Un hombre de Córdoba recibió a finales del pasado mes de enero un mensaje de texto en su teléfono móvil de su sucursal bancaria, Caja Rural del Sur, que explicaba que su cuenta bancaria podía estar siendo hackeada. Y pidiéndole que pusiese sus datos de acceso a su cuenta de Caja Rural para cambiar estas credenciales.
Resultó que este mensaje de texto fue enviado por unos ciberdelincuentes y no por su banco. Una estafa de estilo phishing (o más concretamente smishing, que es similar pero a través de SMS). Hay que recordar que en España, las estafas con phishing son cada vez más comunes y que las autoridades han desarticulado varias bandas capaces de robar mucho dinero.
Por tanto, al introducir sus informaciones, este hombre, de nombre Rafael (y que no ha hecho públicos sus apellidos) al acceder al enlace del SMS y dar ahí sus credenciales bancarias, en realidad regaló sus datos a estos desconocidos. Y, más tarde, esta banda robó dinero de su cuenta, pudiendo acceder fácilmente a su banca online.
Concretamente, los ciberdelincuentes realizaron dos transferencias bancarias: una de 1.890,80 y otra de 9.970,80 euros, desde la cuenta personal de Rafael a otra cuenta, cuyo titular desconocía. La suma de las dos transferencias ascendía a 11.861,60 euros.
Qué hizo el afectado
Cuando Rafael vio que había salido dinero de su cuenta hacia alguien desconocido, lo primero que hizo fue alertar a la Policía Nacional (algo que se recomienda hacer). En cuanto se percató del fraude, el afectado acudió a la Policía Nacional a interponer una denuncia.
Tras esto, acudió a su sucursal de Caja Rural del Sur para pedir que le reembolsaran el dinero, mostrando los documentos que tenía sobre la situación. El director de la sucursal se comprometió personalmente a gestionar la reclamación, pero Rafael no recibió respuestas del banco en un par de meses.
Tras esto, acudió a FACUA la organización que trabaja para defender los derechos de los consumidores en España. El departamento legal de FACUA en Córdoba se dirigió al Servicio de Atención al Cliente de Caja Rural del Sur para reclamarle que devolviera a su cliente los 11.861,60 euros.
Para ello, recurrían al artículo 36 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes, que recoge que "las operaciones de pago se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución", circunstancia que no se había producido en este caso.
También mencionaron el artículo 45 que establece que cuando se ejecute una orden de pago no autorizada, el banco debe devolver al cliente el importe de la operación: "el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada".
FACUA Córdoba advertía a Caja Rural del Sur de que, en caso de no atender a la reclamación, habría una demanda. La Caja Rural devolvió el dinero hace unos dias y con el concepto "Abono fraude enero 2022", corroborando que efectivamente se trata de un fraude, aunque la empresa bancaria no fuera consciente de ello.
Obligaciones de los bancos, según FACUA
Dicen desde FACUA que "los bancos, en cuanto facilitadores de medios de pago electrónicos, están obligados a implementar la doble autenticación o autenticación reforzada, como establece el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes".
Estos factores se dividen en tres tipos: conocimiento, en que se pregunta algo que solo el cliente sabe, como una contraseña o PIN; posesión, donde se exige usar un objeto, como un teléfono móvil, e inherencia, el menos habitual, en que se usa algo inherente al cliente, como su huella dactilar o su rostro.
Ver 3 comentarios