Saltar al contingut Saltar a la navegació Informació de contacte

Preguntas más frecuentes sobre el uso fraudulento de los sistemas de pago y las reclamaciones a los bancos para recuperar el dinero

Escuchar

Preguntas más frecuentes sobre el uso fraudulento de los sistemas de pago y las reclamaciones a los bancos para recuperar el dinero

 

 ¿Qué son los sistemas de pago? 

  
Las tarjetas de crédito, nuestros teléfonos móviles o nuestra banca electrónica, entre otros sistemas que también sirven para pagar nuestras compras por Internet o pagar nuestros recibos, ya sea con una orden de pago, o ingresando, transfiriendo o retirando fondos de nuestras cuentas de pago. 
  

¿Cuál es el nivel de seguridad de estos sistemas de pago electrónico? 

  
Para acceder a estos sistemas de pago, el proveedor, normalmente el banco u otro tipo de entidad de servicios de pago, nos facilitan unas credenciales de seguridad personalizadas, que garantizan que somos nosotros los que estamos haciendo la operación. 
  
Por lo tanto, la seguridad depende de una clave de autenticación personal e intransferible que debemos conservar y proteger correctamente. 
  
El uso de una sola clave de acceso se ha visto que era muy vulnerable y por este motivo, la normativa prevé una autenticación reforzada de cliente, y basada en la utilización de dos o más elementos categorizados como conocimiento (algo que sólo conoce el usuario), posesión (algo que sólo tiene el usuario) e inherencia (algo que es el usuario),  que son independientes –es decir, que la vulneración de uno no compromete la fiabilidad de los demás–, y concebida de manera que se proteja la confidencialidad de los datos de identificación. 
  
Por ejemplo, nos pueden dar una tarjeta de coordenadas con unas numeraciones que solo tiene la persona consumidora, o nos pueden enviar un SMS con un código específico de acceso, o bien nos pueden pedir identificaciones biométricamente, con reconocimiento facial o huella digital, cosa que solo puede hacer la persona usuaria real. 
  

¿Qué problemas hay con las credenciales de los sistemas de pago? 

  
Qué se haga un uso indebido, sin el consentimiento de la persona consumidora y esto puede pasar por dos motivos diferentes: 
  
  1. Qué nos engañen personalmente y nos roben nuestras credenciales. 
  1. Qué nos tomen nuestras credenciales utilizando sistemas tecnológicos. 
 
En cualquiera de estos casos, habremos sido víctimas de un delito de estafa informática, regulado en el artículo 249 de la Ley Orgánica 10/1995, de 23 de noviembre, del código penal -CP- y lo deberemos denunciar de forma inmediata a los cuerpos de seguridad. 
  
El problema en este tipo de delitos es poder determinar la autoría, porque es necesaria una investigación muy complicada en el ciberespacio, de ámbito internacional. 
  
En el portal oficial de los Mossos d'Esquadra de la Generalitat de Catalunya encontraréis información de cómo presentar denuncias: https://mossos.gencat.cat/ca/temes/denuncies/ y de las precauciones que hay que tomar: https://mossos.gencat.cat/ca/temes/Internet-xarxes-socials-i-aplicacions/. También tienen un correo para pedir asesoramiento: internetsegura@gencat.cat 
  
La Guardia Civil también tiene el "Grupo de delitos telemáticos (GDT)" para luchar contra el Ciber-delito: https://www.guardiacivil.es/ca/institucional/Conocenos/especialidades/gdt/index.html 
  
También hay organismos oficiales que os pueden ayudar a resolver dudas y daros consejos específicos de cómo actuar en el caso de que hayáis sufrido alguna estafa de este tipo: 
  
La Agencia de Ciberseguridad de Catalunya, que dispone de un portal web especializado donde encontraréis muchos consejos e información: https://internetsegura.cat/ 
  
Instituto Nacional de Ciberseguridad de España, conocido como INCIBE, que dispone de una línea telefónica gratuita de ayuda en ciberseguridad: 017 donde se pueden hacer consultas en horario de 9.00 a 21.00 horas cada día del año (incluidos sábados, domingos y festivos). 
  
Otro recurso para obtener más información es la Oficina de Seguridad del Internauta (OSI). 

  

¿Cómo se puede reclamar si nos han robado nuestras credenciales utilizando el engaño? 

  
En estos casos hablamos de estafas, porque los delincuentes nos han engañado para poder obtener nuestras credenciales y somos nosotros, las personas consumidoras, quienes las hemos dado a los ciberdelincuentes, porque hemos sufrido alguna de estas prácticas engañosas: 
  
Phishing: Mediante este sistema delictivo, el ciberdelincuente se dirige a la persona consumidora, suplantando la identidad de otra persona o entidad, por ejemplo, un organismo público oficial o una entidad bancaria y le comunica algo que, seguramente preocupará a la persona consumidora y hará que se interese por el tema. 
  
Este es el caso, por ejemplo, de los correos electrónicos que nos pueden llegar, diciendo que nos han enviado un paquete y que lo tenemos que ir a recoger, o que tenemos una multa de tráfico y que miremos lo que tenemos que hacer, entrando en un enlace que hay en este tipo de correo. Si la persona consumidora entra en el enlace que le han enviado, seguramente lo dirigirán a una página web falsa y entonces, cuando introduzca sus datos se los robarán. 
  
Smishing: Es un sistema muy similar al phishing, pero que, en lugar de utilizar el correo electrónico, utiliza los mensajes SMS del teléfono móvil. La persona consumidora recibe un SMS que menciona una cuestión grave o urgente, como una multa, un paquete para entregar, o un regalo. Entonces entras en el mensaje o haces una llamada telefónica al número que indican y también acabas facilitando tus datos. Actualmente también se puede utilizar el WhatsApp para enviarnos enlaces maliciosos. 
  
Vishing: es un tipo de estafa de ingeniería social que se hace por teléfono, en lugar de por correo electrónico o sms, en la que, a través de una llamada, se suplanta la identidad de una empresa, organización o persona de confianza, con la finalidad de obtener información personal y sensible de la víctima.  
  
CONSEJOS BÁSICOS DE SEGURIDAD 
  
  • No confiar en ninguna llamada telefónica ni en ningún correo electrónico ni mensaje de Whatsapp o SMS que os pida datos personales. Pensar que las administraciones públicas, vuestro banco o las empresas con las que os relacionéis, ya disponen de vuestros datos y no os los pedirán nunca por estos canales. 
  • Analizar bien los mensajes, el origen y el formato y no actuéis de forma precipitada, no dejéis que el miedo, la curiosidad o la sorpresa os hagan facilitar unos datos personales que los ciberdelincuentes utilizarán para perjudicaros. 

¿Cómo se puede reclamar si os han tomado vuestras credenciales utilizando programas informáticos maliciosos (malware)? 

  
En este tipo de engaño no son las personas consumidoras, las que, engañadas, facilitan sus datos, aquí son los ciberdelincuentes quienes las toman, utilizando sistemas tecnológicos como los virus, los troyanos, los gusanos, el acceso a nuestra red Wifi o a nuestro teléfono móvil. 
  
Aquí te presentamos algunas de las técnicas que utilizan: 
  
Pharming: La persona consumidora está navegando y quiere ir a una web determinada, pero por algún método malicioso el ciberdelincuente consigue derivarla a una página web que se parece a la que quería consultar, pero que en realidad es una clonación falsa. Una vez en esta página web falsa, la persona consumidora suministra, sin ser conscientes de ello, sus datos personales y credenciales al ciberdelincuente, que los utilizará para robarle el dinero de la banca en línea o para comprar productos en su nombre. 
  
El malware, lo que puede hacer, es infectar directamente el ordenador o dispositivo móvil de la persona consumidora con un virus o un troyano, que tendrá la función de dirigir el tráfico hacia un sitio web falso. El malware también se puede instalar en el servidor y aunque estemos tranquilos para que nuestro antivirus no detecte nada, resulta que podremos ser igualmente víctimas del ataque. 
  
CONSEJOS BÁSICOS DE SEGURIDAD 
  
  • Comprobar la dirección URL. Mirar si tiene la cerradura de comunicación cifrada y si el certificado digital coincide con el titular que queréis consultar. 
  • No descargarse aplicaciones de sitios no oficiales ni pinchar enlaces que no sabéis dónde os llevan y vigilar bien los códigos QR que activáis. 
  • No bajar archivos adjuntos de correos electrónicos sospechosos. 
  • Tener todas las aplicaciones de vuestros dispositivos móviles y de vuestro ordenador actualizados. 
  • Disponer de un antivirus y hacer verificaciones con mucha frecuencia. 
  • No conectarse a redes wifi-públicas para utilizar aplicaciones con credenciales de seguridad. 

¿Qué se puede hacer ante un uso fraudulento de las tarjetas de crédito? 

  
Las tarjetas de crédito también son sistemas de pago, como la banca en línea y también os pueden robar las credenciales con los mismos sistemas, sean con un engaño personal o bien utilizando sistemas tecnológicos. 
 
En el caso de engaños personales hablamos de "carding", que es cualquier método de los que hemos comentado antes como el phising, el smishing o el vishing, utilizado para obtener concretamente las credenciales de las tarjetas de crédito. 
  
En el caso de sistemas tecnológicos, cuando operéis con terminales físicos reales, como los cajeros o los terminales del punto de venta, hablamos de "shimming" y los delincuentes pueden instalar unos dispositivos que pueden copiar el chip de vuestra tarjeta y duplicarla. Y una vez que tienen vuestro chip, ya pueden comprar como si fueran vosotros y en estos casos las personas consumidoras empiezan a recibir extractos de compras que no han hecho. 
  
Evidentemente, también os pueden robar las credenciales con los programas maliciosos que se pueden instalar en vuestro ordenador. 
  
También puede pasar que se os carguen compras de forma fraudulenta, simplemente utilizando los datos que figuran impresos en la tarjeta. 
  
En estos casos existe una protección especial y la persona consumidora puede exigir la anulación inmediata del cargo y las correspondientes anotaciones de deuda y reabono en las cuentas del empresario y del consumidor y usuario titular de la tarjeta deben efectuarse lo antes posible. 
  
En todo caso, la persona consumidora queda exenta de cualquier responsabilidad en caso de sustracción, pérdida o apropiación indebida de un instrumento de pago cuando las operaciones se hayan efectuado de manera no presencial utilizando únicamente los datos de pago impresos en el mismo instrumento, siempre que no se haya producido un fraude o una negligencia grave por su parte en el cumplimiento de sus obligaciones de custodia del instrumento de pago y las credenciales de pago. seguridad y haya notificado la circunstancia mencionada sin demora. 
  
O también si el proveedor de servicios de pago del ordenante no exige una autenticación reforzada de cliente, el ordenante sólo debe soportar las posibles consecuencias económicas en caso de haber actuado de manera fraudulenta. En el supuesto de que el beneficiario o el proveedor de servicios de pago del beneficiario no acepten la autenticación reforzada del cliente, deben reembolsar el importe del perjuicio financiero causado al proveedor de servicios de pago del ordenante. 
  

¿Cómo pedir al banco, que nos devuelvan nuestro dinero, en caso de un uso no autorizado de nuestras credenciales? 

  
Primero de todo, tendréis que comunicar, cuanto antes, a vuestro banco, que estas operaciones no las habéis autorizado vosotros. A partir del momento en que se ha comunicado ya no debemos soportar ninguna consecuencia económica por la utilización, con posterioridad de un instrumento de pago extraviado o sustraído. Si no lo habéis detectado, tendréis que asumir un pago máximo de 50 €. 
  
Tampoco debemos asumir ninguna consecuencia si el proveedor de servicios de pago no tiene disponibles medios adecuados para que se pueda notificar en todo momento la pérdida o la sustracción de un instrumento de pago. 
 
Una vez hecha la solicitud para que os devuelvan el dinero, el banco debe hacerlo inmediatamente y, en todo caso, a todo tardío al final del día hábil siguiente a aquel en que haya observado o se le haya notificado la operación. 
  
Además, el banco debe restituir la cuenta de pago en la que se haya efectuado el cargo al estado en que se habría encontrado si no se hubiera efectuado la operación no autorizada. La fecha de valor del abono en la cuenta de pago del ordenante no será posterior a la fecha de cargo del importe devuelto. 
  
Como hemos dicho, la persona consumidora puede quedar obligada a soportar, hasta un máximo de 50 euros, las pérdidas derivadas de operaciones de pago no autorizadas resultantes de la utilización de un instrumento de pago extraviado, sustraído o apropiado indebidamente por un tercero, salvo que: 
  
  • a) al ordenante no le sea posible detectar la pérdida, la sustracción o la apropiación indebida de un instrumento de pago antes de un pago, excepto cuando el mismo ordenante haya actuado fraudulentamente, o 
  • b) la pérdida sea debida a la acción o la inacción de empleados o de cualquier agente, sucursal o entidad de un proveedor de servicios de pago al que se hayan externalizado actividades.  

¿Se puede negar el banco a devolver el dinero? 

  
Hay dos motivos que el banco puede alegar para no devolver el dinero: 
  
  • El primero es cuando tenga motivos razonables para sospechar la existencia de fraude y comunique los motivos mencionados por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. 
  • El otro motivo hace referencia a un uso negligente de la persona consumidora, de sus credenciales de acceso. 
 
En estos casos, si lo consideras oportuno, podéis presentar una reclamación previa a las entidades bancarias, que deben disponer de un servicio de atención al cliente que debe resolver las reclamaciones que les presenten sus usuarios de servicios de pago, y deben dar una respuesta, a más tardar quince días hábiles tras la recepción de la reclamación. 
  
Una vez obtenga la respuesta del servicio de atención al cliente del banco y si la persona consumidora no está conforme, puede ir a la OMIC o a la Junta Arbitral de Consumo de Mataró, pero el organismo especializado es, en estos casos, el Servicio de Defensor del cliente del Banco de España, y la presentación de las reclamaciones/denuncias se puede hacer de forma telemática en el portal del cliente bancario,  en el siguiente enlace externo: https://clientebancario.bde.es/ , o también de forma presencial en sus registros: Banco de España. Departamento de Conducta de Mercado y Reclamaciones, C/Alcalá 48 28014 Madrid. En Barcelona hay una delegación del Banco de España, Plaza de Cataluña, 17 08002 Barcelona. 
  
Sin perjuicio del derecho a presentar una demanda ante el órgano jurisdiccional competente, el Banco de España, en su respuesta motivada, debe informar al denunciante de la existencia de los procedimientos extrajudiciales de resolución alternativa de litigios. 

  

¿Quién debe demostrar que la operación se ha autorizado de forma correcta? 

  
El banco, ante la declaración de la persona consumidora de que ha habido un uso fraudulento de sus credenciales, debe demostrar, dentro de su ámbito de competencia, que la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable. 
  
Por lo tanto, le corresponde al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago y en ningún caso, el registro por el proveedor de servicios de pago,  incluido, en su caso, el proveedor de servicios de iniciación de pagos, de la utilización del instrumento de pago no es suficiente, necesariamente, para demostrar que la operación de pago la autorizó el ordenante, ni que éste ha actuado de manera fraudulenta o ha incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones. 
  
También corresponde al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió un fraude o una negligencia grave y por ello el banco debe conservar la documentación y los registros que le permitan acreditar el cumplimiento de sus obligaciones y debe facilitarlas al usuario en caso de que así le sea solicitado, durante, al menos, seis años.    
  

¿Cómo se debe presentar la reclamación por un uso fraudulento de los sistemas de pago? 

  
La persona consumidora debe soportar todas las pérdidas derivadas de operaciones de pago no autorizadas sólo si ha incurrido en estas pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave. 
  
Por eso la respuesta de la entidad bancaria puede ser, en algunos casos, que se ha accedido a la cuenta con unas credenciales válidas y que por ello consideran que no se ha producido ningún error en los sistemas de seguridad, pero ¿quién tiene razón? 
  
La normativa establece que la persona consumidora, a quien le han hecho un uso no autorizado de su banca en línea o de su tarjeta no sería responsable si ha utilizado estos instrumentos, tomando las medidas razonables con el fin de proteger sus credenciales de seguridad personalizadas y las condiciones del contrato de emisión del sistema de pago,  que deben ser unas condiciones objetivas, no discriminatorias y proporcionadas, lo que quiere decir que no puede ser que toda la responsabilidad de la seguridad de la operación, sólo recaiga sobre la persona consumidora y no sobre el banco, que de hecho, es la empresa que se beneficia de los sistemas de pago. 
  
Por lo tanto, es necesario que la persona consumidora: 
  • Siga las estipulaciones del contrato que ha suscrito con la entidad bancaria, en especial, los aspectos de seguridad. 
  • Tome todas las medidas razonables para proteger sus credenciales personalizadas. 
  • Notifique, de forma urgente la pérdida, la sustracción o la apropiación indebida del instrumento de pago o de su utilización no autorizada. 
  
NORMATIVA 
  

 

Archivos adjuntos