TWL

Los tiempos de los delincuentes que entraban en una sucursal bancaria al grito de «manos arriba, esto es un atraco» han quedado atrás. El menor uso del efectivo y las medidas de seguridad han acabado con el negocio. En aquellos robos, obviando el riesgo de la integridad física de empleados y cliente, nadie perdía: el banco recuperaba su dinero del seguro y los clientes no se tenían que preocupar de nada. ¿Alguna vez ha visto colas de clientes nerviosos tras un atraco bancario?

Desgraciadamente, los amigos de lo ajeno se han modernizado. La suplantación de la identidad del banco vía correo electrónico (phishing), SMS (smishing) o llamada (vishing), está en el orden del día y el peligro de perder el dinero depositado en nuestra cuenta es muy real. La regla general: nunca acceder a los enlaces de estas comunicaciones ni compartir información, mucho menos contraseñas.
Pese a toda precaución, mucha gente acaba cayendo en las garras de los ladrones digitales. Los intentos de fraude son cada vez son más sofisticados y la inteligencia artificial (IA) hará que la suplantación sea virtualmente imposible de detectar. Imagine recibir una videollamada del director de su oficina, con datos precisos sobre su cuenta, solicitándole acceder a un enlace para cancelar un supuesto hackeo masivo. Todo podría ser obra de una IA, llevándolo a transferir su dinero a una organización criminal.

La banca nos ha proporcionado una tecnología excelente para operar con nuestras finanzas a distancia. Un avance que nos permite realizar multitud de transacciones sin movernos de casa, pero también un foco de riesgos cibernéticos que antes no existían. Conviene aclararlo: el cliente no eligió voluntariamente la banca digital, fue una imposición del banco, que cerró oficinas y desincentivó la atención presencial. Ante la fragilidad de la seguridad digital, con una llave de acceso en manos de personas sin la debida formación tecnológica, lo razonable sería que fueran los bancos los que aseguraran las cuentas. La autenticación reforzada de clientes (SCA) introducida por la Directiva de Servicios de Pago (PSD2) no ha sido suficiente para evitar los robos por suplantación de identidad.

Ante la fragilidad de la seguridad digital, sería razonable que los bancos aseguraran las cuentas. La autenticación reforzada (SCA) de la Directiva PSD2 no ha sido suficiente para evitar los robos por suplantación de identidad. Aunque el cliente haya verificado la operación desde su móvil pensando que era legítima, el banco debería tomar más precauciones. Transacciones inusuales, como enviar dinero a terceros países o titulares que no coinciden, deberían activar alarmas y bloquear la operación para una verificación adicional. Limitar la responsabilidad del cliente también es clave, algo que PSD3 contempla, pero que aún tardará en llegar.

¿Qué hacen hoy los bancos cuando somos víctimas de un robo digital? Si caemos en la trampa y autenticamos la operación, engañados por una suplantación, el banco se desentiende: «no es culpa mía», dicen, «usted puso su contraseña». Nos roban entrando en nuestras cuentas, como en las películas del lejano oeste, y el banco se lava las manos. La Justicia, sin embargo, lo tiene claro: la responsabilidad del banco es cuasi objetiva y solo en casos de dolo o culpa grave del cliente no debería responder. No basta con alegar que el cliente verificó la operación; debe haber una actuación dolosa o gravemente negligente del usuario de los servicios de pago. Si los ladrones digitales entran en el banco, es el banco quien debe responder, no sus confiados clientes.