Cómo reclamar el dinero si has sido víctima de 'phising'

«Kaixo ama, soy Iñigo. ¿Puedes guardar este número en tus contactos? He perdido el móvil, así que hasta que me compre uno nuevo te escribiré por aquí. Este mensaje es sólo para pedirte un pequeño favor: necesito que me prestes 200 euros para realizar un pago y, si puede ser, de forma inmediata. Te los devolveré sin falta, pero me urge tenerlos cuanto antes. ¿Podrías hacerme ya un Bizum a este mismo número? Te llamaré en cuanto me sea posible, pero ahora estoy trabajando y no puedo atenderte. No se lo digas al aita, porque se disgustará. Y avísame una vez me hayas enviado el dinero, es muy importante. Eskerrik asko».

Salvando las distancias (y los términos en euskera), este mensaje cumple con todos los requisitos para ser considerado 'phishing': cuenta con un remitente 'conocido', ofrece una excusa creíble, denota urgencia, limita el contacto para verificar su veracidad y, por si fuera poco, ofrece sólidos argumentos para hacerlo fiable. En otras palabras, es poco menos que imposible que nuestra querida ama se niegue en rotundo a ayudar a su sufrido hijo…

Queda claro que su efectividad es muy alta, de ahí que no queda otra: hay que tomar las precauciones oportunas. Y en caso de caer en la trampa hacernos una pregunta obligada: ¿dónde está mi dinero? Y, lo más importante, ¿cómo recuperarlo? Porque en un momento de debilidad una oferta única nos puede cegar la razón (y la cartera), y llevarnos a compartir con un anónimo todo tipo de datos personales (nombre y apellidos, dirección, teléfono, etc.) y, lo más grave de todo, nuestras credenciales bancarias. Es más, nuestro despropósito puede llegar hasta tal punto que incluso podemos cometer el inocente error de instalar en nuestro móvil una app con malware desde fuera de la Play Store…

Una vez superado el momento crítico, no exento de sudores fríos y lamentos por nuestra imprudencia, toca ponerse manos a la obra. Y, sobre todo, hacerlo con premura y siguiendo una serie de consejos para que el ciberdelincuente de turno no acabe dejando nuestra cuenta corriente en números rojos… Una vez limitemos daños, ya tendremos tiempo de maldecir nuestra mala suerte…

Capturas de pantalla de la operación, confirmaciones de compra recibidas en el email (si las hay), dominio de la web falsa, extractos bancarios, día y hora de la transferencia, etc. Cuánto más exhaustivos seamos, más fácilmente podremos probar que hemos sido engañados.

Correo electrónico, cuenta bancaria, pasarela de pago (PayPal, Stripe…), etc. Sí, es importante dar la voz de alarma al banco, pero también evitar que la situación se pueda agravar con el paso de las horas. Apaga la conexión a internet, sobre todo en caso de que hayas podido poner en riesgo la seguridad de tu ordenador y/o móvil a base de descargarte apps de servidores no verificados o desconocidos, y no te relajes, actuar con rapidez es clave para evitar que la situación se agrave y los ciberdelincuentes puedan exprimir al máximo nuestras credenciales.

Será entonces el momento de llamar al banco. Todas las entidades cuentan con un número 24 horas para gestionar casos como los de 'phishing'. Una vez notifiques la incidencia pídeles que bloqueen tu cuenta y/o tarjeta de forma inmediata. No te olvides de solicitar que reviertan cualquier movimiento no autorizado. Y, cómo no, apunta el número de incidencia y asegúrate de que conste por escrito tu reclamación inicial.

Una vez hayas limitado el alcance del fraude, lo primero que se recomienda es contactar con la Ertzaintza para presentar la denuncia correspondiente. Eso sí, es muy importante aportar todas las pruebas recogidas en el momento del engaño: capturas de pantalla, mensajes, etc. Con todo, no te engañes: el 'phishing' es un fenómeno que está a la orden del día, de muy difícil solución una vez cometido el fraude, de ahí que en la práctica las posibilidades de dar con el ciberdelincuente con las manos en la masa son mínimas…

Más allá de su efectividad, lo cierto es que para solicitar la devolución del dinero defraudado al banco es imprescindible contar con una denuncia policial. Es por ello que cuando nos hagamos con ella, nos tocará presentar una reclamación formal al Servicio de Atención al Cliente de la entidad bancaria solicitando el reintegro del dinero. «Es importante aportar todo tipo de documentación que dispongamos que pruebe el hecho delictivo: movimientos bancarios, números de teléfono (en el caso de que el 'phishing' haya sido por este medio), correos electrónicos, capturas de pantalla, etc.», explica Itziar Fernández de la Cruz, portavoz de la Organización de Consumidores y Usuarios (OCU). Es más, esta experta recomienda plantear la denuncia a la mayor brevedad. «El plazo máximo para interponer la denuncia son 13 meses, pero es de vital importancia que se realice de inmediato desde el momento en el que somos conscientes de este suceso», concreta.

Con todo, hay un interrogante que a menudo se hace el usuario: ¿Está la entidad bancaria obligada a devolverme el dinero? Itziar Fernández de la Cruz lo tiene claro: sí. «Según la reciente jurisprudencia, el banco debe responder siempre ante este tipo de delitos, salvo cuando se demuestre que el consumidor ha actuado con grave negligencia o con dolo (voluntad de cometer el delito)». En otras palabras, «a no ser que se acredite por parte de la entidad bancaria que el consumidor afectado ha desempeñado acciones que han propiciado el desarrollo del hecho delictivo». Lo que no admite dudas es el importe que ha de retornar al consumidor víctima de 'phishing': «El banco debe devolver todo el dinero sustraído».

Eso sí, ¿qué se entiende exactamente como negligencia grave? ¿Hacer clic en un enlace desconocido? ¿O acceder a una página web fraudulenta? La portavoz de la OCU resuelve el interrogante: «Se trata de imprudencias como perder la tarjeta bancaria con anotaciones de las credenciales (PIN), hacer clic en enlaces de páginas web que no se asemejan a las de la entidad clonada, facilitar voluntariamente dinero a través de transferencias (caso del hijo en apuros), etc.». Con todo, añade una variable importante a no perder de vista en este tipo de situaciones: «Debe darse una negligencia grave por parte del usuario, y es el banco el que debe probar esta imprudencia para que se exima de devolver las cantidades defraudadas».

«El plazo que se establece es de 15 días, aunque puede ser prolongable hasta 35 si el banco así lo solicita y justifica que le es imposible contestar en el plazo de 15», detalla Itziar Fernández de la Cruz. ¿Significa esto que en dos semanas podremos recuperar el sueño con el reingreso del dinero defraudado? La lógica invita a pensar que sí, pero… la realidad no es tan benévola. ¿La razón? Las entidades bancarias son reacias a devolver el importe, «sobre todo cuando las cantidades sustraídas son considerablemente cuantiosas. Por ello es necesario actuar con inmediatez, presentando denuncia en primer lugar y posteriormente reclamación ante el Servicio de Atención al Cliente de la entidad bancaria»

Y si el banco se niega o no responde siquiera a nuestra petición, ¿qué? ¿A dónde puedo recurrir? En teoría al Banco de España, entidad que supervisa y regula a las entidades financieras y que en teoría vela por el cumplimiento de la normativa específica de los bancos y cajas de ahorro pero… La práctica es bien diferente, ya que por la experiencia de esta portavoz de la Organización de Consumidores y Usuarios, acudir a este organismo regulatorio solo sirve para dilatar el procedimiento en el tiempo.

Por ello, ante una negativa del banco, no nos quedará otro remedio que ir a juicio e interponer una demanda ante el juzgado competente. «Es necesario acudir con abogado y procurador si la cantidad reclamada fuera superior a 2.000 euros. Eso sí, los plazos dependen de lo colapsado que se encuentre el partido judicial competente: puede oscilar entre los 6 meses y los 2 años», concreta Itziar Fernández de la Cruz.

• Temas
• Historias visuales