Saltar al contingut Saltar a la navegació Informació de contacte

Preguntes més freqüents sobre l'ús fraudulent dels sistemes de pagament i les reclamacions als bancs per recuperar els diners

Escoltar

Preguntes més freqüents sobre l'ús fraudulent dels sistemes de pagament i les reclamacions als bancs per recuperar els diners

Problemàtiques relacionades amb l'ús de la banca electrònica i les targetes de crèdit.

Què són els sistemes de pagament?

 
Les targetes de crèdit, els nostres telèfons mòbils o la nostra banca electrònica, entre altres sistemes que també serveixen per pagar les nostres compres per Internet o pagar els nostres rebuts, ja sigui amb una ordre de pagament, o ingressant, transferint o retirant fons dels nostres comptes de pagament.
 

Quin és el nivell de seguretat d'aquests sistemes de pagament electrònic?

 
Per accedir a aquests sistemes de pagament, el proveïdor, normalment el banc o una altra mena d'entitat de serveis de pagament, ens faciliten unes credencials de seguretat personalitzades, que garanteixen que som nosaltres els que estem fent l'operació.
 
Per tant, la seguretat depèn d'una clau d'autenticació personal i intransferible que hem de conservar i protegir correctament.
 
L'ús d'una sola clau d'accés s'ha vist que era molt vulnerable i per aquest motiu, la normativa preveu una autenticació reforçada de client, i basada en la utilització de dos o més elements categoritzats com a coneixement (una cosa que només coneix l’usuari), possessió (una cosa que només té l’usuari) i inherència (una cosa que és l’usuari), que són independents –és a dir, que la vulneració d’un no compromet la fiabilitat dels altres–, i concebuda de manera que es protegeixi la confidencialitat de les dades d’identificació.
 
Per exemple ens poden donar una targeta de coordenades amb unes numeracions que només té la persona consumidora, o ens poden enviar un SMS amb un codi específic d'accés, o bé ens poden demanar identificacions biomètricament, amb reconeixement facial o petja digital, cosa que només pot fer la persona usuària real.
 

Quins problemes hi ha amb les credencials dels sistemes de pagament?

 
Què se'n faci un ús indegut, sense el consentiment de la persona consumidora i això pot passar per dos motius diferents:
 
  1. Què ens enganyin personalment i ens prenguin les nostres credencials.
  2. Què ens prenguin les nostres credencials utilitzant sistemes tecnològics.
En qualsevol d'aquests casos, haurem estat víctimes d'un delicte d'estafa informàtica, regulat a l'article 249 de la Llei orgànica 10/1995, de 23 de novembre, del codi penal -CP-  i ho haurem de denunciar de forma immediata als cossos de seguretat.
 
El problema en aquesta mena de  delictes, és poder determinar l'autoria, perquè cal una investigació molt complicada en el ciberespai, d'àmbit internacional.
 
Al portal oficial dels Mossos d’Esquadra de la Generalitat de Catalunya trobareu informació de com presentar denúncies: https://mossos.gencat.cat/ca/temes/denuncies/ i de les precaucions que cal prendre: https://mossos.gencat.cat/ca/temes/Internet-xarxes-socials-i-aplicacions/. També tenen un correu per demanar assessorament: internetsegura@gencat.cat
 
La Guàrdia Civil també té el "Grup de delictes telemàtics (GDT)" per lluitar contra  el Ciber-delicte: https://www.guardiacivil.es/ca/institucional/Conocenos/especialidades/gdt/index.html
 
També hi ha organismes oficials que us poden ajudar a resoldre dubtes  i donar-vos consells específics de com actuar en el cas que hàgiu patit alguna estafa d'aquesta mena:
 
L’ Agència de Ciberseguretat de Catalunya, que disposa d'un portal web especialitzat on trobareu molts consells i informació: https://internetsegura.cat/
 
Instituto Nacional de Ciberseguridad de España, conegut com a INCIBE, que disposa d'una línia telefònica gratuïta d'ajuda en ciberseguretat: 017 on s'hi poden fer consultes en horari de 9.00 a 21.00 hores cada dia de l'any (inclosos dissabtes, diumenges i festius).
 
Un altre recurs per obtenir més informació, és l'Oficina de Seguretat de l'Internauta (OSI).
 

Com es pot reclamar si ens han pres les nostres credencials utilitzant l'engany?

 
En aquests casos parlem d'estafes, perquè els delinqüents ens han enganyat per poder obtenir les nostres credencials i som nosaltres, les persones consumidores, qui que les hem donades als ciberdelinqüents, perquè hem sofert alguna d'aquestes pràctiques enganyoses:
 
Phishing: Mitjançant aquest  sistema delictiu, el ciberdelinqüent s’adreça a la persona consumidora, suplantant la identitat d’una altra persona o entitat, per exemple, un organisme públic oficial o una entitat bancària i li comunica alguna cosa que, segurament preocuparà a la persona consumidora i farà que s’interessi pel tema.
 
Aquest és el cas, per exemple, dels correus electrònics que ens poden arribar, dient que ens han enviat un paquet i que l’hem d’anar a recollir, o que tenim una multa de trànsit i que mirem el que hem de fer, entrant en un enllaç que hi ha en aquesta mena de correu. Si la persona consumidora entra a l’enllaç que li han enviat, segurament l’adreçaran a una pàgina web falsa i llavors, quan introdueixi les seves dades li robaran.
 
Smishing: És un sistema molt similar al phishing, però que en comptes d'utilitzar el coreu electrònic, utilitza els missatges SMS del telèfon mòbil. La persona consumidora rep  un SMS que menciona una qüestió greu o urgent, com una multa, un paquet per entregar, o un regal. Llavors entres al missatge o fas una trucada telefònica al número que indiquen i també acabes facilitant les teves dades. Actualment també es pot utilitzar el WhatsApp per enviar-nos enllaços maliciosos.
 
Vishing: és un tipus d'estafa d'enginyeria social que es fa per telèfon, en comptes de per correu electrònic o sms, en la qual, a través d'una trucada, se suplanta la identitat d'una empresa, organització o persona de confiança, amb la finalitat d'obtenir informació personal i sensible de la víctima. 
 
CONSELLS BÀSICS DE SEGURETAT
 
  • No us refieu de cap trucada telefònica ni de cap correu electrònic ni missatge de Whatsapp o SMS que us demani dades personals. Penseu que les administracions públiques, el vostre banc o les empreses amb les quals us relacioneu, ja disposen de les vostres dades i no us les demanaran mai per aquests canals.
  • Analitzeu bé els missatges, l'origen i el format i no actueu de forma precipitada, no deixeu que la por, la curiositat o la sorpresa us facin facilitar unes dades personals que els ciberdelinqüents utilitzaran per perjudicar-vos.

Com es pot reclamar si us han pres les vostres credencials utilitzant programes informàtics maliciosos (malware)?

 
En aquest tipus d'engany no són les persones consumidores, les que, enganyades, faciliten les seves dades, aquí són els ciberdelinqüents qui les prenen, utilitzant sistemes tecnològics com els virus, els troians, els cucs, l'accés a la nostra xarxa Wifi o al nostre telèfon mòbil.
 
Aquí teniu algunes de les tècniques que utilitzen:
 
Pharming: La persona consumidora està navegant i vol anar a un web determinat, però per algun mètode maliciós el ciberdelinqüent aconsegueix derivar-la a una pàgina web que s’assembla a la que volia consultar, però que en realitat és una clonació falsa. Un cop en aquesta pàgina web falsa, la persona consumidora subministra, sense ser-ne conscients,  les seves dades personals i credencials al ciberdelinqüent, que les farà servir robar-li els diners de la banca en línia o per comprar productes en nom seu.
 
El malware, el que pot fer, és infectar directament l'ordinador o dispositiu mòbil de la persona consumidora amb un virus o un troià, que tindrà la funció de dirigir el trànsit cap a un lloc web fals. El malware també es pot instal·lar en el servidor i encara que estiguem tranquils perquè el nostre antivirus no detecti res, resulta que podrem ser igualment víctimes de l'atac.
 
CONSELLS BÀSICS DE SEGURETAT
 
  • Comprovar l'adreça URL. Mirar si té el pany de comunicació xifrada i si el certificat digital coincideix amb el titular que voleu consultar.
  • No descarregar-se aplicacions de llocs no oficials ni punxar enllaços que no sabeu on us porten i vigilar bé els codis QR que activeu.
  • No baixar arxius adjunts de correus electrònics sospitosos.
  • Tenir totes les aplicacions dels vostres dispositius mòbils i del vostre ordinador actualitzats.
  • Disposar d'un antivirus i fer verificacions amb molta freqüència.
  • No connectar-se a xarxes wifi públiques per utilitzar aplicacions amb credencials de seguretat.

Què es pot fer davant d'un ús fraudulent de les targetes de crèdit?

 
Les targetes de crèdit també són sistemes de pagament, com la banca en línia i també us poden robar les credencials amb els mateixos sistemes, siguin amb un engany personal o bé utilitzant sistemes tecnològics.
En el cas d'enganys personals parlem de "carding", que  és qualsevol mètode dels que hem comentat abans com el phising, el smishing o el vishing, utilitzat per obtenir concretament les credencials de les targetes de crèdit.
 
En el cas de sistemes tecnològics, quan opereu amb terminals físics reals, com els caixers o els terminals del punt de venda, parlem de "shimming" i els delinqüents poden instal·lar uns dispositius que poden copiar el xip de la vostra targeta i duplicar-la. I un cop tenen el vostre xip, ja poden comprar com si fossin vosaltres i en aquests casos les persones consumidores comencen a rebre extractes de compres que no han fet.
 
Evidentment, també us poden robar les credencials amb els programes maliciosos que es poden instal·lar al vostre ordinador.
 
També pot passar que se us carreguin compres de forma fraudulenta, simplement utilitzant les dades que figuren impreses a la targeta.
 
En aquests casos hi ha una protecció especial i la persona consumidora pot exigir l'anul·lació immediata del càrrec i les corresponents anotacions de deute i reabonament en els comptes de l'empresari i del consumidor i usuari titular de la targeta s'han d'efectuar al més aviat possible.
 
En tot cas, la persona consumidora queda exempta de qualsevol responsabilitat en cas de sostracció, pèrdua o apropiació indeguda d’un instrument de pagament quan les operacions s’hagin efectuat de manera no presencial utilitzant únicament les dades de pagament impreses en el mateix instrument, sempre que no s’hagi produït un frau o una negligència greu per la seva part en el compliment de les seves obligacions de custòdia de l’instrument de pagament i les credencials de seguretat i hagi notificat la circumstància esmentada sense demora.
 
O també si el proveïdor de serveis de pagament de l’ordenant no exigeix una autenticació reforçada de client, l’ordenant només ha de suportar les possibles conseqüències econòmiques en cas d’haver actuat de manera fraudulenta. En el supòsit que el beneficiari o el proveïdor de serveis de pagament del beneficiari no acceptin l’autenticació reforçada del client, han de reemborsar l’import del perjudici financer causat al proveïdor de serveis de pagament de l’ordenant.
 

Com demanar al banc, que ens tornin els nostres diners, en cas d'un ús no autoritzat de les nostres credencials?

 
Primer de tot, haureu de comunicar, com més aviat millor, al vostre banc, que aquestes operacions no les heu autoritzat vosaltres. A partir del moment que ho heu comunicat ja no heu de suportar cap conseqüència econòmica per la utilització, amb posterioritat d’un instrument de pagament extraviat o sostret. Si no ho heu detectat, haureu d'assumir un pagament màxim de 50 €.
 
Tampoc heu d'assumir cap conseqüència si  el proveïdor de serveis de pagament no té disponibles mitjans adequats perquè es pugui notificar en tot moment la pèrdua o la sostracció d’un instrument de pagament.
Un cop feta la sol·licitud perquè us retornin els diners, el banc ha de fer-ho immediatament i, en tot cas, a tot tardà al final del dia hàbil següent a aquell en què hagi observat o se li hagi notificat l’operació.
 
A més, el banc ha de restituir el compte de pagament en què s’hagi efectuat el càrrec a l’estat en què s’hauria trobat si no s’hagués efectuat l’operació no autoritzada. La data de valor de l’abonament en el compte de pagament de l’ordenant no ha de ser posterior a la data de càrrec de l’import tornat.
 
Com hem dit, la persona consumidora pot quedar obligada a suportar, fins a un màxim de 50 euros, les pèrdues derivades d’operacions de pagament no autoritzades resultants de la utilització d’un instrument de pagament extraviat, sostret o apropiat indegudament per un tercer, llevat que:
 
  • a) a l’ordenant no li sigui possible detectar la pèrdua, la sostracció o l’apropiació indeguda d’un instrument de pagament abans d’un pagament, excepte quan el mateix ordenant hagi actuat fraudulentament, o
  • b) la pèrdua sigui deguda a l’acció o la inacció d’empleats o de qualsevol agent, sucursal o entitat d’un proveïdor de serveis de pagament al qual s’hagin externalitzat activitats. 

Es pot negar el banc a retornar els diners?

 
Hi ha dos motius que el banc pot al·legar per no retornar els diners:
 
  • El primer és quan tingui motius raonables per sospitar l’existència de frau i comuniqui els motius esmentats per escrit al Banc d’Espanya, en la forma i amb el contingut i els terminis que aquest determini.
  • L'altre motiu fa referència a un ús negligent de la persona consumidora, de les seves credencials d'accés.
En aquests casos, si ho considereu oportú, podeu presentar una reclamació prèvia  a les entitats bancàries, que han de disposar d’un servei d’atenció al client que ha de resoldre les reclamacions que els presentin els seus usuaris de serveis de pagament, i han de donar una resposta, a més tardà quinze dies hàbils després de la recepció de la reclamació.
 
Un cop obtingui la resposta del servei d'atenció al client del banc i si la persona consumidora no hi està conforme, pot anar a l'OMIC o a la Junta Arbitral de Consum de Mataró, però l'organisme especialitzat és, en aquests casos, el Servei de Defensor del client del Banc d'Espanya,  i la presentació de les reclamacions/denúncies es pot fer de forma telemàtica al portal del client bancari, en el següent enllaç extern: https://clientebancario.bde.es/ , o  també de forma presencial als seus registres: Banco de España. Departamento de Conducta de Mercado y Reclamaciones, C/Alcalá 48 28014 Madrid. A Barcelona hi ha una delegació del Banc d’Espanya, Plaça de Catalunya, 17 08002 Barcelona.
 
Sense perjudici del dret a presentar una demanda davant l’òrgan jurisdiccional competent, el Banc d’Espanya, en la seva resposta motivada, ha d’informar el denunciant de l’existència dels procediments extrajudicials de resolució alternativa de litigis.
 

Qui ha de demostrar que l'operació s'ha autoritzat de forma correcta?

 
El banc, davant la declaració de la persona consumidora que hi ha hagut un ús fraudulent de les seves credencials, ha de demostrar, dins del seu àmbit de competència, que l’operació de pagament va ser autenticada i registrada amb exactitud i no es va veure afectada per una fallada tècnica o altres deficiències vinculades al servei de pagament del qual és responsable.
 
Per tant, li correspon al proveïdor de serveis de pagament demostrar que l’operació de pagament va ser autenticada, registrada amb exactitud i comptabilitzada, i que no es va veure afectada per una fallada tècnica o una altra deficiència del servei prestat pel proveïdor de serveis de pagament i en cap cas, el registre pel proveïdor de serveis de pagament, inclòs, si s’escau, el proveïdor de serveis d’iniciació de pagaments, de la utilització de l’instrument de pagament no és suficient, necessàriament, per demostrar que l’operació de pagament la va autoritzar l’ordenant, ni que aquest ha actuat de manera fraudulenta o ha incomplert deliberadament o per negligència greu una o diverses de les seves obligacions.
 
També correspon al proveïdor de serveis de pagament, inclòs, si s’escau, el proveïdor de serveis d’iniciació de pagaments, provar que l’usuari del servei de pagament va cometre un frau o una negligència greu i per això el banc ha de conservar la documentació i els registres que li permetin acreditar el compliment de les seves obligacions i les ha de facilitar a l’usuari en cas que així li sigui sol·licitat, durant, almenys, sis anys.   
 

Com s'ha de presentar la reclamació per un ús fraudulent dels sistemes de pagament?

 
La persona consumidora ha de suportar totes les pèrdues derivades d’operacions de pagament no autoritzades només si  ha incorregut en aquestes pèrdues per haver actuat de manera fraudulenta o per haver incomplert, deliberadament o per negligència greu.
 
Per això la resposta de l'entitat bancària pot ser, en alguns casos, que s'ha accedit al compte amb unes credencials vàlides i que per això consideren que no s'ha produït cap error en els sistemes de seguretat, però qui té raó?
 
La normativa estableix que la persona consumidora, a qui li han fet un ús no autoritzat de la seva banca en línia o de la seva targeta no seria responsable si ha utilitzat aquests instruments,  prenent les mesures raonables a fi de protegir les seves credencials de seguretat personalitzades i les condicions del contracte d'emissió del sistema de pagament, que han de ser unes condicions  objectives, no discriminatòries i proporcionades, el que vol dir que no pot ser que tota la responsabilitat de la seguretat de l'operació, només recaigui sobre la persona consumidora i no sobre el banc, que de fet, és l'empresa que es beneficia dels sistemes de pagament.
 
Per tant, cal que la persona consumidora:
  • Segueixi les estipulacions del contracte que ha subscrit amb l'entitat bancària, en especial, els aspectes de seguretat.
  • Prengui totes les mesures raonables per protegir les seves credencials personalitzades.
  • Notifiqui, de forma urgent la pèrdua, la sostracció o l'apropiació indeguda de l’instrument de pagament o de la seva utilització no autoritzada.
 
NORMATIVA
 

Arxius adjunts