¿Quieres tener tu propio blog?
El Banco de España critica a las entidades financieras por lavarse las manos ante los casos de fraudes electrónicos
El Banco de España lo tiene claro: las entidades financieras no pueden lavarse las manos en lo relativo al fraude electrónico. Su servicio de reclamaciones -las primeras quejas por este motivo comenzaron a recibirse a finales de 2005 y, desde entonces, se han ido acelerando- es contundente. "No parece equitativo ni proporcionado que las entidades eludan sin más su responsabilidad, dirigiendo a sus clientes a los tribunales de justicia y haciendo recaer en los mismos la totalidad de los importes defraudados. No se estima ajustado a las buenas prácticas bancarias que las entidades, al amparo de las cláusulas contractuales que les exoneran de toda responsabilidad, se desentiendan de los problemas de sus clientes sin realizar actividad probatoria alguna que permita determinar lo realmente sucedido; debiendo, en definitiva, demostrar un cierto grado de diligencia en la gestión de estas reclamaciones de sus clientes. Éstos -no debe olvidarse- han depositado en aquéllas no sólo sus fondos, sino también su confianza.
Clientes indefensos
"Las entidades", prosigue el banco emisor, "al hacer recaer en sus clientes toda la responsabilidad, así como la carga de la prueba de haber actuado correctamente, les colocan en una situación de inferioridad e indefensión, cuando son las propias entidades las que les han ofrecido el sistema y han elegido el mecanismo de seguridad que han estimado más conveniente, resultando, por tanto, que cualquier fraude operado pondría en evidencia la debilidad del sistema de autenticación utilizado".
Son varias las razones que el Banco de España aduce para justificar este tirón de orejas a la banca, y ello pese a que, desde su punto de vista, "con carácter general, las entidades de crédito cuentan con medidas de seguridad internas muy eficaces y acertadas a efectos de prevenir y minimizar el fraude electrónico". Para la máxima autoridad monetaria, en primer lugar, "estas medidas, muy importantes en su fin, no son suficientes para eludir los riesgos, pues las actuales sofisticaciones de los fraudes electrónicos superan las posibilidades del cliente medio que, en general, no es un experto en seguridad informática".
En segundo lugar, por razones técnicas: "Es de sobra conocido que los sistemas de autenticación ofrecidos a los clientes de banca electrónica por la mayoría de las entidades de crédito son sistemas débiles o de un solo factor (una clave fija o aleatoria), a pesar de que la mayoría de los expertos en seguridad informática coinciden al señalar que las medidas de autenticación son más eficaces si incorporan dos factores: algo que el cliente conoce (una clave) y algo que el cliente tiene (un token, un teléfono móvil, etcétera). Estos sistemas de doble factor podrían evitar la captura indebida de la firma electrónica y, por consiguiente, el fraude".
En tercer lugar, por una cuestión de información: "Si bien en los contratos se informa al cliente de las condiciones para operar y de las consecuencias que le depararía un uso indebido de sus claves, no se le suele advertir del riesgo de que éstas puedan ser capturadas por los ciberdelincuentes para su posterior uso con fines delictivos ni de que, en este caso, deberá soportar los quebrantos ocasionados". Por último, la reprimenda tiene también un componente de "falta de responsabilidad". "Tampoco podemos olvidar que el usuario de banca electrónica puede acceder a este servicio no sólo desde su equipo en su domicilio sino también desde lugares públicos como bibliotecas, hoteles o cibercafés y, en muchos casos, sin necesidad de un puesto fijo gracias a las redes inalámbricas".
"Algunas entidades dan publicidad a esta facilidad en su página web", prosigue el razonamiento del Banco de España, "destacando que la banca electrónica permite realizar todo tipo de operaciones bancarias a través de Internet desde cualquier lugar en el que se encuentre y a cualquier hora. Dicho esto, puede resultar un tanto incongruente que si la entidad no ha limitado expresamente las vías de acceso a este canal, pretenda que su cliente sea el único responsable de la falta de seguridad del equipo a través del cual se efectuó la operación fraudulenta".
Responsabilidad de la banca
Por último, desde el Banco de España se recuerda que la recientemente publicada Directiva 2007/64/CE del Parlamento Europeo y del Consejo de 13 de noviembre de 2007 sobre servicios de pago en el mercado interior establece: "Cuando un usuario de servicios de pago niegue haber realizado una operación ya ejecutada (o alegue que ésta se realizó de manera incorrecta), corresponderá a su proveedor demostrar que la operación fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico o cualquier otra deficiencia, teniendo en cuenta que la utilización del instrumento de pago registrada por el proveedor no bastará necesariamente para demostrar que la operación fue autorizada por el ordenante, ni que éste actuó de manera fraudulenta o incumplió deliberadamente o por negligencia grave una o varias de sus obligaciones".
