¿A quién no le ha llegado alguna vez un SMS o correo electrónico en el que se hacen pasar por su banco? Los timos que circulan por internet están a la orden del día y pueden llegarnos por distintas vías, ya sea por una página de compraventa o a través de Instagram, entre otros casos.

Pero, ¿podemos recuperar el dinero de las ciberestafas? ¿Debe devolvérnoslo nuestro banco? Sois muchos los que no escribís al chatbot de WhatsApp de Maldita.es (+34 644 22 93 19) con estas preguntas.

Debes saber que el banco no siempre está obligado a devolverlo. Las entidades bancarias, por norma general, no devuelven el dinero si consideran que hemos cometido una negligencia grave. Por ejemplo, si somos nosotros los que proporcionamos las credenciales bancarias. No obstante, según los expertos consultados por Maldita.es, sí que nos lo deben devolver si se trata de una operación no autorizada por nosotros (pongamos el caso de que ha fallado el doble factor de autenticación). Sea cual sea el caso, recomiendan que lo denunciemos a las autoridades y también pongamos una reclamación en nuestro banco.

¿En qué casos se considera que el cliente es el responsable?

“En phishing, como el caso de la suplantación de la página web de BlaBlaCar, por norma general, el banco no se ve obligado a devolver el importe perdido en el fraude, debido a que se considera negligencia por parte del usuario”, explica la criminóloga y jurista especialista en ciberinteligencia, privacidad y ciberseguridad, Susana Alwasity a Maldita.es. Esto se debe a que la víctima, engañada por los ciberdelincuentes, introduce sus datos bancarios en una página fraudulenta sin comprobar si es legítima.

La Ley de Servicios de Pago “impone una serie de derechos y obligaciones a los usuarios y proveedores de servicios de pago, es decir, las entidades bancarias, importante a tener en cuenta para determinar la responsabilidad y ver si el importe es susceptible de devolución”, añade Alwasity.

Estas obligaciones del cliente a la que se refiere la experta en ciberseguridad son “usar el instrumento de pago (por ejemplo, la tarjeta de bancaria) de acuerdo con las condiciones pactadas en el contrato), tomar las medidas razonables para proteger las credenciales de seguridad y notificar sin demora indebida el extravío, la sustracción, la apropiación indebida o la utilización no autorizada”.

Aunque el banco tampoco tiene responsabilidades cuando hacemos una transferencia a alguien, actuar rápido juega en nuestro favor

'Catfish' o cuando tu pareja virtual no existe: "No hubo fin económico ni sexual, ojalá, al menos habría una explicación"

En ocasiones podemos ser víctimas de engaños y acabamos haciendo una transferencia a alguien a quien creemos que es de confianza. Lo vemos en el timo que circula por plataformas de citas como Tinder donde la víctima envía dinero a su match, cuando este, bajo alguna excusa, le pide que le haga transacciones prometiéndole que se las devolverá.

En estos casos, ceder y enviar ese dinero nos “puede salir caro”, declara el experto en riesgo operacional, Carles Capdevila. “El banco no tiene responsabilidad en lo que ejecuta el usuario, si mandamos el dinero por transferencia, es nuestra responsabilidad”, añade.

Y es que, como indica Alwasity, “una orden de pago sólo se considera autorizada cuando el ordenante haya dado el consentimiento para su ejecución, y en estos casos es más complejo que el banco devuelva el dinero”.

No obstante, si tras hacer la transferencia bancaria nos damos cuenta de que estamos ante un timo, sí es recomendable ponerse en contacto de forma inmediata con la entidad bancaria y pedirle que cancele la transacción. 

La entidad bancaria está obligada a devolver el dinero cuando se realizan operaciones de pago no autorizadas por el titular

Las responsabilidades no afectan sólo a los clientes, las entidades bancarias también tienen las suyas. Estas deben tener implementadas “medidas de seguridad necesarias para asegurar la identidad del ordenante y la autenticación de la operación. Así lo indica la Directiva de Servicios de Pago (DSP2) que obliga a estas entidades a que las órdenes de pago se realicen mediante una autenticación reforzada o, lo que es lo mismo, que la operación esté validada con la clave personal y, además, con un factor biométrico (como puede ser la huella dactilar) o una clave aleatoria generada en cada operación, que debe ser enviada al usuario para revalidar la operación (lo que se denomina doble factor de autenticación)”, nos indica Alwasity.

Esto lo vemos, por ejemplo, cuando vamos a realizar una compra en internet y nuestro banco nos pide, por ejemplo, que abramos en nuestro móvil la aplicación, introduzcamos el PIN e insertemos el código que nos envían por SMS para poder autorizarla.

Y es que, si falla el doble factor de autenticación mencionado y el ciberdelincuente consigue hacerse con nuestro dinero, la responsabilidad en este caso no sería solo de la víctima. Un cliente del Banco Santander, tras recibir un email fraudulento que se hacía pasar por esta entidad, que indicaba que su cuenta estaba bloqueada y que disponía de un enlace de desbloqueo, decidió pinchar en dicho enlace “sin percatarse de que era fraudulento”, según la organización de consumidores FACUA. Tras esto, le quitaron 2.929 euros sin que, según la organización de consumidores, el cliente autorizara el pago.

Aunque, según FACUA, en un principio su banco no le aportó ninguna solución, tras una reclamación de la organización de defensa de consumidores al Banco de España, alegando que el cliente no había autorizado el pago, entre otras cuestiones, el banco le devolvió el importe defraudado por el phishing.

En resumen, según el abogado especializado en derecho y nuevas tecnologías, Miguel Vieito Villar, “más allá de la práctica bancaria, las entidades tienen obligación de devolución en toda operación no autorizada”, según la Ley de Servicios de Pago. Lo mismo ocurre si tenemos una cantidad límite establecida y los ciberdelincuentes extraen una cantidad superior sin nosotros haberla autorizado. 

¿Cuál es el proceso para intentar recuperar el dinero una vez descubrimos la estafa?

Independientemente de si has caído en el SMS que se hacía pasar por tu banco o has introducido tus datos bancarios en una página web fraudulenta, es importante que en el momento en el que seas consciente de que es un timo, contactes con tu banco inmediatamente “para cancelar cualquier pago no autorizado o nuestra tarjeta en caso necesario”, como nos explica el Instituto Nacional de Ciberseguridad (INCIBE).

Actuar rápidamente es crucial, según nos indica Vieito Villar: “En la práctica, un punto clave es la notificación al banco. En términos generales, el banco no pondrá objeciones a devolvernos el dinero de toda operación posterior a haberles informado de la suplantación, y serán reticentes a devolver el dinero anterior a los avisos”, añade.

El segundo paso, de acuerdo con el INCIBE, es “recopilar todas las pruebas posibles y poner una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado”.

Ya por último, como explica la Organización de Consumidores y Usuarios (OCU) debes poner una reclamación a la entidad bancaria, siempre y cuando no te hayan devuelto el dinero reclamado. Es importante que lo hagas con la denuncia que hayas puesto.

“Ya sea el cargo anterior o posterior al aviso a la entidad bancaria", debemos rellenar lo que se conoce como formulario de "cargos no reconocidos", es decir, la reclamación en la que exponemos lo ocurrido, añade Vieito Villar.

Si ya has puesto la reclamación y el banco, tras estudiarla, “la deniega o no es conforme con lo que entendemos justo, la podemos trasladar al Banco de España, que las acepta y las analiza una vez hemos reclamando primero al banco o al defensor del cliente”, explica Capdevila.

Y recuerda que si has sido víctima de un fraude y has reclamado el dinero a una entidad bancaria, puedes contarnos tu experiencia escribiendo a timo@maldita.es.