Article publicat el dumenge, 25 de gener, a L’Econòmic
Les dades són esfereïdores. Només a Girona es calculava una mitjana de 22 estafes informàtiques diàries, més de 300 en l’àmbit de Catalunya. L’any 2024 es calcula que l’augment és de més del 30%. Més del 90% dels delictes que es cometen a la xarxa són delictes d’estafa informàtica.
Dins les clàssiques tenim el phishing (enllaç trampa en un correu), l’smishing (el mateix però amb SMS), el pharming (un atac directe del DNS), el vishing (trucada telefònica per sostraure dades), el whaling (suplantació d’identitat d’un directiu o persona influent per obtenir dades o fer transferències) i el man in the middle (modificació de dades en un correu entre client i proveïdor on es modifica el compte corrent de pagament).
El problema és que la gran majoria es cometen des de l’estranger, i sol ser gairebé impossible recuperar el capital sostret del delinqüent. El règim de responsabilitat civil, el trobem al Reial decret llei 19/2018, de 23 de novembre, de proveïdors de serveis de pagament, que estableix un sistema de responsabilitat civil quasi objectiva dels proveïdors de serveis de pagament davant els actes de disposició fraudulents no autoritzats (no “consentits”), en el sentit que aquests hauran de restituir les quantitats defraudades sempre que no acreditin un incompliment per part de l’ordenant (negligència de l’usuari, com és l’obligació de custòdia que li marca la llei –credencials de seguretat– o no ho ha comunicat sense demora). És a dir, hi ha una inversió de la càrrega de la prova.
Què hem de fer si hem estat víctimes d’una estafa informàtica? Notificar-ho al proveïdor del servei de pagament, demanar a l’entitat bancària el certificat de les operacions no autoritzades i realitzar la corresponent denúncia penal (a la policia o al jutjat). Llavors, portar-ho tot a l’entitat bancària (només pot rebutjar la reclamació acreditant la falta de diligència o frau de l’usuari). Davant la negativa del banc, podem reclamar la responsabilitat civil en un procediment civil o bé en el mateix procediment penal ja iniciat.
En resum, la responsabilitat de l’entitat bancària pot semblar clara si l’operació s’ha fet mitjançant els canals de pagament de l’entitat bancària i hi ha hagut una manipulació directa de l’ordre de pagament (malware) o s’han obtingut les dades personals de l’usuari mitjançant engany o violència. És a dir, s’ha de determinar si l’ordre de pagament respon a una voluntat real i no viciada de l’usuari. Si l’engany és previ a l’operació bancària (per exemple, man in the middle), la cosa és més complicada.
Advocada a Rebled Bellvehí Advocats
