Otra de ‘polis y cacos’: el phishing

¿A quién roban los ciberdelincuentes: a los clientes o a los bancos?

Pablo Artiñano | Socio Director Madrid - 13 junio 2024

El cielo estaba plomizo y hacía un calor del demonio… pero nadie salía de la gasolinera a enchufar la manguera al coche. Tras un rato agarrado al volante abrasador, la conductora por fin se fijó en el cartel: “Autoservicio”. Piedra miliar de todas las calamidades del esforzado consumidor…

Toda esta historia empezó el día en que en las gasolineras empezaron a exigir a los clientes que se pusieran la gasolina ellos mismos y que después fueran a pagar dentro de la estación de servicio. Después en los restaurantes se impuso la  costumbre cool de ahorrar trabajo a los camareros recogiendo la bandeja, y uno la llevaba a un armario y tiraba los restos a un cubo más o menos vistoso… Ahora nos autofacturamos en Caja de algunos establecimientos. Y como herencia postpandemia se instauró la cita previa hasta para pedir un café, porque para muchas empresas, el cliente “molesta”.

Mucho ha llovido desde entonces y muchas cargas han echado las empresas a las espaldas de los consumidores con el conque del ‘autoservicio’. Y la banca ha sido la que más se ha beneficiado de este echar balones fuera… Pero la última cabriola de la caradura bancaria es el phishing.

No hay que ser octogenario para poder recordar los tiempos en que el 90% de la economía y el consumo se realizaba con pagos en metálico. En esos tiempos (sólo hay que remontarse a la década del 2.000) era habitual que TODAS las sucursales bancarias incluso tuvieran dinero: había cristales blindados en las zonas de Caja de todas las sucursales; había un vigilante con una pipa en cada oficina bancaria; los transportes blindados de fondos formaban parte del paisaje urbano; los cacos que asaltaban bancos a punta de pistola se llevaban lo que podían; había cajeros automáticos en cada esquina…

Todo esto ha cambiado a través de un movimiento sibilino de la banca, en franco contubernio con el Fisco, impulsado por 4 vectores:

1. Hacienda quiere saber cuánto ganamos y en qué lo gastamos
: para ello ha ido limitando el uso de efectivo bajo la excusa del “blanqueo de capitales y financiación del terrorismo”. Suena tremendo …pero el caso es que ha prohibido cualquier pago en metálico superior a 1.000 €, porque probablemente nos codeamos con el crimen organizado y el terrorismo…

En un expediente de derivación de responsabilidad fiscal reciente, el actuario detectó que se pagaron 5 € de Lotería Primitiva con una tarjeta Visa de empresa… por lo que dedujo que esa persona era la auténtica titular de la empresa. Quien quiera datos, se los daré con permiso del interesado.

2. Los bancos quieren ahorrarse los costes de seguridad: se acabaron las ventanillas blindadas. Se acabó el servicio de Caja y se acabaron los “cajeros”, pero no sólo los automáticos, sino los de dos piernas (sólo hay servicio de Caja en el 20% de las sucursales durante 3 horas: el que quiera panné, que madrugue). Se acabó la gestión y transporte del efectivo. Se acabaron los atracos.

3. Cualquier gestión bancaria (transferencias, remesas, domiciliaciones) que se la haga -bajo su responsabilidad- el cliente. Y siguen cobrando por ello.

4. Cualquier pago ha de estar domiciliado: luz, agua, gas, comunidad, teléfono, internet… de esta forma, todo el dinero queda dentro del sistema bancario. Toda la facturación de las utilities estarán de un modo o de otro, antes o después, en un banco o en otro banco.

Pero cuando hemos llegado al summum del descaro y la sinvergonzonería es cuando los bancos quieren eludir su responsabilidad sin responder de la integridad de los depósitos de los clientes. Dice el artículo 306 del Código de Comercio que el depositario (el banco) responde de la integridad del depósito:

Art. 306.

El depositario está obligado a conservar la cosa objeto del depósito según la reciba, y a devolverla con sus aumentos, si los tuviere, cuando el depositante se la pida.

En la conservación del depósito responderá el depositario de los menoscabos, daños y perjuicios que las cosas depositadas sufrieren por su malicia o negligencia y también de los que provengan de la naturaleza o vicio de las cosas, si en estos casos no hizo por su parte lo necesario para evitarlos o remediarlos dando aviso de ellos además al depositante inmediatamente que se manifestaren.

Phishing

Pero ahora el Banco pretende, que -salvo prueba en contrario- los cacos ya no roban al Banco. Roban al cliente. Es verdad que a veces los clientes “entregan las llaves de la caja” a los cacos por una negligencia mayúscula. Pero se comprende fácilmente que son los menos, porque -en el mejor de los casos-, los estafados recuperan simplemente lo que tenían.

Pero los usuarios que sin mediar absolutamente culpa de su parte, (los consumidores no tienen que desplegar una pericia extraordinaria, que no tienen por qué tener) han sido despojados de su dinero que estaba custodiado en el banco, no deberían estar y pasar por las incomodidades de (i) la denuncia policial, (ii) la reclamación extrajudicial al banco y, en la mayoría de los casos, (iii) la demanda judicial al banco y (iv) esperar meses o años la restitución.

Se dirá que las costas judiciales le compensarán de los gastos en que ha incurrido para pagar a un abogado y un procurador… pero esas costas lo que, en el mejor de los casos representan, es el reembolso de lo que han tenido que desembolsar al abogado y procurador. Pero el reembolso al cliente de la cantidad robada -cuando no media culpa grave o dolo del usuario- no equilibra la situación de partida, porque el cliente ha sufrido el daño moral de la sustracción:

  1.  Es un susto y un sofocón;
  2. No ha podido disponer de su dinero durante un tiempo;
  3. Ha perdido el tiempo en la policía.
  4. Y ha tenido que paga una provisión de fondos para formular la reclamación extrajudicial y en el encargo al abogado. Es evidente que el usuario no queda indemne con las posibles costas judiciales a que pueda ser condenado el banco. Me van a permitir la expresión, porque -aunque al final el banco le restituya su dinero después de todo ese periplo- el cliente se queda ‘jodido’.

Es por ello por lo que, desde estas líneas, abogo por la necesaria indemnización de daños y perjuicios en los casos de phishing. Porque es evidente que ha habido daños y ha habido perjuicios. Esta indemnización es conforme con el principio de Efectividad, acuñado por el Tribunal de Justicia de la Unión Europea. Pero también es acorde con un principio acuñado desde el Derecho Romano: “ubi commodum, ibi incommodum”. Es decir: que, si la banca se ha beneficiado de la reducción de costes de seguridad al promover los medios de pago electrónicos, debe asumir las consecuencias adversas de dicho beneficio. Y también el principio de restitución, según el cual una persona debe ser resarcida de todos y cada uno de los perjuicios que se le han causado cuando no exista una obligación legal de soportar esas consecuencias (cargas, en sentido técnico).

Todos (porque todos vamos a sufrir un phishing antes o después) podemos contestar con contundencia y vehemencia a esta pregunta:

¿Por qué, si el banco es el depositario de mi dinero y no tengo más remedio que tener el dinero en el banco, y de ello se beneficia éste (porque el dinero de los depositantes es el que prestan -y cobran por ello- a otros clientes), no tiene que indemnizarme de todas las consecuencias adversas (daños morales) que su incumplimiento contractual me ha generado? ¿O su incuria y permanente vulnerabilidad tecnológica es algo que debo soportar estoicamente como consumidor, aunque me devuelvan lo que por su negligencia me quitaron, o incluso sin negligencia, por su responsabilidad objetiva o incumplimiento contractual?

La respuesta no puede ser otra que, en efecto: el banco me debe indemnizar los daños morales producidos por no haber sabido proteger el depósito que hemos constituido a su favor.