nlrufrdeenes(+34) 968 19 50 45
·
info@imontlegal.com
·
Mon - Fri 09:00-14:00
Contact Us
nlrufrdeenes(+34) 968 19 50 45
·
info@imontlegal.com
·
Mon - Fri 09:00-14:00
Contact Us

Lo que debe saber si su empresa ha sufrido un ciberataque de un hacker

Tras la pandemia, todos hemos podido constatar que la digitalización ha llegado para quedarse, y el adaptarse a ello es una necesidad para las empresas si no quieren quedarse desfasadas. Pero, frente a las múltiples ventajas que ofrece la digitalización, existe una contrapartida que es el riesgo de sufrir ciberataques, los cuales han proliferado en los últimos años, tanto a particulares como a empresas.

El presente artículo tiene como objeto de estudio los ciberataques a las empresas y las opciones que tienen estas que los han sufrido de recuperar su dinero. Estos ciberataques a las empresas se producen normalmente en la modalidad denominada “Fraude del CEO”, “Man in the middle” o “estafa de las facturas”.

¿Cuál es modus operandi en la estafa denominada “Fraude del CEO”, “Man in the middle” o “estafa de las facturas”?

La Unidad de la Guardia Civil de Delitos Tecnológicos de la Región de Murcia nos explica en qué consiste este fraude y lo hace en los siguientes términos:

“El modus operandi se inicia en la ingeniería social dirigida a las empresas, que se produce cuando el estafador suplanta la identidad de un proveedor con el fin de desviar el cobro de las facturas a otros números de cuenta que el ciberdelincuente controla.

Los estafadores hackean los servidores de la compañía o las cuentas de correo de los empleados para obtener los mensajes relacionados entre la compañía y sus proveedores, incluidos los datos de pagos pendientes.

Si solo conoce el delincuente la relación de cliente/proveedor, este remite un correo con un certificado falsificado de la cuenta corriente de una entidad bancaria con un nuevo número de cuenta y la indicación en el correo que en lo sucesivo se hagan los pagos a dicho número de cuenta.

Sin embargo, también puede ocurrir que el ciberdelincuente haya conseguido acceder a los servidores con un virus, y se interponga en los correos entre el emisor y receptor y suplantando al proveedor, intercepte las facturas; para lo cual inserta en el servidor ciertas reglas de reenvío de mensajes en las que aparece que todos los mensajes que contengan vocablos como “factur”, “presup”, “propu”…. deben ser enviados a una dirección de correo electrónico.

Así recibe las facturas que el proveedor envía al cliente, las modifica con programas de gestión de imágenes y les inserta un nuevo IBAN al que pagar dicha factura. A partir de ahí, crea un nuevo correo electrónico que contiene el nombre del proveedor y de ahí un servidor que no garantice la identidad del usuario, con lo que ofrece apariencia de legitimidad y, sin embargo, es un correo expresamente creado para defraudar.

Con ese correo, el ciberdelincuente se pone en contacto, suplantando al proveedor, con la empresa y envía la factura modificada. En la modalidad de pago de la factura ya está inserto el número de cuenta bancaria fraudulenta, a donde le transferirá el dinero el departamento de pagos de la empresa defraudada”.

¿Qué opciones tiene y qué debe hacer una empresa que ha sido víctima de un ciberataque y ha realizado una transferencia fraudulenta?

En primer lugar, la empresa que ha sido víctima de un ciberataque y ha realizado una transferencia fraudulenta, debe informar inmediatamente a su banco, a fin de intentar paralizar la transferencia y recuperar los fondos.

El siguiente paso, que debe darse de forma casi simultánea,  es denunciar ante los cuerpos de seguridad: Guardia Civil o Policía Nacional.

Esta denuncia originará la apertura de un Atestado Policial para la investigación de los hechos, para lo cual la Policía requerirá a la entidad bancaria donde se han recibido los fondos para que informe sobre la identidad del titular y bloquee los fondos existentes en la cuenta bancaria.  Normalmente, el titular de la cuenta será detenido, interrogado y puesto a disposición judicial para la apertura de un Diligencias Previas en un Juzgado de Instrucción Penal.

En caso de que la empresa no haya conseguido recuperar los fondos, deberá personarse en el Procedimiento Penal contra el presunto estafador.

Tristemente, la experiencia nos muestra como normalmente el titular de la cuenta suele ser lo que coloquialmente se llama “una mula”; es decir, una persona que presta su identidad para blanquear los fondos, recibiéndolos en su cuenta y transfiriéndolos posteriormente a las cuentas indicadas por el hacker, las cuales habitualmente están situadas en otros países, resultando muy difícil el recuperar los fondos del titular de la cuenta, pese a obtener una sentencia donde se le condena a ello.

Esto obliga a plantear la siguiente actuación para la empresa que ha sufrido las consecuencias del hackeo: estudio de posibles responsabilidades de la entidad bancaria, tanto en la vía penal, como en vía civil.

Efectivamente, las entidades bancarias pueden ser consideradas como responsables en los supuestos de transferencias fraudulentas cuando su conducta ha sido negligente. Esta responsabilidad de la entidad bancaria puede ser:

  1. Contractual: la del banco de la empresa que ha realizado la transferencia y con la que dicha empresa tiene un contrato de servicios de pago, y que se producirá cuando la transferencia hubiese sido realizada por una persona no autorizada, superase los límites acordados o sin utilización de los correspondientes sistemas de doble autentificación.
  2. Extracontractual: la del banco donde se ha recibido la transferencia y con el que el ordenante de la transferencia no tiene relación, pero que también pude llegar a ser declarado responsable si ha actuado negligentemente y ha incumplido la normativa que regula los Servicios de Pago y/o la normativa sobre Prevención de Blanqueo de Capitales.

¿En qué consiste la responsabilidad extracontractual de la entidad bancaria donde se ha recibido la transferencia?

Esta responsabilidad parte de una premisa básica y es que, tal y como tiene señalado el Tribunal Supremo (STS de 15 de julio de 1988), “ la diligencia exigible a una entidad bancaria no es la diligencia de un buen padre de familia, sino la de un “comerciante experto” que aconseja “ gran tacto”, “cuidado extremo” a la hora de llevar a cabo las órdenes del cliente y que “en este punto aparece un criterio objetivo a tener en cuenta a la hora de delimitar responsabilidades, que no es otro que el constituido por las correctas instrucciones dadas por el cliente”. 

Y añade la STS de 20 de mayo de 1988 … “El Banco en cuanto a mandatario, debe ejecutar las instrucciones del cliente, con sus abonos y sus cargos”.

Es decir, que el banco está obligado a seguir la instrucciones y órdenes de su cliente, y estas instrucciones del cliente son las que vienen dadas en la orden de transferencia, en las cuales, de conformidad con el Reglamento de la Unión Europa 260/2012, hay una serie de campos obligatorios, entre los que están el nombre del ordenante y el IBAN de la cuenta de cargo, el importe de la transferencia, el IBAN de la cuenta de destino y el nombre del beneficiario.

Es por ello que, cuando un banco abona una transferencia sin comprobar que el titular de la cuenta coincide con el beneficiario mencionado en la orden de transferencia recibida, no está actuando de forma diligente. Por tanto, puede ser declarado responsable frente a los perjudicados, debiendo restituirles por la pérdida del dinero sufrida. Así lo vienen declarando sentencias de las Audiencias Provinciales de Valencia, Madrid o Córdoba.

Si bien es cierto, otras Audiencias Provinciales como las de Zaragoza o Toledo, opinan de forma distinta y consideran que, en virtud del artículo 59 del Real Decreto Ley 19/2018 de Servicios de Pago, la entidad bancaria receptora cumple con su obligación legal y, por tanto, no debe ser considera responsable, si abona la transferencia teniendo en cuenta únicamente el identificador único (IBAN), incluido en la orden de transferencia, aunque no coincida el beneficiario.

En Imont Legal & Taxes entendemos que esta segunda interpretación es contraria a la especial diligencia que se debe exigir a las entidades bancarias, las cuales son una pieza fundamental para evitar la comisión de fraudes, y al espíritu de la Ley, que no es otro que la protección efectiva de los usuarios de los servicios de pago. Por ello, confiamos que en un futuro no lejano haya un pronunciamiento del Tribunal Supremo en este sentido. Mientras tanto, seguiremos defendiendo ante los juzgados y audiencias provinciales de todo el país a las empresas y particulares que han sufrido estos ataques frente a las entidades bancarias.

Y es que no en vano, entidades bancarias son un sujeto obligado en materia de Prevención de Blanqueo de Capitales y, tanto la Ley de Prevención de Capitales como el Reglamento que la desarrolla, establecen una serie de medidas de diligencia debida que todas las entidades financieras deben aplicar, entre las que se encuentran:

  • La identificación de los clientes y verificación de la documentación y datos proporcionados por estos.
  • La identificación del titular real cuando el cliente sea una sociedad.
  • El conocimiento y verificación de la actividad profesional o empresarial a la que se dedican los clientes.
  • El seguimiento continuo de la relación de negocios para detectar, por ejemplo, transacciones inusuales por su importe o sector de actividad.

Recordamos que el blanqueo de capitales consiste en un proceso o conjunto de operaciones mediante el cual los bienes o el dinero resultantes de actividades delictivas, ocultando tal procedencia, se integran en el sistema económico y financiero.

Dada la especial relevancia de las entidades bancarias en la prevención de este tipo de fraudes, cuando la entidad bancaria, desde donde se ha transferido o se ha abonado el dinero del ciberataque, no ha cumplido con las medias de diligencia debidas en esta materia puede ser considerada como responsable civil subsidiaria y, por tanto, condenada a indemnizar al perjudicado por la pérdida económica sufrida. Así se ha pronunciado el Tribunal Supremo en Sentencia 279/201 de fecha 9 de abril de 2012.

Si es empresario y ha sido víctima de un “Fraude del CEO”, “Man in the middle” o “estafa de las facturas”, póngase en contacto con nuestro despacho. Nuestros fiscales especializados le ofrecerán la ayuda y asesoramiento pertinente para resolver su caso de manera favorable.

Related Posts