1. La entidad financiera es
culpable salvo que se
demuestre lo contrario
Pablo Fernández Burgueño
Abanlex
@Pablofb

2. Edal Anton Lefterov
@Pablofb

3. @Pablofb

4. Dennis van Zuijlekom
@Pablofb

5. ‫مدرسة‬‫الهكرز‬
@Pablofb

6. Cuantas más infracciones, más
reclamaciones
Datos de 2011 a 2014:
 Delitos informáticos: 20.538 (incremento: 210%)
 Estafas: 17.328 (84,39% del total) denunciadas: 47 al
día
Datos de 2014 a 2015
 Estafas: De 4.000 (2014) a 14.000 (2015)
@Pablofb

7. Tipos de ataques
 Modo:
 Ataques dirigidos
 Ataques aleatorios
 Objetivos:
 Operaciones electrónicas en el sector financiero
 Operaciones de compraventa de productos
 Contratación de servicios
TV Tuto Info@Pablofb

8. La ley defiende al
usuario
 El usuario está
amparado por la ley
 Tener el ordenador
cargado de malware no
se considera
negligencia grave
Sophos Presseinfo
@Pablofb

9. Evidencias
Ley 16/2009
 Inversión de la carga
de la prueba
 La entidad es
culpable, salvo que
se demuestre lo
contrario
Navarr Barnier
@Pablofb

10. Respuestas de
los Tribunales
 Medios, controles y
análisis de
comportamiento
 Analizar los equipos
y sistemas de los
usuarios
@Pablofb

11. Vía penal de
reclamación
Código Penal (CP)
 Reos de estafa (248 CP)
Los que, con ánimo de lucro y
valiéndose de alguna manipulación
informática o artificio semejante,
consigan una transferencia no
consentida de cualquier activo
patrimonial en perjuicio de otro.
 Prisión de 6m a 3años elhombredenegro
@Pablofb

12. ¿Y si no se localiza o identifica
al culpable?
@Pablofb

13. Vía civil de reclamación
 La entidad responde ante el usuario
 Motivos:
 Seguridad insuficiente
 Falta de diligencia
 Riesgo relevante para la entidad
 Responsable  Proveedor de medios de pago
 Se impone la inversión de la carga de la prueba
@Pablofb

14. El proveedor de servicios de
pago responde (Ley 16/09)
 En las operaciones siguientes a la notificación de la
primera no autorizada
 Que no puedan demostrarse que sean debidas a la
actuación fraudulenta del usuario
 Cuando no pueda demostrar que el usuario
incumpliera deliberadamente o por negligencia grave
 Cuando el proveedor no disponga de medios
adecuados para que pueda notificarse el extravío o
sustracción
Imagen de fondo cedida por 0611nl @Pablofb

15. Alertar al cliente
permite trasladarle
la responsabilidad
 Si se alerta:
 La entidad solo
responde de
las previas
disposiciones
 El usuario
responde de
las futuras
disposiciones
 Si no se alerta
 La entidad
responde.
Icon made by Freepik from www.flaticon.com
@Pablofb

16. Ciberataques constantes
 Si el reclamante asegura
 Que había vulnerabilidades
 Que han derivado en estafa
 Es la entidad de la que debe probar
 Que no existen las vulnerabilidades
 Que puso todos los medios conocidos para
evitarlo
 Da igual si el usuario estaba troyanizado Christiaan Colen
@Pablofb

17. Sentencias. 1ª tanda
 Tarjeta de coordenadas  Audiencia Provincial de
Badajoz (7/2/2013)
 Uso compartido de contraseñas  Audiencia
Provincial de Castellón (19/12/2013)
 Troyano Citadel  Juzgado de 1ª Instancia 48 de
Madrid (27/5/2016):
 “Es difícil percatarse de la existencia del virus”
 “Era el banco quien tenía y disponía de los
medios necesarios para detectar y evitarlo”
 Por tener un troyano, “no puede estimarse
que exista ninguna negligencia o
responsabilidad” en el usuario.
@Pablofb

18. Sentencias. 2ª tanda
 Tarjeta de coordenadas  AP de Madrid (4/5/2015)
 “No entendemos cómo el banco no pudo detectar esta
situación”
 “La entidad demandada no adoptó las medidas de seguridad”
 Phising  AP de Barcelona (7/3/2013)
 Engaño  AP de Albacete (23/2/2013)
 “El usuario […] no debe soportar los defectos o falta de
seguridad” del servicio de pagos
 “Quien resultó engañado no fue el usuario sino la entidad […]
por lo que es esta quien debe responder”
@Pablofb

19. Los Tribunales advierten:
¡seguridad avanzada!
También advierte el Banco Central Europeo.
 Las entidades pueden y deben:
 Analizar operaciones
 Establecer patrones de comportamiento
 Analizar conexiones
 Analizar los terminales del usuario
 Analizar los sistemas informáticos
 En la medida en que el usuario lo permita
@Pablofb

20. Pablo Fernández Burgueño
pablo@abanlex.com
@pablofb
Abanlex
www.abanlex.com
@Pablofb