concluso, lo remitió a la Audiencia Provincial de Valencia.
b) La Sección 4ª de la Audiencia Provincial de Valencia dictó Sentencia de 9 de mayo de 2016 (JUR 2016, 146655) en la que se condenó a los acusados como autores responsables de un delito continuado de estafa, en concurso medial con un delito continuado de falsedad en mercantiles, y de un delito de participación en organización criminal a las penas de 5 años y 3 años de prisión, la accesoria de inhabilitación especial para el derecho de sufragio pasivo durante el tiempo de la condena, y multa de diez meses, con una cuota diaria de diez euros, con responsabilidad personal subsidiaria de un día de privación de libertad por cada dos cuotas no satisfechas. Condenó, asimismo, a los acusados, de forma solidaria y por partes iguales deberán satisfacer diferentes indemnizaciones a las 4 empresas extranjeras estafadas y a la entidad MINAS DE ALMADEN Y ARRAYANES S.A. (MAYASA) en la suma de 216.436 Euros, por los daños y perjuicios irrogados.
c) La Sentencia de la Sala Segunda de lo Penal del Tribunal Supremo de 16 de febrero de 2017 decidió no haber lugar a los recursos de casación por infracción de ley e infracción de precepto constitucional, interpuestos por los tres acusados y por la acusación particular (MAYASA) –reclamando una indemnización superior a la concedida- contra la Sentencia de fecha 9 de mayo de 2016 (JUR 2016, 146655), dictada por la Sección 4ª de la Audiencia Provincial de Valencia.