La mayoría de los casos de phishing se distribuyen a través del correo electrónico, pero también se utilizan las redes sociales, creando perfiles y páginas falsas; envío de mensajes SMS al teléfono móvil (smishing);  o mediante llamadas telefónicas (vishing); webs falsas (Pharming); duplicados de SIM (SIM swapping); interceptación de comunicaciones entre cliente y banco (MITM); Software malicioso (malware, troyanos bancarios); ataques personalizados (Spear phishing); aplicaciones móviles falsas (fake apps); perfiles en redes sociales falsas (Spoofing de dominios o perfiles).

Pero esto son solo alguno de los medios conocidos, ya que cada día aparecen nuevos métodos y estrategias de intento de fraude digital, exponencialmente en crecimiento con la utilización de la Inteligencia Artificial.

No obstante, los ataques de phishing se pueden clasificar según el objetivo contra el que se dirige el ataque, el fin, el medio que se utiliza o según el modo de operación. Un caso concreto puede pertenecer a varios tipos de phishing a la vez.

El «phishing» es actuación fraudulenta de terceros, que implica la obtención de forma engañosa y fraudulenta de los códigos de usuarios y contraseñas de clientes de Banca Electrónica, al objeto de realizar transferencias no autorizadas, de la que debe de responder de acuerdo con el régimen legal resumido.

REGULACIÓN

1. a. Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera ( (TOL6.920.021)) regula las obligaciones de las entidades financieras en relación con el denominado phishing bancario.

Concretamente el Artículo 45 que lleva por rúbrica «Responsabilidad del proveedor de servicios de pago en caso de operaciones de pago no autorizadas» establece una responsabilidad «cuasi objetiva» de la entidad bancaria que le obliga a reintegrar al titular de la cuenta las cantidades dispuestas y no autorizadas por él.

«1. Sin perjuicio del artículo 43 de este real decreto-ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada.

La fecha de valor del abono en la cuenta de pago del ordenante no será posterior a la fecha de adeudo del importe devuelto.

2. Cuando la operación de pago se inicie a través de un proveedor de servicios de iniciación de pagos, el proveedor de servicios de pago gestor de cuenta devolverá inmediatamente y, en cualquier caso, a más tardar al final del día hábil siguiente, el importe de la operación de pago no autorizada y, en su caso, restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada.

Si el responsable de la operación de pago no autorizada es el proveedor de servicios de iniciación de pagos, deberá resarcir de inmediato al proveedor de servicios de pago gestor de cuenta, a petición de este, por las pérdidas sufridas o las sumas abonadas para efectuar la devolución al ordenante, incluido el importe de la operación de pago no autorizada. De conformidad con el artículo 44.1, corresponderá al proveedor de servicios de iniciación de pagos demostrar que, dentro de su ámbito de competencia . . .