Sumario: 1. Introducción, 2. El fraude digital: Phishing, 3. El procedimiento administrativo sancionador, 4. El circuito de autorización, 5. Conclusiones.
1. Introducción
Es inevitable que, al hablar sobre fraude digital, nuestra mente asocia la expresión con la imagen de un hacker tras una computadora hurtando nuestro dinero, accediendo a nuestras cuentas y rompiendo nuestra seguridad, o es lo que la experiencia de vida y/o referencias cinematográficas nos han enseñado.
No obstante, adentrándonos en el ámbito legal, analizando los inicios de la pandemia por el COVID-19 se registró un incremento del 12% entre los meses de abril y mayo del 2020, tan solo en las Américas, ello de acuerdo con un reporte por la INTERPOL respecto del impacto de la pandemia y el incremento en la ciberdelincuencia.
2. El fraude digital: Phishing
El término phishing es un derivado del inglés fishing, cuya traducción es pescar haciendo alusión a la finalidad de los ciber delincuentes de que los clientes agraviados “piquen o muerdan el anzuelo”. Aunque sea difícil de imaginar, este término fue conocido a inicios del 1996 en el grupo de noticias hackers “alt.2600”, aunque se sospecha de una aparición más antigua en un boletín de noticias llamado 2600 Magazine.
2.1. Tipos de phishing
Antes de continuar con este artículo, es importante recordar que con “fraude digital” hacemos referencia directa a la figura de phishing y sus derivados de tipología como lo son el vishing, spear phishing, smishing y QRishing.
2.1.2. Vishing
La metodología de este tipo de fraude es por medio de llamadas telefónicas suplantando la identidad de un funcionario público o privado e incluso de una persona de confianza.
2.1.2. Spear phishing
Esta modalidad está dirigida a usuarios específicos, un ejemplo pueden ser funcionarios de empresas a quienes contactan mediante un correo electrónico que contiene un enlace de descarga donde la víctima debe acceder donde lo redirecciona a un sitio web falso. Existe una modalidad parecida llamada whaling, la cual difiere del spear phishing al estar destinada a usuarios de alto rango con acceso a información sensible de personas o empresas o incluso con acceso a fondos.
2.1.3. Smishing
Por medio del smishing se envía un SMS corto al usuario con un enlace virtual donde la víctima ingresará sus credenciales de acceso. Estos mensajes suelen contener falsas alertas respecto a operaciones no reconocidas sobre cuentas bancarias, retenciones o incluso alertas de fraude con la finalidad que el cliente ingrese a dichos enlaces de manera inmediata.
2.1.4 QRishing
Esta modalidad funciona a través de la manipulación de códigos QR cambiando el sitio web destino o el archivo de descarga por un elemento que contiene un malware.
Inscríbete aquí Más información
2.2 Proceso de captación
De lo anterior, y si bien en la actualidad existen más modalidades de fraude digital, el común denominador es la obtención de credenciales de acceso que permiten a los ciberdelincuentes acceder a las cuentas bancarias.
Tras la obtención fraudulenta de las credenciales de acceso, los ciberdelincuentes comienzan a efectuar diversas operaciones fraudulentas haciendo pasar dichas operaciones anómalas como legítimas, pues estas operaciones cumplieron con los protocolos de identificación y validación de una banca virtual de la entidad bancaria con el ingreso de las credenciales de acceso del cliente (usuario y contraseña) previamente obtenidas de manera ilegítima.
3. El procedimiento administrativo sancionador
Entrando en contexto de los siguientes puntos a tratar, recordemos que los canales de atención frente a estas incidencias son los reclamos ante las entidades bancarias y, en casos de tener una respuesta negativa, el usuario puede optar por la vía externa presentando una denuncia administrativa. Sin embargo, y sin importar la vía a elegir por el cliente, en ambas situaciones se le requiere a la entidad bancaria asumir la responsabilidad por el fraude en agravio de su cliente.
- Responsabilidad de la entidad bancaria
Ahora bien, cuando los clientes agraviados advierten estas operaciones y el perjuicio patrimonial que las mismas ocasionan en su contra, optan por la vía administrativa mediante una denuncia administrativa en contra la entidad bancaria, como los principales responsables de proteger sus bienes pecuniarios, acusándola de no prevenir que se lleven a cabo estas operaciones.
-
Ruptura del nexo causal
No obstante, y sin perjuicio de lo anterior, se debe considerar las particularidades y requisitos necesarios para lograr atribuir la responsabilidad legal a la entidad bancaria, sobre todo cuando estamos en frente de una ruptura del nexo causal originada por el propio cliente al haber facilitado sus credenciales de acceso a terceros; considerando que todas las empresas parte del sistema financiero informan, advierten e inculcan a sus usuarios las diversas formas de prevención y seguridad respecto de los peligros de la ciberdelincuencia.
Sin embargo, en poco o nada impactan estas políticas de concientización respecto a los peligros del fraude digital si los propios clientes permiten quiebres en su propia seguridad bancaria vulnerando así los mecanismos de seguridad implementados por las empresas del sistema financiero al brindar ellos mismos sus datos confidenciales con un actuar poco diligente.
4. El circuito de autorización
Dicho esto, debemos entender que, para atribuir la responsabilidad de operaciones no reconocidas como consecuencia de un fraude digital, se debe tener certeza de alguna anomalía o atipicidad en dichas operaciones, esto mediante el análisis del cumplimiento con las etapas del circuito de autorización para su conformidad.
Entendamos como circuito de autorización los pasos y etapas a seguir para que las operaciones bancarias digitales puedan ser aprobadas, las cuales requieren las credenciales de acceso, las mismas que como hemos señalado, son de posesión exclusiva y excluyente del titular de dichos servicios por lo que estas no pueden ser transferidas ni compartidas a terceras personas, puesto que generaría una brecha en la seguridad bancaria informática del cliente.
5. Conclusiones
Siendo ello así, y en conclusión a lo expuesto en el presente artículo, estamos ante realidad objetiva y pragmática que nos deja en claro que, pese a la notoria evidencia de un fraude digital en agravio del cliente; la ruptura del nexo causal por parte del cliente exime de responsabilidad legal a la entidad bancaria por lo que dichas operaciones son producto de la conducta negligente del cliente e imputables a su persona.
Sobre el autor: Sebastian Rodrigo Alberto Bonilla Zapata. Pregrado especializado en Derecho Penal por la Facultad de Derecho y Ciencias Políticas de la Universidad de San Martín de Porres. Experiencia en Derecho Procesal, Procedimiento Administrativo Sancionador y Derecho de Protección al Consumidor en materia de Banca.
