17 jul. 2016

"Si te roban dinero, el banco es responsable" [Justicia Dixit]

Una nueva sentencia judicial lo deja muy claro: si te roban dinero de tu cuenta corriente con un ataque informático el banco es responsable. Aunque hay excepciones.

El Juzgado de Primera Instancia Número 48 de Madrid ha condenado a uno de los principales bancos españoles a indemnizar a un usuario víctima de un 'malware' que logró sustraer de su cuenta 55.275 euros. Según la sentencia, el dinero fue robado gracias a un malware conocido como Citadel / Zeus que estaba instalado en el ordenador del cliente. La responsabilidad, sin embargo, y siempre según el juez, es del banco y no del usuario, ya que este último no cometió ninguna negligencia grave y, en todo caso, le corresponde a la entidad bancaria asegurarse de que el dispositivo desde el que se accede a la cuenta no está infectado.
La Ley de Servicios de Pago establece que los usuarios son responsables de las operaciones de pago no autorizadas en aquellos casos en los que hayan cometido una negligencia grave, como lo puede ser según reza el propio texto, "no tomar las medidas de seguridad razonables". Dentro de esta definición tan abstracta, la jurisprudencia había venido entendiendo hasta ahora que se podía considerar negligencia grave tener un virus informático en cualquiera de nuestros dispositivos.
Es el banco quien debe comprobar que la operación. Poco más puede hacer un usuario que tener instalado un antivirus
En este caso la sentencia ha dictaminado que no se puede considerar una negligencia grave tener 'malware' siempre y cuando el usuario tenga instalado un programa antivirus para evitarlo. Además, el juez afirma que es el banco, en cualquier caso, el responsable de implementar las medidas tecnológicas necesarias para detectarlo.

"A pesar de que el ordenador del usuario no estaba en perfectas condiciones, este había tomado las medidas de seguridad razonables con el propósito de proteger su dispositivo instalando un sistema antivirus antes de haberse infectado. De cualquier forma, es el banco quien tiene y dispone de los medios necesarios para detectar el virus y posteriormente eliminarlo", explica el fallo judicial, que ha obligado al banco a reembolsar los 55.275 euros sustraídos al cliente, además de pagar el coste del juicio.

"Citadel es un troyano bastante popular que suele entrar en los ordenadores en forma de PDF, complemento flash o incluso antivirus, extrayendo información mediante las técnicas de 'keylogger', 'man in the middle' o incluso capturas de pantalla. Ante un ciberataque de este tipo, es el banco quien tiene que comprobar que la operación está autorizada. Poco más puede hacer un usuario que no sea tener instalado un antivirus, sobre todo cuando hay tantos dispositivos móviles, PCs y portátiles infectados", explica Pablo Fernández Burgueño, socio del despacho de abogados Abanlex.

Esta no es la primera sentencia que falla en contra de los bancos ante casos similares de ataques informáticos a sus usuarios. Es más, son ya varios los fallos judiciales que progresivamente han ido exigiendo una mayor responsabilidad a las entidades bancarias obligándolas a desplegar cada vez más medios, controles y análisis de comportamiento de sus clientes.

Una sentencia del 7 de febrero de 2013 de la Audiencia Provincial de Badajoz condenó a otro banco a indemnizar a un cliente que había sido víctima de un ataque de 'phishing'. Se trata de un modelo de abuso informático que se vale del engaño para poder llevar a cabo el fraude y que en este caso llegó a solicitar al usuario su tarjeta de coordenadas física. Lejos de considerar que hubiese existido un descuido por parte del usuario, el juez dictaminó que la responsabilidad también era de la entidad bancaria.

Según otra sentencia del 19 de diciembre de 2013 de la Audiencia Provincial de Castellón, el hecho de no tener actualizados el sistema operativo o antivirus, así como compartir la contraseña con otros usuarios, tampoco es constitutivo de una negligencia grave, por lo que la responsabilidad en este tipo de casos sigue siendo del banco.
"En los casos de operaciones bancarias no autorizadas la tendencia es atribuir al proveedor de servicios de pago la responsabilidad de demostrar que la misma fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico o cualquier otra deficiencia”, añade Burgueño.

Los bancos, obligados a proteger tus dispositivos

De esta forma, cada vez son más los tribunales que están exigiendo implementar más soluciones de seguridad y control de los dispositivos con los que accedemos al banco. Entre estas acciones adicionales se estable que las entidades pueden y deben analizar las operaciones y establecer patrones de comportamiento, analizar las conexiones entre el usuario de los medios de pago y la entidad prestadora del servicio, y llevar a cabo análisis remotos de los terminales empleados por los usuarios y sistemas, en la medida en que los primeros lo permitan.

Fuente: El Confidencial

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!