Las empresas son un objetivo interesante para los ciberdelincuentes, ya sea para obtener acceso a información confidencial, datos de clientes, información financiera o credenciales de acceso a sistemas internos. O, como en este caso, para ordenar una transferencia fraudulenta a la entidad bancaria de confianza. El caso acabó en el Juzgado y se ha resuelto con una sentencia pionera.
A continuación te contamos los detalles.
Una ciberestafa “de libro”: así se ordenó una transferencia irregular de 234.000 €
Una empresa del sector alimentario, que llevaba trabajando más de veinte años con la misma entidad bancaria, se puso en contacto con AESB para asesorarse y, en último término, que el abogado Antonio Gallardo asumiera la defensa de la denuncia presentada ante el Juzgado de Guardia de Martorell.
Se reclamó además extrajudicialmente al banco por no cumplir con las medidas de seguridad necesarias para garantizar la seguridad de sus cuentas y haber permitido, sin que saltasen las alarmas, que se llevase a cabo una transferencia irregular por un alto importe.
Esto fue lo que sucedió:
A finales de 2019 se ejecuta una transferencia que no había sido ni ordenada ni autorizada por la empresa, a favor de una entidad con la que nunca antes había mantenido relaciones comerciales. La cuantía de la transferencia fue de 234.000€.
En el cierre contable del año, la empresa constata no solo esa transferencia, sino otras 6 pendientes de firma, que finalmente pudieron ser eliminadas.
Como es lógico, la empresa se pone en contacto inmediatamente con la entidad bancaria para informar de lo ocurrido y solicitar la reversión del cargo.
Se verificó que:
- había sido un movimiento inusual
- desde una IP no habitual
- con un usuario que nunca antes se había utilizado para hacer transferencias
- y desde un móvil externo a la empresa.
El procedimiento normal era que las operaciones se ordenasen desde un equipo informático de la empresa y se firmasen a través de la aplicación del banco instalada en un solo teléfono móvil, también de la empresa.
Se verificó, además, que el dinero se había transferido a la cuenta de una empresa con la que nunca antes se había trabajado.
A pesar de todas esas señales, el banco no envió ningún aviso o advertencia a la empresa demandante, ni en el momento en el que se hizo la transferencia ni en el plazo transcurrido hasta que la empresa se da cuenta y reclama. Y eso, a pesar de que debía conocer perfectamente la operativa de una empresa con la que llevaba dos décadas trabajando.
Lo que dice la sentencia
Se entiende que ha existido una negligencia de carácter grave del banco al permitir la operación sin haber tomado todas las garantías para comprobar la identidad de la persona que ordenó la transferencia, ya es que es el banco el que debe responder de la manipulación de su propio sistema electrónico de pagos.
El banco no adoptó medidas de seguridad al producirse movimientos inusuales en la cuenta corriente y ordenarse una transferencia a una cuenta de la que cabía sospechar podía estar controlada por «muleros» que la entidad debió detectar.
Según figura en la sentencia, la suma de todos los elementos inusuales que se dieron en este caso debieron servir para desautorizar la orden.
Según el artículo 44 de la Ley de Servicios de Pago (Real Decreto-Ley 19/2018), cuando un usuario de un servicio de pago niegue haber autorizado una operación o que esta se ejecutó de manera incorrecta, el proveedor del servicio (esto es, el banco) debe demostrar que fue autenticada y no se vio afectada por un fallo técnico u otra deficiencia del servicio.
Si finalmente se ejecuta una operación de pago no autorizada, el artículo 45 de la LSP establece que el proveedor del servicio devolverá el importe de la operación no autorizada de inmediato.
> Infórmate más sobre fraudes bancarios online: phishing y otras amenazas
¿Por qué es importante esta sentencia relativa a una ciberestafa?
La sentencia establece que el banco incumplió sus obligaciones y fue negligente tanto en la detección del fraude como en la gestión de la incidencia, recuperación y devolución del dinero.
Se trata de una sentencia única sobre una ciberestafa en los siguientes aspectos:
- La cuantía: no se conoce ninguna sentencia hasta la fecha en la que se devuelva una cuantía tan elevada (234.000€).
- El perfil del reclamante: en este caso no fue un particular, como sucede en la mayoría de los casos, sino una S.A. que factura 100.000.000 €/año. Además, esta empresa contaba con su propio departamento contable/fiscal para el control de usurpación en cuentas, lo cual hacía la recuperación económica vía judicial, más compleja si cabe.
Es interesante, además, que aunque la empresa hubiese sido víctima de phishing, lo que queda acreditado es que no autorizó la transferencia. La responsabilidad de autorizar la orden de pago recae en el banco, a través del gestor de la oficina habitual del cliente.
Por último, se repasan las medidas de seguridad de la entidad demandada, que reconoce en su propia web la exclusión de algunas de ellas, anteponiendo la comodidad o flexibilidad de las operaciones a la seguridad
Con todo, se resolvió de manera satisfactoria para la empresa afectada, lo que sin duda indica el camino a seguir por otras empresas que se puedan encontrar en similares circunstancias.
Si tu empresa es víctima de una ciberestafa, ponte inmediatamente en manos de un despacho especializado en derecho bancario y delitos relacionados con la ciberseguridad, como AESB. Llámanos y coméntanos tu caso.