Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Responsabilidad legal de las entidades ante fraudes

228 views

Published on

La entidad financiera es culpable salvo que se demuestre lo contrario, según la normativa española y europea. Los tribunales lo confirman

Published in: Law
  • Be the first to comment

  • Be the first to like this

Responsabilidad legal de las entidades ante fraudes

  1. 1. La entidad financiera es culpable salvo que se demuestre lo contrario Pablo Fernández Burgueño Abanlex @Pablofb
  2. 2. Edal Anton Lefterov @Pablofb
  3. 3. @Pablofb
  4. 4. Dennis van Zuijlekom @Pablofb
  5. 5. ‫مدرسة‬‫الهكرز‬ @Pablofb
  6. 6. Cuantas más infracciones, más reclamaciones Datos de 2011 a 2014:  Delitos informáticos: 20.538 (incremento: 210%)  Estafas: 17.328 (84,39% del total) denunciadas: 47 al día Datos de 2014 a 2015  Estafas: De 4.000 (2014) a 14.000 (2015) @Pablofb
  7. 7. Tipos de ataques  Modo:  Ataques dirigidos  Ataques aleatorios  Objetivos:  Operaciones electrónicas en el sector financiero  Operaciones de compraventa de productos  Contratación de servicios TV Tuto Info@Pablofb
  8. 8. La ley defiende al usuario  El usuario está amparado por la ley  Tener el ordenador cargado de malware no se considera negligencia grave Sophos Presseinfo @Pablofb
  9. 9. Evidencias Ley 16/2009  Inversión de la carga de la prueba  La entidad es culpable, salvo que se demuestre lo contrario Navarr Barnier @Pablofb
  10. 10. Respuestas de los Tribunales  Medios, controles y análisis de comportamiento  Analizar los equipos y sistemas de los usuarios @Pablofb
  11. 11. Vía penal de reclamación Código Penal (CP)  Reos de estafa (248 CP) Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro.  Prisión de 6m a 3años elhombredenegro @Pablofb
  12. 12. ¿Y si no se localiza o identifica al culpable? @Pablofb
  13. 13. Vía civil de reclamación  La entidad responde ante el usuario  Motivos:  Seguridad insuficiente  Falta de diligencia  Riesgo relevante para la entidad  Responsable  Proveedor de medios de pago  Se impone la inversión de la carga de la prueba @Pablofb
  14. 14. El proveedor de servicios de pago responde (Ley 16/09)  En las operaciones siguientes a la notificación de la primera no autorizada  Que no puedan demostrarse que sean debidas a la actuación fraudulenta del usuario  Cuando no pueda demostrar que el usuario incumpliera deliberadamente o por negligencia grave  Cuando el proveedor no disponga de medios adecuados para que pueda notificarse el extravío o sustracción Imagen de fondo cedida por 0611nl @Pablofb
  15. 15. Alertar al cliente permite trasladarle la responsabilidad  Si se alerta:  La entidad solo responde de las previas disposiciones  El usuario responde de las futuras disposiciones  Si no se alerta  La entidad responde. Icon made by Freepik from www.flaticon.com @Pablofb
  16. 16. Ciberataques constantes  Si el reclamante asegura  Que había vulnerabilidades  Que han derivado en estafa  Es la entidad de la que debe probar  Que no existen las vulnerabilidades  Que puso todos los medios conocidos para evitarlo  Da igual si el usuario estaba troyanizado Christiaan Colen @Pablofb
  17. 17. Sentencias. 1ª tanda  Tarjeta de coordenadas  Audiencia Provincial de Badajoz (7/2/2013)  Uso compartido de contraseñas  Audiencia Provincial de Castellón (19/12/2013)  Troyano Citadel  Juzgado de 1ª Instancia 48 de Madrid (27/5/2016):  “Es difícil percatarse de la existencia del virus”  “Era el banco quien tenía y disponía de los medios necesarios para detectar y evitarlo”  Por tener un troyano, “no puede estimarse que exista ninguna negligencia o responsabilidad” en el usuario. @Pablofb
  18. 18. Sentencias. 2ª tanda  Tarjeta de coordenadas  AP de Madrid (4/5/2015)  “No entendemos cómo el banco no pudo detectar esta situación”  “La entidad demandada no adoptó las medidas de seguridad”  Phising  AP de Barcelona (7/3/2013)  Engaño  AP de Albacete (23/2/2013)  “El usuario […] no debe soportar los defectos o falta de seguridad” del servicio de pagos  “Quien resultó engañado no fue el usuario sino la entidad […] por lo que es esta quien debe responder” @Pablofb
  19. 19. Los Tribunales advierten: ¡seguridad avanzada! También advierte el Banco Central Europeo.  Las entidades pueden y deben:  Analizar operaciones  Establecer patrones de comportamiento  Analizar conexiones  Analizar los terminales del usuario  Analizar los sistemas informáticos  En la medida en que el usuario lo permita @Pablofb
  20. 20. Pablo Fernández Burgueño pablo@abanlex.com @pablofb Abanlex www.abanlex.com @Pablofb

×