Una sentencia
da la razón a un usuario cuyo ordenador fue infectado por el troyano 'Citadel'
y condena a la entidad a devolverle la totalidad del dinero por no contar con
sistemas de seguridad suficientes.
Según la
última memoria de la Fiscalía General del Estado, correspondiente al año 2015,
el 80,62% de los delitos informáticos fueron estafas cometidas a través de las
TIC. Sin embargo, sólo un 10% de las investigaciones sobre este tipo de
infracciones terminó en un procedimiento judicial. Además, la mayor parte de
los casos que se denuncian no suelen ser fructíferos para los afectados, puesto
que terminan siendo archivados al no ser posible identificar al responsable por
falta de pruebas suficientes.
Pero esta
tendencia está cambiando y los tribunales cada vez aplican con mayor
rigurosidad la Ley 16/2009 de servicios de pago que impone una inversión de la
carga de las prueba hacia la entidad bancaria y responsabiliza al proveedor de
medios de pago de las operaciones fraudulentas. Aunque la jurisprudencia
todavía es escasa, diferentes tribunales ya han descrito asuntos relacionados
como el phising, el fraude y, ahora, se ha adentrado en el complicado
mundo de los troyanos, con una sentencia especialmente relevante del juzgado de
primera instancia número 48 de Madrid.
"La Ley
16/2009 es especialmente protectora con el consumidor. La norma pone en una
posición de ventaja al usuario al que han robado a través de una estafa
informática y es la entidad bancaria la que debe aportar pruebas frente al
delito. En resumidas cuentas, el banco es el que debe demostrar si el cliente
ha cometido una negligencia grave o ha actuado con dolo", explica David
Maeztu, socio del despacho Abanlex.
El letrado
sabe perfectamente de lo que habla, puesto que ha sido el abogado defensor de
esta primera sentencia en España sobre estafas a través de las TIC con un
troyano. En este asunto, el cliente fue infectado por este virus informático,
llamado Citadel, que sirvió para que le sustrajeran sin su conocimiento
55.275 euros.
"Tras
plantear una primera demanda, y no poder conocer al responsable que introdujo
el troyano y robó el dinero, el usuario presentó una segunda por la
responsabilidad civil del banco al no haber implementado los medios de
seguridad suficientes frente a este tipo de ataques informáticos", apunta
Maeztu.
Negligencia
La entidad,
por su parte, no pudo demostrar ni el dolo ni la negligencia grave del usuario,
como indica la propia sentencia cuando señala que el ordenador del actor fue
infectado el 6 de mayo de 2012 mediante el conocido troyano Citadel. Y
que, tal y como señalaron los peritos en el acto de la vista, es difícil
percatarse de la existencia del virus para un usuario medio y "era el
banco quien tenía y disponía de los medios necesarios para detectar y evitarlo,
por lo que en base a ello no puede estimarse que exista ninguna negligencia o
responsabilidad del actor".
Según apunta
el letrado, los peritos informáticos explicaron ante el tribunal que era
prácticamente imposible que un cliente como el demandante, que contaba con un
ordenador con un sistema operativo actualizado y un antivirus, pudiese
percatarse de que su dispositivo estaba infectado. Sin embargo, estos mismos
especialistas destacaron que en aquellas fechas las conferencias informativas
de seguridad que reciben las entidades bancarias ya hablaban del troyano Citadel,
por lo que la entidad bancaria debería haber implementado sistemas de seguridad
para protegerse de los ataques de este virus y haber obrado antes.
"En este
asunto, el tribunal sólo verifica si el usuario ha actuado con dolo o ha sido
gravemente negligente según la pruebas aportadas por la entidad y, si esto no
queda demostrado, examinará si el banco ha implementado todos los sistemas de
protección necesarios para preservar este tipo de operaciones, puesto que es
éste el que está en disposición -y tiene el suficiente presupuesto- para
introducir niveles de seguridad adecuados que detecten estos ataques informáticos",
concluye Maeztu.
Sistemas y obligaciones
El artículo
28 de la Ley 16/2009 de servicios de pago indica las obligaciones del proveedor
en relación con los instrumentos de pago, entre las que destaca el cerciorarse
de que "los elementos de seguridad personalizados del instrumento de pago
sólo sean accesibles para el usuario de servicios de pago facultado para
utilizar dicho instrumento". Además de esta obligación, el Banco Central
Europeo también recomienda a las entidades que implementen herramientas de
protección como sistemas con parámetros (listas negras de peligro o de datos de
tarjetas robadas); patrones de comportamiento anormales y seguimiento continuo
del cliente o de su dispositivo de acceso.
No hay comentarios:
Publicar un comentario