Introducción
El primer trimestre de 2024 cerró con 122.428 infracciones penales, de las cuales 110.268 fueron estafas informáticas, un 14% más que en el mismo periodo del año 2023 (96.482) y una evidencia clara del incremento de este tipo de delincuencia en nuestras sociedades.
Como señala el Ministerio del Interior en su último Balance de Criminalidad, para comprender mejor todavía la evolución de la cibercriminalidad y su impacto sobre el conjunto de la delincuencia, tras un proceso de consolidación de datos de 2023, las estafas informáticas representaron la cantidad anual de 427.448 delitos en el período anual de 2023 y 70.178 hechos registrados en el mismo período de 2016, ambos años con datos del conjunto de todas las Fuerzas y Cuerpos de Seguridad. Eso implica que, en apenas ocho años, las estafas informáticas conocidas en el año 2023 crecieron un 509,1% sobre las registradas en 2016.
Así las cosas, la pregunta que podemos formular es obligada: ¿Qué está ocurriendo con el ciberfraude en nuestro país? Y la siguiente: ¿Qué medios tenemos para combatir esta lacra que aprovecha las Nuevas Tecnologías para ponerlas al servicio de las peores prácticas criminales?
El incremento exponencial en las últimas décadas de la contratación electrónica, disparada a partir del dominio de las grandes tecnológicas comerciales, ha convertido la estafa en una práctica cotidiana
Encontrar respuestas no es sencillo por varias razones. En primer lugar, porque Internet se está desarrollando cada vez con una mayor complejidad técnica y social sin que, por ahora, las herramientas para preservar la identidad y la seguridad de los usuarios estén desincentivando su empleo para fines corruptos. En segundo lugar, el incremento exponencial en las últimas décadas de la contratación electrónica, disparada a partir del dominio de las grandes tecnológicas comerciales, ha convertido la estafa en una práctica cotidiana basada en la simulación aparente de una contratación real que más tarde resulta no ser tal sino una mera suplantación para el fraude patrimonial o de datos. Y, finalmente, y, en tercer lugar, porque la respuesta policial y judicial, fundamentalmente por falta de medios, sigue siendo reducida, manteniéndose un margen de impunidad muy alto que confiere atractivo al ciberfraude como una manera relativamente sencilla de enriquecerse ilícitamente.
En esta edición de «Diálogos para el futuro judicial» hemos intentado radiografiar el problema del ciberfraude y su huella en la sociedad desde las diferentes aristas jurídicas que ofrece: los aspectos civiles, mercantiles, policiales o penales. ¿Cómo está siendo la respuesta? ¿Qué podemos mejorar? ¿Dónde se localizan las principales amenazas?
Los pavorosos datos citados y la sensación de inquietud general establecen un imperativo de análisis que trasciende los márgenes jurídicos y que obliga a plantear el debate sobre el ciberfraude como una preocupación prioritaria en la agenda pública.
1º.- En parámetros generales, ¿qué está ocurriendo con el ciberfraude en España? ¿por qué los datos son tan alarmantes?
Adrián Gómez-Linacero Corraliza. (Letrado de la Administración de Justicia)
«Los datos oficiales procedentes del Informe sobre Cibercriminalidad (1) del Ministerio de Interior de los años 2022 (2) y 2023 (3) obtenidos de denuncias policiales o actuaciones de oficio arrojan un crecimiento descomunal, exponencial y preocupante de los delitos de estafa informática, que acaparan más del 90% del total de los hechos criminales cometidos en las redes, con un incremento porcentual de 3 puntos en el año 2023 respecto al anterior (a lo que debe sumarse los hechos que no se consideran, según dicho Informe, conocidos, esclarecidos o incluibles en la estadística).
Lo que está ocurriendo, sencillamente, tal como vaticina el Consejo de la Unión Europea (4) , es que existen dos fenómenos en retroalimentación constante idóneos para la propagación de la ciberdelincuencia, a saber: a) el uso en masa progresivo de dispositivos electrónicos para transacciones comerciales (con una previsión de 22.300 millones de aparatos telemáticos en circulación en 2024 según dicha institución comunitaria) y b) la sofisticación de las técnicas delictivas resultado del galopante desarrollo tecnológico.
Los datos son alarmantes por un cúmulo de motivos, de diferente orden, que pueden sintetizarse del siguiente modo: a) el grupo generacional más afectado, en términos relativos, por los fraudes informáticos, son las personas mayores de 65 años, sector vulnerable de la población, en gran medida por su escasa cultura tecnológica, b) el temor e inseguridad a operar en las redes ralentiza la economía global, c) la mecánica delincuencial de la estafa informática, a pesar de contar con cooperadores-muleros en territorio nacional, se perpetra en no pocos casos desde el extranjero, resultando imposible recuperar el capital sustraído y d) el sistema de responsabilidad civil consecuencia del art. 45 del RD 19/2018, promulgado para frenar esa impunidad, traslada a los proveedores de pago la carga de reintegrar el importe de las operaciones no autorizadas, lo que, en definitiva y de facto se traducirá, como toda carga legal impuesta a las entidades bancarias, en su repercusión en otros conceptos bancarios a los usuarios para revertir el gasto que supone tener que concertar un seguro de responsabilidad civil (tal como obliga el art. 16.1 LSP).
Vanesa Fernández Escudero (Abogada)
«El ciberfraude en España aumenta de forma exponencial y preocupante. Ello se debe, según los especialistas del Centro Criptológico Nacional y del Instituto Nacional de Ciberseguridad, a distintos factores.
Destacaría el incremento de la actividad digital, la vulnerabilidad de las redes domésticas y la falta de capacitación de la población española en ciberseguridad.
El panorama resulta preocupante, atendida la escasa punibilidad penal de los autores si se consigue su detención, la gran ganancia económica que obtiene el delincuente en poco tiempo y sin demasiada logística invertida, utilizando tácticas de ataque cada vez más avanzadas y la minusvaloración de los daños reales y cuantificables que conlleva un ciberataque para las empresas y los hogares.»
Iñigo Serrano Blanco (Socio fundador y CEO en Sello Legal. Abogado)
«Para explicar el auge del ciberfraude en España conviene comenzar diciendo que se trata de una combinación de varios factores. En primer lugar, lo más evidente: cada año que pasa hay menos gente que viva desconectada. Prácticamente toda la población se relaciona de manera online con su entorno, y en concreto las entidades bancarias han impuesto esta forma de relacionarse, tanto para comunicados como para realizar cualquier operación. Los clientes que no se adaptan a ello —principalmente las personas mayores, también los más vulnerables— son excluidos cada vez más del sistema debido al cierre de sus oficinas cercanas.
Así las cosas, si bien el número de víctimas potenciales es cada vez mayor, el problema se acrecienta al haber aumentado también el número de ciberdelincuentes que buscan acceder a nuestras cuentas, motivados por el beneficio económico y la impunidad con la que actúan (siendo casi imposibles de localizar).
Por último, el otro gran factor diferencial se encuentra en el auge de la tecnología utilizada por los ciberdelincuentes —siempre por delante de las medidas de seguridad— y que es utilizada para robar los datos personales y bancarios de las víctimas, ya sea mediante nuevas técnicas o mediante el perfeccionamiento de las ya existentes.»
Patricia Romero Macipe (Abogada)
«Desde nuestro punto de vista, la principal causa del incremento exponencial del ciberfraude en nuestras sociedades se encuentra en el fenómeno de la hiperconexión, es decir, en el hecho de que todos, a cada momento, y casi para cualquier acción cotidiana estemos conectados a la red, bien a través de nuestro teléfono, PC, etc. Esto genera de facto la construcción un entorno paralelo en el que nos atrevemos a decir que es más fácil sufrir un delito en el mismo que en el mundo de las cosas de verdad.
El problema de las tecnologías, sobre todo el de las tecnologías «en red», es decir, interconectadas, no se está abordando con toda la seriedad y rigor que serían precisos en los foros competentes: poder político, organizaciones sociales, ámbito educativo, policía… Y esto genera una desprotección sustentada básicamente sobre dos elementos: por un parte, la falta de una auténtica cultura de ciberseguridad; por otra, la notabilísima impunidad con la que los agentes delictivos operan en la red, algo que convierte al ciberfraude en un producto con rendimientos fáciles, rápidos y casi seguros.
Lo anterior, por el bien de todos, debe cambiar radicalmente.»
2º.- De forma paralela al aumento normativo de la regulación en materia de protección de datos observamos también un incremento progresivo de la ciberdelincuencia en todos los campos, sobre todo en el patrimonial. ¿Está siendo ineficaz la protección jurídica del dato? ¿Por qué? ¿Qué debería cambiar en el panorama legislativo europeo o nacional?
Adrián Gómez-Linacero Corraliza. (Letrado de la Administración de Justicia)
«Debe partirse de una premisa central de todo punto rotunda: la protección de datos en sistemas en red globalizados tiene y tendrá siempre puntos de fisura por los que podrán penetrar expertos informáticos para lograr fines espurios, lo que no es óbice para la implementación de medidas blindadas de aislamiento del dato para evitar su tráfico ilegal.
Las modalidades de estafa informática se valen, tal como recuerda la RAEPD de 24 de mayo de 2006, de la adquisición ilícita en red de "paquetes de herramientas" que incluyen datos personales que sirven de medio para cometer el ataque informático. Sin la obtención de dichos datos personales, por tanto, quedaría frustrado del intento delictivo, lo que evidencia una ineficaz, o no lo suficientemente eficaz, protección del dato (partiendo de la premisa antes expuesta).
No debemos perder de vista, además, la responsabilidad que recae en el responsable y encargado del tratamiento de los datos personales secuestrados en virtud de las facultades de control y supervisión de los riesgos y seguridad de datos impuestas por los arts. 24.1 y 32.1 del Reglamento 2016/679 (LA LEY 6637/2016) y la obligación de ambas figuras de notificar las violaciones de datos a la autoridad de control (arts. 33 (LA LEY 6637/2016) y 34 del citado RGPD (LA LEY 6637/2016)).
La fuga de datos personales, aun muchas veces incontrolable, revela un modelo de contención inconsistente y frágil y con defectos necesitados urgentemente de reparación, frente al que se ha promovido, entre otras medidas, por parte la Unión Europea, a través del Reglamento 2024/1183, de 1 de abril, de modificación del Reglamento 910/2014, la existencia de una identidad digital europea que permita el acceso a los servicios en red "sin tener que utilizar métodos de identificación privados ni compartir innecesariamente datos personales".
Cabe destacar también la Brújula Digital (5) europea de la Comisión Europea que propone para el año 2030 la creación de un espacio de alta seguridad con infraestructuras testadas, una apuesta decidida por una educación digital transversal y una red empresarial con políticas activas de prevención del fraude y control del dato personal.»
Vanesa Fernández Escudero (Abogada)
«Más que ineficaz, el aumento normativo en protección de datos ha resultado insuficiente para evitar la ciberdelincuencia, por muchas razones, entre las que destacaría: la rápida evolución de las amenazas, la falta de inversión en la protección de canales informáticos, la falta de implementación efectiva de las normativas aplicables, el enfoque limitado de la normativa que no abarca la prevención integral del ciberfraude patrimonial, la falta de una cultura sólida de ciberseguridad en las empresas y la inexistencia de sanciones disuasorias suficientes para la adopción de medidas de seguridad adecuadas.
Estimo que la Unión Europea necesita «regular» y no tanto «legislar». De esta manera se acotarían más los riesgos, sus posibles soluciones y se reducirían los impactos reales en la economía, así como la existencia de las empresas ciberatacadas.
Para ello, ayudaría la elaboración de pocas leyes, pero más específicas y detalladas respecto de la ciberdelincuencia, especialmente en sectores críticos como el financiero y el sanitario, una regulación única y no fragmentada, que sin duda debería ser dinámica y cambiante para poder actualizarse acorde con la evolución del ciberfraude.
Además, dado que el ciberfraude es transnacional, se requiere de una mejor cooperación entre los Estados de la UE y a nivel global para investigar, perseguir y sancionar a los ciberdelincuentes. Para ello, el Convenio de Bucarest reduce la burocracia procesal entre Estados para ejecutar la detención una vez detectada la IP originaria del ciberataque. Aún así, sigue siendo un reto procesal penal con aquellos países no adscritos a dicho Convenio.
Por último, se requiere mayor inversión en formación, estableciendo programas obligatorios de educación en ciberseguridad, empezando por las escuelas.»
Iñigo Serrano Blanco (Socio fundador y CEO en Sello Legal. Abogado)
«La protección de los datos personales es sin duda una pieza clave para combatir la ciberdelincuencia. Es tarea común de ciudadanos, empresas privadas y organismos públicos realizar un tratamiento absolutamente diligente de los datos que se recojan, y de cumplir minuciosamente con la normativa tanto europea como nacional en la materia.
Hoy en día existen páginas web donde se venden a los propios ciberdelincuentes paquetes de datos de cientos de miles de clientes que son filtrados en brechas de seguridad. Estos datos (nombres completos, DNI, números de teléfono, entidad bancaria) suponen una gran diferencia a la hora de llevar a cabo diferentes estafas.
Muchas modalidades de phishing se pueden llevar a cabo gracias a que el ciberdelincuente cuenta con datos personales, por poner un ejemplo práctico, con el número de DNI, un ciberdelincuente puede solicitar un duplicado de tarjeta a una compañía de telefonía y, dado que, la autenticación en dos pasos se realiza generalmente mediante el envío de un SMS, estos serían remitidos al ciberdelincuente que podría realizar las operaciones a su antojo.
Considero que para proteger este incremento de la ciberdelincuencia el foco ha de ponerse más en las medidas de seguridad de las entidades financieras que en la protección de datos, que es una normativa exigente tanto en obligaciones como en sanciones por incumplimiento.»
Patricia Romero Macipe (Abogada)
«El problema, a nuestro juicio, no es tanto de regulación como de consecuencias jurídico-prácticas de esa regulación. ¿Para qué sirven un Reglamento UE o una Directiva si posteriormente es objeto de incumplimiento gratuito por los sujetos obligados? Esto lo estamos viendo en más materias del marco competencial UE-Estados Miembros, pero pasa con la protección de datos.
El Reglamento (UE) 2016/679, de 27 de abril de 2016 (LA LEY 6637/2016), ha sido un paso decisivo en la profundización de los objetivos de protección de datos en el marco UE, pero no basta con regular, hay que aplicar, hay que controlar, hay que supervisar, etc., y esto supone costes encadenados y económicos que no todo el mundo desea asumir.
Casi todas las modalidades de ciberfraude (no todas, pero sí muchas) se producen sobre la premisa de una usurpación de datos personales del sujeto afectado. ¿Esto cómo es posible? Y, sobre todo: ¿por qué con tanta asiduidad? Las políticas nacionales de protección de datos están fallando y los sistemas de verificación también. No queremos verlo, pero es así. Por otra parte, la respuesta, en casos muy puntuales, de los entes administrativos o de los juzgados y tribunales es tardía y casi siempre incompleta.»
3º.- Phishing, hacking, pharming… ¿Cuántas modalidades de ciberfraude existen? ¿Cuál debe ser la respuesta del ciudadano o la empresa ante ellos? ¿Está siendo efectiva la investigación policial? ¿Y la judicial? ¿Qué obstáculos encuentran con mayor frecuencia Fuerzas y Cuerpos de Seguridad y órganos judiciales?
Adrián Gómez-Linacero Corraliza. (Letrado de la Administración de Justicia)
«Podemos hacer una clasificación general del ciberfraude entre a) la modalidad tradicional e indirecta de estafa informática, a través de la cual, el criminal, mediante artificios o engaños, obtiene las credenciales de instrumentos de pago y b) la modalidad directa o avanzada mediante malwares (rasomrares, troyanos, virus, spyware, etc.), de los que se sirven los delincuentes para penetrar en el equipo informático e infectarlo y captar las credenciales sin necesidad de mediación humana.
Dentro de la primera modalidad, y sin perjuicio de su constante evolución, cabe distinguir, a su vez, las siguientes: a) phishing (remisión de un enlace cebo al correo electrónico de un usuario de banca online para redirigir a los usuarios a una web falsa que suplanta la de la entidad bancaria en la que éstos introducen sus datos personales que automáticamente pasan a los delincuentes), b) pharming (derivación del phishing, con la diferencia de que no es necesario ningún cebo para redirigir al usuario a la web del banco, sino que el estafador lo logra directamente mediante un ataque DNS), c) smishing (el enlace cebo para desplazar al usuario a la web suplantada se ejecuta por medio de SMS o, en otras ocasiones, mediante la inclusión de un número de teléfono falso con el que el estafador logra convencer a la víctima de la existencia de un fraude para obtener sus datos) y d) vishing (llamada telefónica donde el atacante simula ser una organización o persona de confianza para sustraer datos).
En el ámbito empresarial y por su gran impacto y perjuicio, cabe destacar: a) whaling o fraude del ceo (suplantación de identidad para contactar con ejecutivos, directivos, encargados o gerentes, en la que el delincuente se hace pasar por una persona influyente y obtiene información sensible o transferencias u otras operaciones) y, fronteriza con la anterior, b) el hombre en el medio (el estafador simula ser un proveedor o cliente habitual de la empresa con la que ésta tiene operaciones de pago habituales para modificar los datos de la cuenta bancaria de destino).
La respuesta del tejido social y productivo no puede ser otra que la formación tecnológica, la cautela y prevención, así como la dotación en las empresas de medios específicos de detección del fraude, rehusando los particulares, por otra parte, de cualquier tipo de comunicación remitida directamente en nombre de la entidad bancaria en la que soliciten claves personales.
La investigación policial y judicial penal, salvo encontrar a los muleros (personas con pocos recursos que aceptan el pago de una cantidad de dinero por recibir la transferencia y entregarla al delincuente o transferirla a una cuenta extranjera), topa con el escollo de la internacionalización del fraude en países donde se antoja inviable recuperar el dinero y de la lentitud o ineficacia de operadores en red en cumplimentar oficios necesarios para esclarecer los hechos.»
Vanesa Fernández Escudero (Abogada)
«El ciberfraude abarca una amplia variedad de modalidades, debido a la evolución constante de las técnicas utilizadas por los ciberdelincuentes, siendo los más habituales en la actualidad el phishing, el smishing, vishing, e-commerce fraud, ransomware, scams financieros, fraude del CEO, man in the middle, business email compromise, malware, spyware, click fraud,typostquatting, etc…
Los ciudadanos y empresas deben tomar medidas proactivas y reactivas para minimizar riesgos de un ciberataque y actuar rápidamente en caso de ser víctimas.
Las investigaciones policiales son muchas veces eficaces gracias al establecimiento de unidades especializadas como la Unidad Técnica de Investigación (UIT) y la cooperación con instituciones como INCIBE (Instituto Nacional de Seguridad Cibernética) y Europol también han mejorado la capacidad de perseguir los delitos cibernéticos a nivel internacional.
A nivel judicial, se están adaptando los marcos y procedimientos legales para combatir el delito cibernético y se han creado áreas especializadas. Sin embargo, la falta de recursos adecuados y la lenta adaptación a nuevas amenazas continúan limitando la efectividad de las investigaciones en esta área.
Respecto a los obstáculos, el primero y más relevante es la identificación y localización de los ciberdelincuentes, también la recopilación de pruebas. Los procesos judiciales se enfrentan a barreras jurídicas y burocráticas que retrasan la cooperación entre jurisdicciones y la falta de recursos y formación especializada limita la capacidad para abordar eficazmente el ciberfraude.»
Iñigo Serrano Blanco (Socio fundador y CEO en Sello Legal. Abogado)
«Existen multitud de técnicas de ciberfraude. En la mayoría es necesaria la intervención activa de la víctima para que, bajo engaño, facilite al estafador ciertos datos sensibles, tales como datos de acceso a la banca online, clave de firma, claves OTP para realizar ciertas operaciones o los datos de una tarjeta. En este sentido los casos más habituales son aquellos en los que se suplanta la identidad de un banco u organismo público, ya sea a través de un SMS o de una llamada (que puede provenir incluso del número oficial de nuestra entidad), convenciendo a la víctima para que facilite sus datos bien en una página web "espejo" o bien a un supuesto agente de la entidad (que llama desde el número oficial por Voice IP).
Sin embargo, la casuística va mucho más allá, existen casos en los que la víctima no participa en absoluto, y ninguna negligencia —ni la más leve— se le puede atribuir. Así, existen casos denominados "Sim Swapping" en los que el delincuente realiza un duplicado de tarjeta SIM de su víctima suplantando su identidad ante las compañías telefónicas, para a continuación obtener control de los SMS de confirmación remitidos al usuario original. Otra técnica sería la instalación de malware o virus informáticos en los dispositivos de las víctimas, frente a los que nadie está a salvo. Otro ejemplo sería el robo de datos de una tarjeta de débito o crédito mediante cajeros modificados o datáfonos fraudulentos, obteniendo así la numeración y el PIN (y en ocasiones un duplicado de la tarjeta).
El mayor obstáculo que se encuentran las Fuerzas y Cuerpos de Seguridad del Estado, así como nuestros tribunales, está en la identificación de los ciberdelincuentes, que actúan impunemente desde su anonimato, y en el rastreo de los fondos, que a menudo son sacados a cuentas extranjeras de difícil colaboración con la justicia y, en muchas ocasiones, se envían a exchanges de criptomonedas para, posteriormente, pasar los fondos a wallets frías de imposible rastreo al ser anónimas.»
Patricia Romero Macipe (Abogada)
Muchas. Muchísimas y no tasadas.
Entre otras, algunas de las más conocidas son: a) phishing, b) hacking, c) vishing, d) smishing o e) whaling.
En realidad, todas responden a la base del engaño y a la finalidad de un enriquecimiento ilícito, como cualquier estafa, no sólo las de base digital.
Los problemas prácticos de este tipo de delincuencia son fundamentalmente dos:
- 1º.- Es muy difícil (en muchos casos) identificar a los autores del fraude; en demasiadas ocasiones radicados en otros países y latitudes.
- 2º.- En el caso de localizar a los autores o elementos del delito suficientes para rastrear con una investigación policial y luego judicial, los mecanismos de cooperación tanto policiales como de índole judicial son lentos. Lentos…Con un delito que normalmente se comete en minutos. Esto es un hándicap que por ahora es insalvable y que favorece un margen de impunidad tan alto como inasumible en estas tipologías delictivas.
4º.- El Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, es una norma trascendental en la lucha contra el ciberfraude. ¿Qué valoración general merece? ¿Y el régimen jurídico de la responsabilidad del proveedor de servicios de pago?
Adrián Gómez-Linacero Corraliza. (Letrado de la Administración de Justicia)
«La LSP establece un cuidadoso y exhaustivo sistema en cadena en la operativa de pagos, entre los diferentes operadores, delimitando las obligaciones, derechos y deberes exigibles a cada uno de ellos y la forma de prestación del consentimiento o autorización para la validez interna y externa de las órdenes de pago, y regulando nuevos servicios (iniciación de pagos e información sobre cuentas).
La LSP irrumpió en el panorama nacional en obligada trasposición de la Directiva 2015/2366 (LA LEY 20018/2015), con la finalidad de implantar un sistema de responsabilidad civil cuasiobjetiva de los proveedores de servicios de pago frente a actos de dispositivos fraudulentos no autorizados, evitando de esta manera, en una necesaria individualización de las consecuencias del fraude bancario, que los usuarios finales de los sistemas de pago en masa quedarán desprotegidos frente a la impunidad de muchos delitos informáticos.
El sistema es lógico, coherente y proteccionista con el eslabón más débil (el consumidor) y descansa en la máxima de que "el riesgo operacional", y las "fugas del sistema", deben ser asumidos "por los bancos en virtud de su posición de garante al ser una pieza clave para evitar la comisión de fraudes" (SAP Madrid, Sección 11ª, 74/22). Son los bancos quienes imponen y se benefician del uso en masa de sus tarjetas, con sus reglas de funcionamiento y seguridad, que a ellos corresponde vigilar (SAP Salamanca, Sección 1ª, 428/2021 (LA LEY 136736/2021)), corriendo a cargos de los mismos una deuda de seguridad (SAP Zaragoza, Sección 4ª, 44/2023, de 17 de febrero).
La piedra angular de ese acertado y sólido régimen de responsabilidad civil consiste en que los proveedores de servicios de pago, en virtud del art. 45 LSP, deberán restituir las cantidades defraudadas o no autorizadas, salvo que acrediten, mediante una fuerte inversión de la carga de la prueba (44.3 LSP), que el ordenante incumplió deliberadamente o por negligencia grave una o varias de las obligaciones del art. 41 LSP (custodiar con cautela sus credenciales de pago y comunicar sin demora el pago no autorizado), o incurrió fraude (art. 46 LSP).
Nos parece necesario aprovechar tan magnífica ocasión para poner de manifiesto que la mayor controversia jurisprudencial en el enjuiciamiento civil de las demandas en ejercicio de la citada responsabilidad civil radica en la calificación de la negligencia grave (pendiente de perfilarse por el Alto Tribunal). Para nosotros, igual que para un sector, por fortuna mayoritario, la negligencia grave debe producirse a iniciativa del usuario, no como consecuencia del engaño inducido por un delincuente (SAP Madrid, Sección 20ª, de 18 de diciembre de 2022) y consiste en la falta de la más elemental diligencia, no haciendo lo que todos hacen o harían (SAP Coruña, Sección 6ª, 86/2023, de 29 de marzo (LA LEY 76027/2023)). Ello conlleva a excusar al consumidor de negligencia grave al proporcionar sus credenciales personales fruto de una sofisticada acción defraudatoria de terceros, salvo casos de estafa evidente y grotesca (SAP Almería, Sección 1ª, de 31 de enero de 2023).
Vanesa Fernández Escudero (Abogada)
«Es crucial en la lucha contra el ciberfraude al alinear la normativa española con la Directiva Europea de Servicios de Pago (PSD2) (LA LEY 20018/2015), sin embargo, el régimen jurídico de la responsabilidad del proveedor de servicios de pago presenta varios problemas a nivel jurídico.
A mi juicio la normativa es ambigua en cuanto a determinadas responsabilidades específicas de los proveedores de servicios de pago en casos de fraude o errores en las transacciones.
Esto conlleva la existencia de controversias sobre quién es responsable de los fondos perdidos y dificulta enormemente a los usuarios la recuperación de los mismos, sin que el proveedor de servicios de pago se avenga y colabore a tal fin, ya que en la mayoría de ocasiones fuerzan a los afectados a acudir a la vía judicial.»
Iñigo Serrano Blanco (Socio fundador y CEO en Sello Legal. Abogado)
«El citado Real Decreto-ley 19/2018 (LA LEY 18608/2018) se trata de una trasposición de la conocida Directiva Europea "PSD2" (6) , norma sumamente trascendental para el incremento de las medidas de seguridad obligatorias que debieron implementar los proveedores de servicios de pago.
Si bien es cierto que son normas (tanto la directiva como la buena trasposición que hizo el legislador español) dirigidas a combatir el ciberfraude, la realidad es que resultan completamente insuficientes para dicha tarea debido a la ya citada mejora de los medios y técnicas utilizados por los ciberdelincuentes. No en vano, ya está elaborada y en proceso de entrar en vigor la nueva Directiva "PSD3", con nuevas implementaciones de seguridad.
Por el contrario, estas normas tanto europea como nacional han resultado mucho más trascendentales para los consumidores y usuarios, que ven abierta una vía por la que recuperar el dinero por parte de sus bancos y entidades en base a la responsabilidad que les atribuye la norma. En este caso, se establece un régimen de responsabilidad cuasiobjetivo, de manera que, en caso de producirse operaciones no autorizadas, el banco deberá restituir los fondos sustraídos a sus clientes, salvo que acredite dos cosas: que las operaciones fueron realizadas, contabilizadas y autenticadas de forma correcta, y que existió negligencia grave por parte del usuario, siendo suya la carga de la prueba sobre este aspecto (cuestión fundamental).
El quid de la cuestión está en ese concepto de negligencia grave, ya que existe una jurisprudencia generalizada en favor de los consumidores, al no poder considerar como grave el hecho de ser víctima de un engaño muy sofisticado, interviniendo suplantaciones de los canales oficiales del banco, y con cientos de miles de víctimas (lo cual es contrario a un comportamiento grave que no le debería ocurrir a una generalidad de personas).»
Patricia Romero Macipe (Abogada)
«El Real Decreto-ley 19/2018, de 23 de noviembre (LA LEY 18608/2018), de servicios de pago y otras medidas urgentes en materia financiera, trae causa de la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015 (LA LEY 20018/2015).
Lo más interesante de esta norma está en sus artículos 44 y ss. (Prueba de la autenticación y ejecución de las operaciones de pago; Responsabilidad del proveedor de servicios de pago en caso de operaciones de pago no autorizadas; Responsabilidad del ordenante en caso de operaciones de pago no autorizadas; …) y en la configuración de un régimen jurídico de responsabilidad cuasiobjetivo con el que se ambiciona proteger al consumidor.
Francamente, la previsión con rango de ley es correcta y suficiente desde el parámetro de marco de transposición; el problema se halla en la interpretación por los tribunales de la locución gramatical "negligencia grave". Cuando se escriben estas líneas todavía no existe una pauta de exégesis por parte de la Sala de lo Civil del Tribunal Supremo. Cuando exista, probablemente, se conferirá seguridad jurídica y se homogeneizarán los criterios de las audiencias provinciales. Es lo esperable.»
5º.- En lo que atañe a la recuperación del dinero sustraído por un usuario de servicios de pago… ¿Qué papel está jugando el Banco de España? ¿Y los proveedores de servicio? ¿Se ha conseguido mejorar la seguridad en el uso de sistemas de pago a través de Internet tal y como pretendía la regulación europea original (Véase: Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015)?
Adrián Gómez-Linacero Corraliza. (Letrado de la Administración de Justicia)
«El Banco de España, autoridad de control financiera y crediticia (Ley 13/1994, de 1 de junio (LA LEY 1971/1994)), desempeña un papel crucial en la creación, registro, control e inspección de las entidades y servicios de pago, tal como declara en numerosos preceptos la LSP (arts. 6, 8.4, 8.5, 9, 11, 13, 15, 26 y otros).
Los proveedores de servicios de pagos, además, están obligados a comunicar incidentes de seguridad graves o relacionados con operaciones sospechosas de fraude o al Banco de España y las medidas adoptadas (arts. 40.6, 45.1 y 67.1 LSP), así como a fijar un marco de medidas paliativas y mecanismos de control de riesgos operativos y de seguridad (art. 66.1 LSP), e informar anualmente a la autoridad de control de riesgos detectados y medidas adoptadas (art. 67.1 LSP).
Respecto a la función de los proveedores de servicios de pago en la recuperación del dinero defraudado, éstos no suelen atender las reclamaciones extrajudiciales previas de los usuarios, obligando a acudir al proceso judicial correspondiente, sobre la frecuente alegación de haberse cumplido todas las medidas de seguridad, tachando de negligente la conducta del usuario (línea de defensa jurídicamente legítima).
El Banco de España y los proveedores de servicios de pago desempeñan también un papel crucial en el bloqueo inmediato de las transferencias bancarias si se comunica la operación fraudulenta con la necesaria celeridad, evitando la consumación del delito mediante el procedimiento interbancario —nacional o internacional— con la entidad de destino por denuncia de fraude (sin perjuicio de que la regla general es la irrevocabilidad de las órdenes de pago ex art. 52.1 LSP). Asimismo, si el cliente lo comunica de forma inmediata, la entidad de pago de origen podrá retroceder la transferencia, para lo que habrá que tener en cuenta la hora de ejecución o corte de cada entidad (desde la orden hasta la salida del dinero transcurren unas horas); en ambos casos de conformidad con las Instrucciones SNCE/CE/03/01 y SNCE/CE/13/002 y no siempre con garantía de éxito.
Por último, la seguridad, indudablemente, ha logrado avanzar al socaire del desarrollo tecnológico, pero existen todavía fugas del sistema necesitadas de cobertura.»
Vanesa Fernández Escudero (Abogada)
«El Banco de España, como supervisor e intermediario en la recuperación de fondos sustraídos por los usuarios de servicios de pago, debería garantizar que las instituciones financieras cumplieran con las regulaciones de protección al consumidor y debería supervisar la gestión adecuada de las reclamaciones relacionadas con el fraude.
Sin embargo, a mi modo de ver, el Banco de España no está actuando de forma eficaz ni en el proceso de recuperación de fondos robados ni está protegiendo efectivamente los derechos de los consumidores, garantizando la adecuada gestión de los casos de fraude. Hay margen de mejora.
Por su parte, los proveedores de servicios de pago no están implementando grandes empeños en la recuperación de los fondos sustraídos ante reclamaciones de afectados, y en muchas ocasiones hasta que no se judicializa el asunto no responden.
Sí, en general, desde la implementación de la Directiva (UE) 2015/2366 (LA LEY 20018/2015) la seguridad al utilizar los sistemas de pago ha mejorado. Aun así, persisten desafíos, que requieren de una adaptación continua para abordar nuevos retos y amenazas de los ciberdelincuentes que están adaptando sus técnicas para explotar nuevas vulnerabilidades.»
Iñigo Serrano Blanco (Socio fundador y CEO en Sello Legal. Abogado)
«En base a nuestra experiencia, la gran mayoría de veces que los clientes y víctimas acuden al Banco de España, lo único de lo que se asegura este órgano es de dar traslado al banco para que acredite que, a nivel técnico, las operaciones han sido registradas, contabilizadas y autenticadas sin ningún error o deficiencia. Esto suele ser así, puesto que las operaciones son ordenadas y autorizadas correctamente por el ciberdelincuente, que previamente ha conseguido engañar al usuario o vulnerar sus comunicaciones.
Salvada esta parte técnica, la respuesta del Banco de España es siempre la misma: no es un órgano judicial y no puede entrar a valorar si el comportamiento desplegado por la víctima es susceptible de considerarse negligencia grave, cuestión que traslada a los tribunales de justicia ordinarios.
Los proveedores de los servicios de pago, por su parte, tienen la llave para acabar con la ciberdelincuencia mediante dos aspectos principales, en nuestra opinión: por un lado, realizando un cambio radical en la concepción de la banca online y en la identificación real e incontestable del titular de la cuenta o tarjeta al momento de realizar una operación. Actualmente, tal como está concebida la banca online, las entidades conviven con el riesgo de que sus clientes sean víctimas de estafas, de manera que mientras los bancos obtienen los beneficios de un sistema online, trasladan a sus clientes el riesgo inherente a dicho sistema.
Resultaría fundamental un acuerdo de las entidades para que, por ejemplo, la operación no se haga realmente efectiva hasta transcurridas 48 horas y que, durante este tiempo, las mismas puedan ser retrotraídas sin necesidad de consentimiento de la cuenta del receptor.
También sería relevante que, a la hora de hacer la transferencia, se establezcan mecanismos de seguridad que garanticen 100% la autorización del usuario. Las medidas de seguridad actuales resultan a todas luces ineficientes.»
Patricia Romero Macipe (Abogada)
En la práctica, el papel del Banco de España es bastante mejorable. Pues si bien es cierto que su cometido funcional es el contenido en la Ley 13/1994, de 1 de junio (LA LEY 1971/1994), de Autonomía del Banco de España, no podemos desconocer que en cuestiones como las abordadas en este diálogo para el futuro judicial, en las que existe una afectación a los intereses generales y un problema casi de orden público económico, su papel supervisor y garante debería ser mayor.
En cuanto a los proveedores de servicios de pagos ocurre parecido: existe demasiada indiferencia y falta de supervisión, lo que genera que, incluso con la vigencia del RDLey 19/2018 (LA LEY 18608/2018) las actuaciones sólo acontezcan cuando existe ya una reclamación por parte del usuario afectado.
Con eco de lo dicho por algunas audiencias (Véase: S.AP Salamanca, 21 de junio de 2021 (LA LEY 136736/2021)), debemos recordar que los deberes de seguridad que los bancos tienen que observar para llegar a consolidar un espacio seguro de actuación, han tenido su reflejo legal armonizando nuestro ordenamiento interno con la normativa europea sobre la materia. Normativa que les obliga después del hecho, pero también antes.
6º.- 509,1% más de ciberfraude en 2023 con relación a 2016. ¿Cómo estaremos en 2030? ¿Cuál es el horizonte que dibujan los datos? ¿Qué prioridades normativas, operativas y de otro tipo deben asumirse en el corto plazo?
Adrián Gómez-Linacero Corraliza. (Letrado de la Administración de Justicia)
«Según el Consejo de la Unión Europea arriba citado, en 2025 se esperan 41.000 millones de dispositivos interconectados a la red, lo que supone, cuantitativamente, un riesgo de grandes magnitudes para la seguridad informática, pues la relación entre conexiones en red y ciberfraude es directamente proporcional, con mayor nicho para los defraudadores.
Existe, sin embargo, una apuesta decidida de la Unión Europea y Estados miembros en dotar de fuertes herramientas técnicas y políticas legislativas garantistas a nuestro entorno virtual para minimizar el impacto de los ataques en red y fortalecer los muros de contención frente a cualquier modalidad de delincuencia informática.
La Brújula Digital de la Unión Europea para 20230 y el Reglamento 2024/1183, de 1 de abril, para la protección del dato y la creación de una identidad digital anonimizada son fiel reflejo de ello.
Entre las prioridades más acuciantes para los poderes públicos y entidades privadas destacaríamos la necesidad de implantar, con la colaboración de las entidades telefónicas y las autoridad públicas competente en ciberseguridad, sistemas de detección y neutralización de direcciones de correo, teléfonos o aplicaciones sospechosos (mediante un registro previo de los lícito o fórmula similar), de tal manera que los estafadores, fuera de las vías del malware, no pudieran acceder a dispositivos de los usuarios para entablar contacto con éstos.
Existen, por lo demás, técnicas probadas y desarrolladas hace tiempo de detección del phishing y estafas afines, que deberían ser implementados obligatoriamente y con supervisión estatal por los proveedores de servicios de pago, de modo similar a los mecanismos preceptivos que existen para combatir el blanqueo de capitales o las medidas de compliance.
Es cierto, como advertíamos en la pregunta 2, que la lucha contra el ciberfraude constituye un inmenso desafío y de muy difícil, sino imposible, erradicación, por la aparición constante de nuevos espacios y vías de delincuencia en red, lo que no es óbice para impulsar, aprobar y ejecutar todo el arsenal de medios que la modernización tecnológica nos proporciona, con el poderoso respaldo de fuertes infraestructuras estatales destinadas con especialización a tal cometido. Al fin y al cabo, el Estado y las organizaciones supraestatales disponen de superioridad de medios y herramientas frente a las tramas criminales.»
Vanesa Fernández Escudero (Abogada)
«Sobre la base de esta tasa de crecimiento, el aumento tenderá a subir hasta 2030. A partir de ahí, es probable que tienda a estancarse, para empezar una reducción progresiva. Todo dependerá del afianzamiento progresivo de las medidas de defensa a nivel público y privado, junto con la mentalización colectiva en todos los sectores de la población.
En definitiva, dependerá de la eficacia de las estrategias implementadas para combatirlo, no obstante, lo que está claro es que, sin una intervención significativa de seguridad e inteligencia, es probable que el fraude cibernético continúe aumentando si las tendencias actuales continúan. La clave radicará en la capacidad de la tecnología, la regulación y la educación para adaptarse y contrarrestar eficazmente las amenazas emergentes.
Es necesario abordar varias prioridades regulatorias, operativas y de otro tipo para frenar eficazmente el aumento del fraude cibernético.
Normativamente, es importante actualizar y fortalecer las leyes y regulaciones de ciberseguridad. Desde el punto de vista operativo, las empresas deberían invertir en tecnologías avanzadas de ciberseguridad. Es determinante aumentar la formación y concienciación en ciberseguridad entre los usuarios para reducir el riesgo de error humano que puede facilitar el fraude. Debe fomentarse la cooperación y el intercambio de información entre instituciones financieras, empresas de tecnología y agencias gubernamentales para crear un frente común contra el fraude cibernético.»
Iñigo Serrano Blanco (Socio fundador y CEO en Sello Legal. Abogado)
«Efectivamente, las estadísticas de delincuencia que publica cada trimestre el Ministerio del Interior son alarmantes: cada año se produce un aumento exponencial de los casos, hasta el momento en que en el año 2023 se produjeron 427.448 estafas informáticas (7) . El problema es que el horizonte es mucho peor: en nuestra opinión, la irrupción de la inteligencia artificial va a suponer un nuevo desafío para todos, en especial para los proveedores de servicios de pago, ya que dibujan un escenario en el que, por poner un ejemplo, en cuestión de minutos una IA puede imitar la voz de cualquier persona, como tu agente de banco o trabajar en derribar las medidas de ciberseguridad que se implementen.
No nos atrevemos a establecer unas prioridades a corto plazo, pero todo pasa por dar un paso atrás en la implementación del sistema 100% online al que cada vez van más los bancos y entidades, hasta el momento en el que puedan ponerse a la par —y superar— la tecnología de los ciberdelincuentes, quienes siempre parecen ir un paso por delante.»
Patricia Romero Macipe (Abogada)
«Los datos están ahí, son públicos, accesibles y no pueden ser más preocupantes.
Ahora bien, debemos tomar en consideración que la hiperconexión no se va a modular en los próximos años, sino que, al contrario, se va a incrementar, habrá más personas conectadas en red, y cada vez más servicios se ofertarán con formato digital. Esto no es malo. Es una realidad que tenemos que asumir.
Partiendo de lo expuesto, y en coherencia con lo que hemos planteado en respuestas anteriores, el reto no es regular más —¿el qué? ¿para qué? — sino ser capaces de garantizar que la normativa en protección de datos, sector bancario, protección de consumidores, etc. se cumple y, por tanto, es eficaz.
Los defectos actuales son operativos. Tenemos buenas normas, pero no se cumplen, sobre todo en la fase preventiva, que es la más importante en el ámbito de las sociedades complejas y globalizadas como la nuestra.»