CONCEPTO Y CARACTERIZACIÓN GENERAL DEL PHISHING BANCARIO

El phishing bancario son un conjunto de técnicas variadas utilizadas por ciberdelincuentes para suplantar la identidad de una entidad o persona legítima, reconocida y de confianza (bancos, instituciones, etc.) con el objetivo de conseguir información personal y bancaria de sus víctimas, para posteriormente apoderarse de dinero de sus cuentas y tarjetas.

Se dice que el término phishing proviene de la palabra inglesa "fishing" (pesca), haciendo alusión a utilizar un cebo y esperar a que las víctimas «muerdan el anzuelo.» También se dice que el término phishing es la contracción de password harvesting fishing (cosecha y pesca de contraseñas). A quien practica el phishing se le llama phisher.

La mayoría de los casos de phishing se distribuyen a través del correo electrónico, pero también se utilizan las redes sociales, creando perfiles y páginas falsas; envío de mensajes SMS al teléfono móvil (smishing);  o mediante llamadas telefónicas (vishing).

No obstante, los ataques de phishing se pueden clasificar según el objetivo contra el que se dirige el ataque, el fin, el medio que se utiliza o según el modo de operación. Un caso concreto puede pertenecer a varios tipos de phishing a la vez.

El «phishing» es actuación fraudulenta de terceros, que implica la obtención de forma engañosa y fraudulenta de los códigos de usuarios y contraseñas de clientes de Banca Electrónica, al objeto de realizar transferencias no autorizadas, de la que debe de responder de acuerdo con el régimen legal resumido.

REGULACIÓN

a) Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (TOL6.920.021) regula las obligaciones de las entidades financieras en relación con el denominado phishing bancario.

Concretamente el Artículo 45 que lleva por rúbrica «Responsabilidad del proveedor de servicios de pago en caso de operaciones de pago no autorizadas» establece una responsabilidad «cuasi objetiva» de la entidad bancaria que le obliga a reintegrar al titular de la cuenta las cantidades dispuestas y no autorizadas por él.

1. Sin perjuicio del artículo 43 de este real decreto-ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada.

La fecha de valor del abono en la cuenta de pago del ordenante no será posterior a la fecha de adeudo del importe devuelto.

2. Cuando la operación de pago se inicie a través de un proveedor de servicios de iniciación de pagos, el proveedor de servicios de pago gestor de cuenta devolverá inmediatamente y, en cualquier caso, a más tardar al final del día hábil siguiente, el importe de la operación de pago no autorizada y, en su caso, restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada.

Si el responsable de la operación de pago no autorizada es el proveedor de servicios de iniciación de pagos, deberá resarcir de inmediato al proveedor de servicios de pago gestor de cuenta, a petición de este, por las pérdidas sufridas o las sumas abonadas para efectuar la devolución al ordenante, incluido el importe de la operaci . . .