FRAUDES BANCARIOS (phishing)

SI. El Real Decreto-Ley 19/2018, de 23 de noviembre, de Servicios de Pago, transpuso al ordenamiento interno la Directiva (UE) 2015/2366 del Parlamento y del Consejo, de 25 de noviembre, sobre Servicios de Pago en el Mercado Interior.

El nuevo marco normativo europeo tiene por finalidad generar un entorno más seguro y fiable para los usuarios, aprovechando las innovaciones tecnológicas producidas en los últimos años, buscando darles protección por medio de un marco de responsabilidad cuasi-objetiva de la Entidad Bancaria.

La Ley de Servicios de Pago impone una serie de derechos y obligaciones a los usuarios y proveedores de servicios de pago (las Entidades Bancarias). A los usuarios le impone tres obligaciones: 1º.) Usar el instrumento de pago de conformidad con las condiciones pactadas en el contrato; 2º.) Tomar las medidas razonables para proteger sus credenciales de seguridad; y, 3º.) Notificar sin demora indebida el extravío, la sustracción, la apropiación indebida o la utilización no autorizada (Art. 41 LSP).

El proveedor del medio de pago debe cumplir con las obligaciones asumidas en el contrato, implementando las medidas de seguridad necesarias para asegurar la identidad del ordenante y la autenticación de la operación.

La Directiva de Servicios de Pago (DSP2) obliga a las entidades bancarias a que las órdenes de pago se realicen mediante una autenticación reforzada (Arts. 97 y 98) o lo que es lo mismo: que la operación esté validada (a) con la clave personal y, además, (b) con un factor biométrico (p.e. la huella dactilar) o una clave aleatoria generada en cada operación, que debe ser enviada al usuario para revalidar la operación (doble factor de autenticación/seguridad).

La autenticación reforzada sirve para verificar que el ordenante del pago es el titular de la tarjeta, de forma que el titular valide la operación con –al menos— dos datos distintos –conocidos como factores de autenticación— que se caracterizan por: (a) Conocimiento: algo que sólo conoce el cliente, como una contraseña o código PIN; (b) Posesión: algo que posea el cliente, como una tarjeta de débito o un teléfono móvil; (c) Inherencia: algo inherente al cliente, como su huella dactilar .

Por ello, el Reglamento (UE) 2018/389 establece que los bancos deben disponer de mecanismos de supervisión de las operaciones que les permitan detectar operaciones de pago no autorizadas o fraudulentas. Debe poder detectar que los elementos de autenticación (las claves personales) han sido comprometidas o sustraídas y deben detectar señales de infección por programas informáticos maliciosos en el proceso de autenticación.

Así el Art. 45 de la LSP dice que cuando se ejecute una orden de pago no autorizada el banco debe devolver al cliente el importe de la operación.