ING se desentiende de una estafa de 640 euros por 'phishing' y FACUA hace que devuelva el dinero

El usuario alertó de que el cargo había sido retenido en su cuenta, a lo que el banco respondió que era mejor esperar a que la sustracción del dinero se hiciera efectiva. Más tarde, se negó a restituírselo.

ING se desentiende de una estafa de 640 euros por 'phishing' y FACUA hace que devuelva el dinero

ING se desentendió de una estafa por phishing de 640 euros a un cliente suyo, pese a que este alertó al momento de lo que ocurría. Primero, el banco le conminó a esperar a que el fraude estuviese consumado y a presentar una denuncia; más tarde, se negó a restituirle el dinero. La intervención de FACUA ha logrado la devolución del importe íntegro sustraído.

A comienzos del pasado mes de noviembre, Julio G.D., residente en Santander, estaba esperando una serie de paquetes de Aliexpress. Por ello, no le extrañó demasiado el SMS que recibió de, supuestamente, Correos. En él, se le comunicaba que un envío a su nombre había sido retenido en la aduana; para solventar el problema debía realizar un pago de tan solo dos euros, lo que él hizo en un enlace que aparentaba ser de la empresa postal. Para ello, facilitó los datos de su tarjeta, sin que su banco, ING, le hiciese pasar por la verificación reforzada de la dientidad que estipula la ley, como se explica más adelante.

Se había convertido en víctima de una estafa de las que tanto abundan, el phishing. Al comprobar ese mismo día el estado de su cuenta, vio que no había hecho una transacción de dos euros, sino de 640. Y no a nombre de Correos, sino al del siguiente destinatario: "WYRE 724455 DOUBLE BAY".

Julio, al momento, llamó al banco que alberga la cuenta afectada para anular el movimiento. Los de ING le respondieron que el dinero estaba retenido, pero que el cargo no se había hecho efectivo, y le aconsejaron esperar a que ocurriese esto último. Su cliente les hizo caso. También cuando, cuatro días más tarde y tras comprobar que ya le habían robado su dinero, interpuso la correspondiente denuncia ante la Policía Nacional.

La doble autentificación, preceptiva para todos los bancos

Sin embargo, pese a haber seguido los pasos aconsejados, el mismo mes de noviembre ING escribía un correo al afectado, asegurando que no le iba a devolver el dinero, ya que, ahora, era él quien había hecho mal las cosas. Supuestamente, habría mostrado "falta de diligencia en la custodia, conservación y utilización de forma correcta de sus elementos de seguridad claves de acceso, datos personales, dispositivos móviles, etc". Fue entonces cuando Julio decidió acudir a FACUA.

En el correspondiente escrito de reclamación, el equipo jurídico de la asociación recordaba a la institución financiera que era ella quien había hecho las cosas mal, pues no podía mostrar pruebas "de haber llevado a cabo la doble autenticación de las operaciones que es preceptiva para las entidades bancarias".

Este es un mecanismo diseñado para reforzar la verificación de la identidad de usuarios, que todos los Estados europeos deben implementar obligatoriamente por una directriz europea, y que exige que el servicio de pago utilice al menos dos datos distintos, conocidos como factores de autenticación. Estos factores se dividen en tres tipos, según el aspecto que se ponga en juego: conocimiento, en que se pregunta algo que solo el cliente sabe, como una contraseña o PIN; posesión, donde se exige usar un objeto como un teléfono móvil, e inherencia, el menos habitual, en que se usa algo inherente al cliente, como su huella dactilar o su rostro.

FACUA interviene; ING tarda dos semanas en entrar en razón

Además, FACUA argumentaba que la respuesta en sentido negativo de ING había vulnerado el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes (la normativa española que desarrolla la directriz europea). Este, en su artículo 43.1, explicita que "el usuario obtendrá la rectificación por parte del proveedor de servicios de pago de una operación de pago no autorizada o ejecutada incorrectamente únicamente si el usuario de servicios de pago se lo comunica sin demora injustificada, en cuanto tenga conocimiento de cualquiera de dichas operaciones que sea objeto de reclamación (...) en todo caso dentro de un plazo máximo de trece meses contados desde la fecha del adeudo". No hay que olvidar que el afectado notificó la incidencia en el mismo día.

Menos de dos semanas después de recibir el escrito de reclamación, ING ha entrado en razón y ha devuelto a Julio los 640 euros.

Ya somos 247.228