Bancos podrían tener responsabilidad de estafas y fraudes por filtración de datos

  • Autoridades han detectado venta de bases de datos lícitas e ilícitas

Aunque la filtración de datos personales no representa un fraude en sí mismo, éste puede propiciar un escenario óptimo para que un usuario pueda sufrir un engaño por parte de un cibercriminal que, eventualmente, le conduzca a una estafa bancaria. 

Si bien es cierto, las distintas entidades bancarias se eximen de responsabilidad cuando aluden ajenidad al hecho, debido a que sus clientes se convierten en víctimas de estafa como consecuencia de vulnerar la seguridad de sus propias cuentas brindando ellos mismos los datos personales a los delincuentes. Sin embargo, los bancos pueden mantener un tratamiento de datos por vías inseguras. 

Adalid Medrano, especialista en ciberseguridad, explica que una entidad bancaria podría ser responsable si una filtración de datos provoca un delito de estafa. 

“Me parece que, si se llega a probar que la fabricación del engaño se dio gracias a una filtración de la cual el banco es responsable, este no podría alegar ajenidad sobre el hecho y sería responsable civilmente por los daños que ha sufrido el usuario financiero” 

explica Medrano.

Y es que esta situación no es del todo ajena, dado que el mismo jefe de la Sección de Fraudes del Organismo de Investigación Judicial (OIJ), Yorksaan Carvajal, semanas atrás, manifestó que se ha detectado la venta de bases de datos a organizaciones criminales por parte de funcionarios públicos y bancarios. 

Paralelamente, algunos usuarios bancarios aseguran haber sufrido algún tipo de fraude en sus cuentas, a pesar de no realizar ninguna acción que comprometiera su seguridad bancaria. 

Danilo Montero, director general de la Oficina del Consumidor Financiero, indicó en una conferencia de prensa que, en el mes de abril, la oficina atendió 422 gestiones, de las cuales 270 correspondieron a estafas informáticas, siendo la mayoría relacionadas con Sinpe Móvil. 

Además, Montero reveló que, pese a que en algunas gestiones no había mucho por hacer debido a que los usuarios facilitaron sus datos, la mayoría se trata de personas que no vulneraron su seguridad de ninguna manera y que, por ende, se encontraban a espera de respuesta por parte de las distintas entidades financieras. 

Sanciones administrativas

Los usuarios afectados por estafas bancarias podrían demandar al responsable de una base de datos en el contencioso administrativo sin importar si aún el caso no ha sido resuelto penalmente, ya que así lo deja claro el Código Procesal Civil y la Sala Constitucional. 

“A un responsable de la base de datos le pueden imponer una sanción administrativa, a pesar de que todavía no se haya resuelto en sede penal, ya que en esencia son procesos de naturaleza distinta”

comenta Medrano. 

“En el caso UPAD, a manera de ejemplo, existe abundante prueba, inclusive aceptada por los imputados con respecto a que se realizaron las acciones que configuran la violación de la ley 8968, pero que lo que se les debe probar en sede penal es que se haya realizado en beneficio propio o de un tercero”

agrega. 

Multas bajas

Por otra parte, si se detecta que los bancos están realizando un tratamiento de los datos de sus usuarios de manera insegura, la Agencia de Protección de datos de los Habitantes (Prodhab) podría multarles hasta por ¢2.311.000. 

Así lo define el inciso b del artículo 29 de la Ley 8968. 

“El monto de la sanción se queda corto para el daño que le puede generar a un usuario la negligencia de un banco, por lo que se debe crear un marco normativo más claro y que le permita a los usuarios financieros soluciones más justas y prontas”

asevera Medrano. 

Para el también consultor en ciberdelincuencia y protección de datos personales, resulta necesario que en el algún momento se pida a los bancos invertir en tecnologías para proteger a sus clientes de cibercriminales. 

“En el futuro se debería exigir que los bancos inviertan en tecnologías emergentes como la de inteligencia artificial para proteger a los usuarios de estafas informáticas en donde han sido víctimas de un engaño y donde un algoritmo inteligente puede detectar patrones que se dan en este tipo de hechos delictivos”

detalla. 

Penas van desde los 1 hasta los 6 años de prisión

Según explica el especialista en derecho informático, además de la Ley 8968, el Código Penal protege a los usuarios financieros ante estafas informáticas, ya que permite a las autoridades llevar a cabo investigaciones e índole judicial, aún en casos donde no se cometió el delito como tal, pero sí hubo actos dirigidos a la consecución del mismo. 

Los delincuentes que compren o vendan datos personales pueden procesarse por el delito de violación de datos personales, lo cual les expone a penas entre 1 y 4 años de prisión. 

Si se suplanta la identidad de una persona para engañar a un usuario financiero, las penas van desde 1 a 3 años. En caso de suplantar algún sitio de internet, se exponen a entre 1 y 6 años. 

Además, cuando un delincuente alquila los medios para alojar páginas maliciosas se exponen a penas de 1 a 4 años de prisión y si el delincuente logra ingresar al correo electrónico de la víctima y no consigue realizar las transferencias ilegales, puede exponer al delito de violación de correspondencia o comunicación con penas desde 1 hasta 4 años de cárcel. 

Paso a paso en caso de filtración de datos

De acuerdo con Medrano, cuando se presenta una filtración de datos de los usuarios, estos deben prepararse para enfrentar engaños y delitos informáticos, lo cual implica asegurar sus cuentas con un segundo factor de autenticación, además de ser más estrictos con los protocolos de protección antifraudes. 

Para ello, los usuarios deben contemplar las siguientes recomendaciones

1. No dar datos personales por vías no presenciales (llamadas, SMS, Whatsapp, entre otros). 

2. No dar click a enlaces que no vengan de fuentes confiables y revisar bien el emisor de un mensaje para determinar la confianza. 

3. No instalar programas informáticos recomendadas por supuestos agentes de soporte o siguiendo enlaces, ya que estos pueden ser usados para distintos delitos informáticos. 

“El usuario puede denunciar al responsable de la base de datos si considera que alojaba los datos de manera insegura y/o demandar civilmente a dicho responsable si considera que esta filtración le ha generado un perjuicio comprobable”

sintetiza.
Total
13
Shares
Nota anterior

“Me ha pasado (estafas) con el banco Popular y el BAC” 

SIGUIENTE NOTA

“Me robaron 3 millones y medio de ahorros de toda la vida”