BBVA ha sido víctima de fraudes en su plataforma web durante meses,pero niega toda responsabilidad frente a sus clientes

Artículo de opinión jurídica | Derecho Bancario y Estafas Digitales

El problema que miles de empresas están sufriendo en silencio

Durante los últimos meses cientos de empresas y autónomos han sufrido pérdidas muy importantes por operaciones no autorizadas en sus cuentas de BBVA Net Cash, la entidad se ha negado a reembolsar los importes defraudados y responde, de manera sistemática, que los clientes han sido negligentes y que la operación ha sido realizada correctamente. Sin embargo, hemos podido comprobar que la propia entidad ha ocultado la información más importante a sus clientes afectados, en primer lugar, varios empleados han reconocido que no es un hecho aislado, se ha denunciado por cientos de clientes en España; en segundo lugar, la entidad no colabora con las investigaciones abiertas por la Policía Nacional o la Guardia Civil, al contrario omiten remitir la información que las autoridades les solicitan una vez iniciada la investigación tras denuncia de los perjudicados; y en tercer lugar, el Banco no aporta ningún comprobante de la operación ejecutada sin autorización del cliente, nos referimos a los datos técnicos de la operación fraudulenta (registro de logs, identificador de la operación, justificante de autenticación reforzada o SCA, token generado por la operación, etc.).

En múltiples ocasiones se ha detectado accesos no autorizados que la entidad ha conseguido bloquear antes de producirse las operaciones no autorizadas, demostrando que el sistema de seguridad del Banco es vulnerable al no mantener un seguimiento sobre las cuentas que han sufrido intento de acceso no autorizado inicial. Po ello, los titulares de cuentas de empresa que utlizan la plataforma BBVA Net Cash para gestionar tus pagos, transferencias o nóminas, solo tienen la reclamación judicial para recuperar el dinero defraudado, pues la entidad rechaza la reclamación, alega que la operación fue «correctamente autenticada», y deja al cliente solo frente a un fraude que puede ascender a decenas de miles de euros.

En los primeros casos que hemos resuelto judicialmente los tribunales están dando la razón a los clientes. Sin embargo, el proceso es largo y deben darse pasos específicos para reclamar estos fraudes:

1 . Recopilar toda la documentación, pantallazos de la web con las operaciones no autorizadas, descargar los comprobantes de las operaciones y guardarlos en soporte seguro.

2 – Reclamación al Banco

3 – Denuncia ante la Guardia Civil / Policía Nacional

4 – Reclamación al Banco de España, solicitando los documentos y datos técnicos de las operaciones fraudulentas

5 – Reclamación al Servicio de atención al cliente BBVA con oferta vinculante confidencial previa a la reclamación judicial

6 – Demanda judicial

 

INCIBE HA DETECTADO LOS FALLOS DE SEGURIDAD EN PÁGINAS WEB FRAUDULENTAS QUE CAPTAN LOS DATOS DE AACESO A NETCASH:

Net Cash es la plataforma de banca electrónica empresarial de BBVA, diseñada para que autónomos y empresas gestionen sus cuentas, realicen transferencias nacionales e internacionales, paguen nóminas y controlen la tesorería. Su elevado volumen de operaciones y el perfil de sus usuarios —empresas que mueven grandes sumas de dinero— la convierte en uno de los blancos más atractivos para el cibercrimen organizado.

El INCIBE (Instituto Nacional de Ciberseguridad) ha detectado y alertado de campañas de phishing que suplantan específicamente la plataforma Net Cash de BBVA, en las que los delincuentes crean páginas fraudulentas que imitan a la perfección el portal de acceso, capturando las credenciales de empresa, usuario y contraseña de los clientes. INCIBE

El modus operandi más documentado combina dos fases: primero, los ciberdelincuentes envían SMS a los clientes alertando de supuestos problemas de seguridad, que contienen un enlace a una web fraudulenta que suplanta BBVA Net Cash. Una vez obtenidas las credenciales, llaman a los clientes haciéndose pasar por empleados del banco y solicitan acceso remoto a sus equipos, desde donde operan libremente en las cuentas. BBVA

 

EL BANCO MINIMIZA EL PROBLEMA Y TRASLADA LA RESPONSABILIDAD AL CLIENTE:

La propia entidad, en sus comunicados de seguridad, reconoce la existencia de estas amenazas. Sin embargo, el patrón de respuesta ante las víctimas es sistemáticamente el mismo: trasladar la responsabilidad al cliente.

Las vulnerabilidades y vectores de ataque más documentados contra Net Cash son:

1. Phishing dirigido a empresas. Correos y SMS que imitan con precisión la comunicación oficial de BBVA Net Cash, llevando al usuario a portales clonados donde se capturan las credenciales.

2. Vishing (fraude por llamada telefónica). Delincuentes que, tras obtener datos básicos por phishing, llaman a los clientes suplantando a empleados de BBVA para solucionar «falsos incidentes de ciberseguridad» y convencerles de instalar software de acceso remoto a sus equipos. BBVA

3. SIM Swapping. Técnica mediante la cual los delincuentes duplican la tarjeta SIM del titular de la cuenta, interceptando así los SMS de verificación de operaciones y burlando el sistema de doble autenticación que el banco presenta como garantía infalible.

4. Webs espejo de Net Cash. Páginas que replican a la perfección el portal de inicio de sesión de Net Cash, con protocolos HTTPS, mismos logos y colores, indistinguibles para un usuario medio. Uniovi

 

LOS JUZGADOS DAN LA RAZÓN A LOS CLIENTES:

Cuando una empresa detecta operaciones no autorizadas y acude a BBVA, el protocolo habitual es el siguiente:

  • El banco afirma que las operaciones se realizaron con las credenciales correctas y mediante autenticación reforzada (usuario + código SMS).
  • Concluye que, si las claves fueron utilizadas, el cliente las entregó voluntaria o negligentemente.
  • Deniega la reclamación amparándose en el Real Decreto-ley 19/2018, de servicios de pago, alegando que su sistema funcionó correctamente.
  • Cuando el caso llega al Servicio de Reclamaciones del Banco de España, muchas respuestas siguen siendo desfavorables al cliente o simplemente no vinculantes.

Esta postura es jurídicamente insostenible. Y los tribunales españoles lo están dejando cada vez más claro, pues la responsabilidad del banco es cuasi-objetiva. Por ello, si tu empresa ha sufrido pérdidas por accesos no autorizados debes iniciar la reclamación y recopilar la documentación lo antes posible. Los tribunales están dando la razón a los clientes. El dinero puede recuperarse.