La vulnerabilidad de las personas mayores ante la digitalización de los servicios bancarios. “Soy viejo, pero no idiota”, la responsabilidad es del banco.
Son diversas las modalidades delictivas que se perpetran en el mundo bancario, desde el robo de los datos de las tarjetas a la clonación de las mismas, pasando por la apropiación de las contraseñas de acceso a la banca online, la suscripción de productos bancarios no autorizados como créditos o nuevas tarjetas vinculadas a la cuenta bancaria o, entre muchas otras, las órdenes de transferencias no consentidas.
En todo caso, sepan los consumidores que el marco jurídico vigente les permite, a priori, reclamar a su entidad bancaria los fondos sustraídos.
Este tipo de delitos informáticos aumentan cada día. Las denuncias se acumulan en las oficinas de las fuerzas y cuerpos de seguridad y en los Juzgados de Instrucción, y las víctimas se sienten impotentes, culpándose, en la mayoría de los casos, por haberse dejado engañar.
Pero lo cierto es que el incremento de este tipo de delitos, salvo excepciones, no suele ser culpa de la falta de conocimientos, de la edad, o de la diligencia del engañado, sino una consecuencia inevitable del modelo de negocio por el que los bancos están apostando. Este modelo se basa en una digitalización de los servicios bancarios que conlleva un aumento en el riesgo de sustracción ilícita de los fondos depositados por el consumidor.
La banca tradicional, cuya función principal es la salvaguarda del dinero que le es entregado por sus clientes para su custodia, tenía oficinas en cada esquina y a cinco minutos del domicilio de sus clientes. El cajero del banco conocía personalmente a sus clientes e incluso a sus parientes, sabía cuáles eran su operativas habituales y controlaba las operaciones que se hacían. Pero en la actualidad, se han cerrado un gran número de oficinas y se han centralizado y reducido los servicios presenciales. Existen pocas oficinas, y aunque son de imagen moderna y distendida en ellas se dispensa un trato impersonal. Se intenta que la mayoría de las operaciones se hagan por la banca online y el control que antes hacia el empleado del banco se sustituye por controles de seguridad basados en contraseñas de acceso y datos que no garantizan la verificación de la identidad real del ordenante.
A pesar de las nuevas posibilidades que brinda la tecnología y sus evidentes ventajas (inmediatez, automatización, ubicuidad, …) la banca online y las nuevas tecnologías comportan, ineludiblemente, un mayor riesgo para la seguridad del dinero custodiado por los bancos.
La digitalización de los servicios bancarios adolece de deficiencias estructurales que permiten a terceros que por cualquier medio se hayan apoderado de las contraseñas o datos de acceso, pasar por las puertas digitales del banco y retirar el dinero depositado por sus clientes de forma fraudulenta y sin ser detectados. Estas debilidades son conocidas por las organizaciones criminales, quienes las explotan y construyen su oficio sobre ellas. Este riesgo también es conocido por los bancos, quienes asumen la ratio de coste beneficio y tratan de traspasar a sus clientes el riesgo de estas pérdidas, responsabilizándoles de la guarda y custodia de las llaves de acceso facilitadas por la entidad, pretendiendo, de esta forma, evadir su obligación de salvaguarda del dinero que les entregan sus clientes.
Es habitual que la primera reacción del consumidor ante un phishing sea pensar que le han robado a él los fondos depositados, pero esta reacción presupone que él es el propietario de los fondos sustraídos. No obstante, jurisprudencialmente, se considera unánimemente que, cuando se realiza un depósito bancario de dinero, el depositante (consumidor) pierde la propiedad del dinero depositado y en su lugar adquiere un derecho de crédito frente al banco. Esto comporta que, cuando se realiza un depósito bancario, la propiedad del dinero pasa a ser del banco, quien no está obligado a restituir el mismo dinero que se ha depositado en sus cuentas por el consumidor, sino a garantizar la disponibilidad de fondos a favor de este cuando le reclame la restitución.
La anterior calificación tiene, a nuestro parecer, una consecuencia directa para determinar quién es el ofendido o víctima del delito. En los delitos de robo y en los de estafa, se entiende que el ofendido por el delito es el propietario del patrimonio afectado. Por ello, en los casos de phishing o smishing, según lo expuesto, el ofendido por el delito debería ser la entidad financiera depositaria en vez del cliente.
Por consiguiente, cuando se comete un phishing o smishing bancario, por el cual se obtienen las llaves electrónicas que se emplean para acceder a los fondos que un consumidor tiene depositados en una cuenta bancaria, la víctima de delito, a priori, no es el consumidor sino el banco, por cuanto es el legal propietario del dinero depositado.
Junto a la figura del ofendido por el delito, se distingue también la figura del perjudicado, que es quien sufre las consecuencias económicas del delito. Normalmente, ofendido y perjudicado coinciden, pero en otras no. Piénsese en el caso de un homicidio, en el que el ofendido por delito es el fallecido, pues es a quien arrebatan la vida (el bien jurídico protegido), pero quien sufre los perjuicios es la familia y por eso se les reconoce legitimación para actuar como acusación particular.
En determinado tipo de delitos bancarios como son el phishing o smishing, la postura mayoritaria del banco es la de desplazar estos perjuicios económicos derivados del delito al consumidor y, por tanto, atribuirle la condición de perjudicado. Esta posición no es, a nuestro parecer, ajustado a derecho porque los perjuicios derivados de estas transferencias no autorizadas deberían asumirse por las entidades financieras con arreglo a la normativa vigente.
En el ámbito normativo, los riesgos operativos y de seguridad que derivan de los instrumentos de pago (cualquier dispositivo o procedimiento que permite iniciar una orden de pago), se desplazan a los proveedores de esta clase servicios de una forma casi objetiva por mandato del RD Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes. Sobre ello ya nos referimos en el artículo “He sido víctima de un phishing bancario ¿Puedo reclamar a mi banco? (addvante.com)”. En resumidas cuentas, esta normativa obliga al banco a restituir los importes defraudados salvo que haya habido fraude o negligencia grave del cliente al utilizar el instrumento de pago.
Un importante grupo de clientes bancarios que se ven afectados por el phishing o el smishing bancario son las personas mayores, para quienes la era de los smart phones y las aplicaciones bancarias ha cogido en plena jubilación.
Se encuentran con serias dificultades para ser atendidos presencialmente, situación que se denuncia en la campaña “soy viejo, pero no idiota”. Pero incluso, cuando este grupo se adapta a las novedades tecnológicas y acaba utilizando las aplicaciones bancarias para llevar a cabo sus operaciones, la falta de práctica y conocimiento del uso de estos dispositivos les hace más susceptibles de ser engañados por los estafadores. La edad y las costumbres generacionales son factores que influyen en la capacidad para distinguir entre el fraude y la realidad, entre un SMS falso y una página web oficial.
La especial vulnerabilidad de este colectivo, cuando actúan como consumidores en el ámbito financiero usando las nuevas tecnologías, los convierte, a nuestro parecer, en consumidores vulnerables en los términos del art. 3 del Real Decreto Legislativo 1/2017, de 16 de noviembre. Y por ello, deben ser objeto de la protección reforzada que esta norma prevé para este grupo. En concreto, esta norma con rango de ley obliga al empresario a adoptar medidas de protección contra los riesgos que puedan afectar a su seguridad, y prevé también el derecho básico a ser indemnizado por los daños y perjuicios sufridos.
Por consiguiente, entendemos que esta normativa impone a las entidades financieras que prestan los servicios de pago la obligación de adoptar mecanismos activos para evitar los riesgos específicos de la banca online y, en especial, para proteger a las personas mayores, debiendo adoptar medidas específicas y especiales para evitar que sean víctimas de esta clase de delitos.
En definitiva, a nuestro entender, en la mayoría de los casos, las entidades financieras son las víctimas en los delitos bancarios y quienes deben sufrir las consecuencias económicas de los mismos. Destacamos que la normativa actual se alinea para garantizar la protección de los consumidores en el ámbito del sector financiero, y ello, ante los phisings o smishing bancarios, se traduce en una responsabilidad cuasi objetiva por parte de las entidades por las operaciones de pago no autorizadas, por lo que deben asumir las pérdidas patrimoniales. Además, sobre las entidades recae la obligación legal de adoptar las medidas de protección del consumidor adecuadas para prevenir esta clase de delitos, y la obligación de prestar especial consideración a los consumidores vulnerables, entre los que se encuentran las personas mayores, debiendo adoptar medidas especiales y reforzadas para su protección.
Desde el departamento procesal de AddVANTE podemos prestar desde el primer momento el asesoramiento que requiera cualquier persona que haya sido víctima de un phising, smishing o cualquier estafa o delito bancario, ofreciéndole una respuesta integral y coordinada de las diferentes áreas jurídicas y tecnológicas de la firma, analizando la viabilidad de su reclamación y formalizando la misma ante su entidad y ante los Juzgados y Tribunales de Justicia.
