Article publicat el dijous, 30 d’octubre, al Diari de Girona
Ja tocava. Una de les estafes informàtiques que més mal ha causat a les empreses sembla que podria quedar erradicada per sempre. Em refereixo a l’estafa informàtica coneguda com el man in the middle de la que us he parlat en diversos articles al Diari de Girona. En aquest tipus d’estafa el delinqüent intercepta un correu on s’adjunta una factura; sense modificar el correu modifica la factura adjunta que normalment és un pdf, canviant el número del compte, i el receptor, confiant en qui li ha passat aquest correu, normalment un proveïdor conegut i habitual, cau en el parany i per pagar la factura emet una transferència al nou compte modificat per l’estafador. Sembla molt simple, massa fàcil, però molt efectiu.
Ja fa temps que es comentava que això es podia evitar fàcilment amb una verificació del nom del beneficiari, però com la normativa només considerava l’IBAN com a únic identificador necessari, la majoria de les plataformes bancàries no feien la doble verificació de comprovar que l’IBAN que s’havia escrit coincidia amb el nom del beneficiari que s’havia consignat, dada que no era obligatòria.
Tot i que semblava senzill aplicar a les plataformes bancàries aquest sistema, com la normativa no ho obligava i amb excuses també basades en protecció de dades, van ser els tribunals de justícia, un cop més, que en algunes sentències ja apuntaven que això no podia ser i que tot i que el banc no intervenia directament, sí que podia ser responsable si la plataforma no era prou segura, una mica de sentit comú.
Recentment, el passat 8 d’octubre, va entrar en vigor un article del Reglament (UE) 2024/886, que obliga les entitats bancàries a verificar la coincidència entre el nom del beneficiari i el codi IBAN abans d’executar la transferència. De veritat tan complicat era???
Si la verificació que fa el banc és defectuosa, incorrerà en responsabilitat; però si la verificació és correcte i tot i l’avís que es farà a l’usuari aquest ordena igualment la transferència, llavors l’entitat bancària quedarà exonerada de responsabilitat.
Si bé la norma no es pot aplicar amb efectes retroactius, és evident que els procediments que puguin estar en curs en els que es demani responsabilitat per una estafa d’aquest tipus poden veure’s afectats, i és que no deixa de ser curiós que el que fa un o dos anys era impossible, ara no només és possible, sinó que és fàcil i senzill, i a més serveix de protecció tant als usuaris com a les mateixes entitats bancàries, passant tots a respondre només quan veritablement no hagin estat diligents. També serà important que les empreses incorporin aquest deure de diligència a les seves polítiques de Compliance.
Antoni Pérez De-Gregorio i Capella
Client Choice Awards 2020 Litigation
Advocat a Rebled Bellvehí Advocats
