lunes, 16 de enero de 2017

LA BANCA RESPONDE DEL ROBO EN LOS ORDENADORES 'HACKEADOS' DE LOS CLIENTES




Una sentencia da la razón a un usuario cuyo ordenador fue infectado por el troyano 'Citadel' y condena a la entidad a devolverle la totalidad del dinero por no contar con sistemas de seguridad suficientes.
Según la última memoria de la Fiscalía General del Estado, correspondiente al año 2015, el 80,62% de los delitos informáticos fueron estafas cometidas a través de las TIC. Sin embargo, sólo un 10% de las investigaciones sobre este tipo de infracciones terminó en un procedimiento judicial. Además, la mayor parte de los casos que se denuncian no suelen ser fructíferos para los afectados, puesto que terminan siendo archivados al no ser posible identificar al responsable por falta de pruebas suficientes.
Pero esta tendencia está cambiando y los tribunales cada vez aplican con mayor rigurosidad la Ley 16/2009 de servicios de pago que impone una inversión de la carga de las prueba hacia la entidad bancaria y responsabiliza al proveedor de medios de pago de las operaciones fraudulentas. Aunque la jurisprudencia todavía es escasa, diferentes tribunales ya han descrito asuntos relacionados como el phising, el fraude y, ahora, se ha adentrado en el complicado mundo de los troyanos, con una sentencia especialmente relevante del juzgado de primera instancia número 48 de Madrid.
"La Ley 16/2009 es especialmente protectora con el consumidor. La norma pone en una posición de ventaja al usuario al que han robado a través de una estafa informática y es la entidad bancaria la que debe aportar pruebas frente al delito. En resumidas cuentas, el banco es el que debe demostrar si el cliente ha cometido una negligencia grave o ha actuado con dolo", explica David Maeztu, socio del despacho Abanlex.
El letrado sabe perfectamente de lo que habla, puesto que ha sido el abogado defensor de esta primera sentencia en España sobre estafas a través de las TIC con un troyano. En este asunto, el cliente fue infectado por este virus informático, llamado Citadel, que sirvió para que le sustrajeran sin su conocimiento 55.275 euros.
"Tras plantear una primera demanda, y no poder conocer al responsable que introdujo el troyano y robó el dinero, el usuario presentó una segunda por la responsabilidad civil del banco al no haber implementado los medios de seguridad suficientes frente a este tipo de ataques informáticos", apunta Maeztu.
Negligencia
La entidad, por su parte, no pudo demostrar ni el dolo ni la negligencia grave del usuario, como indica la propia sentencia cuando señala que el ordenador del actor fue infectado el 6 de mayo de 2012 mediante el conocido troyano Citadel. Y que, tal y como señalaron los peritos en el acto de la vista, es difícil percatarse de la existencia del virus para un usuario medio y "era el banco quien tenía y disponía de los medios necesarios para detectar y evitarlo, por lo que en base a ello no puede estimarse que exista ninguna negligencia o responsabilidad del actor".
Según apunta el letrado, los peritos informáticos explicaron ante el tribunal que era prácticamente imposible que un cliente como el demandante, que contaba con un ordenador con un sistema operativo actualizado y un antivirus, pudiese percatarse de que su dispositivo estaba infectado. Sin embargo, estos mismos especialistas destacaron que en aquellas fechas las conferencias informativas de seguridad que reciben las entidades bancarias ya hablaban del troyano Citadel, por lo que la entidad bancaria debería haber implementado sistemas de seguridad para protegerse de los ataques de este virus y haber obrado antes.
"En este asunto, el tribunal sólo verifica si el usuario ha actuado con dolo o ha sido gravemente negligente según la pruebas aportadas por la entidad y, si esto no queda demostrado, examinará si el banco ha implementado todos los sistemas de protección necesarios para preservar este tipo de operaciones, puesto que es éste el que está en disposición -y tiene el suficiente presupuesto- para introducir niveles de seguridad adecuados que detecten estos ataques informáticos", concluye Maeztu.
Sistemas y obligaciones
El artículo 28 de la Ley 16/2009 de servicios de pago indica las obligaciones del proveedor en relación con los instrumentos de pago, entre las que destaca el cerciorarse de que "los elementos de seguridad personalizados del instrumento de pago sólo sean accesibles para el usuario de servicios de pago facultado para utilizar dicho instrumento". Además de esta obligación, el Banco Central Europeo también recomienda a las entidades que implementen herramientas de protección como sistemas con parámetros (listas negras de peligro o de datos de tarjetas robadas); patrones de comportamiento anormales y seguimiento continuo del cliente o de su dispositivo de acceso.


No hay comentarios:

Publicar un comentario