Jurídic

La responsabilitat dels bancs en els robatoris informàtics: jurisprudència i ètica

Joan Andreu Reverter

Advocat

Que estem vivint una onada molt preocupant de ciberdelinqüència que afecta a particulars i empreses és, malauradament, un tema de domini públic, per la proliferació de casos. Qui més qui menys ha patit algun tipus d'incidència o sap d'algú a qui li ha passat. L'àmbit bancari és un dels més afectats, amb modalitats molt diverses en les que els lladres es fan amb el control del compte bancari de la víctima per buidar-lo total o parcialment, com ja hem explicat en altres articles.

Afortunadament, i tot i l'innegable ensurt i complicacions que suposa haver de denunciar i reclamar un cas de phising -el concepte genèric, que té moltes subcategories-, en la majoria dels casos la víctima aconsegueix recuperar els seus diners. I això és així perquè el Reial Decret 19/2018, que desenvolupa una normativa europea, estableix que les entitats financeres són les responsables quan falla la protecció que han de donar als seus clients en els serveis de banca online.

Tot i que en la majoria dels casos de phising s'aconsegueixen recuperar els diners de les víctimes, la primera resposta dels bancs és que el robatori és responsabilitat de la víctima

Un cas recent que hem gestionat des del nostre despatx és un bon exemple d'aquest paradigma que, repetim, cada cop afecta a més persones però que, per sort, presenta diversos camins transitables per que es faci justícia. És la història d'un client de banca que el març de 2022 va fer una operació per caixer automàtic mentre un dels presumptes delinqüents li sostreia a pocs metres les dades del seu telèfon mòbil per duplicar la seva targeta SIM. Només amb això, el grup criminal va poder ordenar transferències per un import total de 100.000 euros, que van anar a parar a diversos comptes corrents de les persones que integraven aquesta banda de lladres.

El Reial Decret 19/2018, que desenvolupa una normativa europea, determina clarament que el banc té la responsabilitat de protegir els seus serveis online d'aquest fenomen

La primera reclamació, lògicament, va ser a l'entitat bancària, en aquest cas Ibercaja. Com acostuma a passar, el banc, després d'instar al client a fer la pertinent denúncia policial, va atribuir la responsabilitat a la negligència de la víctima, per deixar-se robar les seves contrasenyes, en contra de l'esmentat Reial Decret. Tot i això, Ibercaja va aconseguir retrocedir una part de les transferències recuperant 55.000 euros, però sorprenentment no aplica el mateix procediment amb la totalitat de les quantitats sostretes.

És sorprenent que grups de delinqüents molt matussers aconsegueixin burlar els sistemes de seguretat digital d'organitzacions tan poderoses com els bancs

La reclamació judicial per la via civil que vam presentar ha acabat donant la raó a la víctima i ja tenim un sentència que obliga a Ibercaja a restituir la totalitat dels diners, tal com marca la llei, que considera als bancs els responsables de la seguretat dels seus sistemes tecnològics. Ho diu la llei però també el sentit comú, que hauria de ser un dels principis que marquessin l'actuació d'aquestes organitzacions bàsiques per al funcionament de la societat i que, justament per això, han rebut importants ajudes públiques quan s'ha trobat en dificultats.

No és ètic que els bancs, als que hem hagut de rescatar entre tots, facin passar als seus clients per un llarg procés de reclamació per recuperar els seus diners

El cas ha tingut també un vessant penal que segueix obert. La policia va fer bé la seva feina i els encara presumptes integrants de la banda d'estafadors han estat identificats i ja han prestat declaració. Escoltant-los se't genera una sensació de perplexitat: com és possible que amb procediments tant barroers uns malfactors que no són precisament de guant blanc puguin saltar-se els sistemes de seguretat d'una entitat tan poderosa com un banc? Dons passa, i quan això succeeix l'entitat financera intentarà defugir la seva responsabilitat fins que un jutge no li digui el contrari, cosa que acabarà passant.

Però en aquest escenari vull apel·lar a l'ètica: amb un marc legal que, com hem dit, marca clarament que els bancs hauran de respondre d'aquests ciberdelictes té sentit que es faci passar a un client per un procés que pot arribar a durar més d'un any? Amb l'impacte que això té tant en termes econòmics com de neguit per no saber com acabarà el procés. Caldria que els bancs, en virtut del seu rol a la societat per a la que treballen i que, de tant en tant, els rescata quan estan a tocar del precipici, facin una reflexió ètica sobre com han d'afrontar aquestes situacions davant de qui són, al cap i a la fi, l'origen dels seus ingents beneficis, que no són altres que els seus clients i la confiança que els fan quan els confien els seus diners.