En este post se recogen las aportaciones de Vanesa Fernández en los Diálogos para el futuro judicial LXXXVII. El ciberfraude y su respuesta jurídica publicados en Diario La Ley.
Coordinación e introducción:
Álvaro Perea González (Letrado de la Administración de Justicia)
Autores: Adrián Gómez-Linacero Corraliza (Letrado de la Administración de Justicia)
Vanesa Fernández Escudero (Abogada)
Iñigo Serrano Blanco (Socio fundador y CEO en Sello Legal. Abogado)
Patricia Romero Macipe (Abogada)
1º.- En parámetros generales, ¿qué está ocurriendo con el ciberfraude en España? ¿por qué los datos son tan alarmantes?
«El ciberfraude en España aumenta de forma exponencial y preocupante. Ello se debe, según los especialistas del Centro Criptológico Nacional y del Instituto Nacional de Ciberseguridad, a distintos factores.
Destacaría el incremento de la actividad digital, la vulnerabilidad de las redes domésticas y la falta de capacitación de la población española en ciberseguridad.
El panorama resulta preocupante, atendida la escasa punibilidad penal de los autores si se consigue su detención, la
gran ganancia económica que obtiene el delincuente en poco tiempo y sin demasiada logística invertida, utilizando
tácticas de ataque cada vez más avanzadas y la minusvaloración de los daños reales y cuantificables que conlleva un
ciberataque para las empresas y los hogares.»
2º.- De forma paralela al aumento normativo de la regulación en materia de protección de datos observamos también un incremento progresivo de la ciberdelincuencia en todos los campos, sobre todo en el patrimonial. ¿Está siendo ineficaz la protección jurídica del dato? ¿Por qué? ¿Qué debería cambiar en el panorama legislativo europeo o nacional?
«Más que ineficaz, el aumento normativo en protección de datos ha resultado insuficiente para evitar la
ciberdelincuencia, por muchas razones, entre las que destacaría: la rápida evolución de las amenazas, la falta de
inversión en la protección de canales informáticos, la falta de implementación efectiva de las normativas aplicables,
el enfoque limitado de la normativa que no abarca la prevención integral del ciberfraude patrimonial, la falta de una
cultura sólida de ciberseguridad en las empresas y la inexistencia de sanciones disuasorias suficientes para la
adopción de medidas de seguridad adecuadas.
Estimo que la Unión Europea necesita «regular» y no tanto «legislar». De esta manera se acotarían más los riesgos,
sus posibles soluciones y se reducirían los impactos reales en la economía, así como la existencia de las empresas
ciberatacadas.
Para ello, ayudaría la elaboración de pocas leyes, pero más específicas y detalladas respecto de la ciberdelincuencia,
especialmente en sectores críticos como el financiero y el sanitario, una regulación única y no fragmentada, que sin
duda debería ser dinámica y cambiante para poder actualizarse acorde con la evolución del ciberfraude.
Además, dado que el ciberfraude es transnacional, se requiere de una mejor cooperación entre los Estados de la UE y
a nivel global para investigar, perseguir y sancionar a los ciberdelincuentes. Para ello, el Convenio de Bucarest reduce
la burocracia procesal entre Estados para ejecutar la detención una vez detectada la IP originaria del ciberataque.
Aún así, sigue siendo un reto procesal penal con aquellos países no adscritos a dicho Convenio.
Por último, se requiere mayor inversión en formación, estableciendo programas obligatorios de educación en ciberseguridad, empezando por las escuelas.»
3º.- Phishing, hacking, pharming… ¿Cuántas modalidades de ciberfraude existen? ¿Cuál debe ser la respuesta del ciudadano o la empresa ante ellos? ¿Está siendo efectiva la investigación policial? ¿Y la judicial? ¿Qué obstáculos encuentran con mayor frecuencia Fuerzas y Cuerpos de Seguridad y órganos judiciales?
«El ciberfraude abarca una amplia variedad de modalidades, debido a la evolución constante de las técnicas
utilizadas por los ciberdelincuentes, siendo los más habituales en la actualidad el phishing, el smishing, vishing, ecommerce fraud, ransomware, scams financieros, fraude del CEO, man in the middle, business email compromise,
malware, spyware, click fraud,typostquatting, etc…
Los ciudadanos y empresas deben tomar medidas proactivas y reactivas para minimizar riesgos de un ciberataque y
actuar rápidamente en caso de ser víctimas.
Las investigaciones policiales son muchas veces eficaces gracias al establecimiento de unidades especializadas como
7 / 13 la Unidad Técnica de Investigación (UIT) y la cooperación con instituciones como INCIBE (Instituto Nacional de
Seguridad Cibernética) y Europol también han mejorado la capacidad de perseguir los delitos cibernéticos a nivel
internacional.
A nivel judicial, se están adaptando los marcos y procedimientos legales para combatir el delito cibernético y se han
creado áreas especializadas. Sin embargo, la falta de recursos adecuados y la lenta adaptación a nuevas amenazas
continúan limitando la efectividad de las investigaciones en esta área.
Respecto a los obstáculos, el primero y más relevante es la identificación y localización de los ciberdelincuentes,
también la recopilación de pruebas. Los procesos judiciales se enfrentan a barreras jurídicas y burocráticas que
retrasan la cooperación entre jurisdicciones y la falta de recursos y formación especializada limita la capacidad para
abordar eficazmente el ciberfraude.»
4º.- El Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, es una norma trascendental en la lucha contra el ciberfraude. ¿Qué valoración general merece? ¿Y el régimen jurídico de la responsabilidad del proveedor de servicios de pago?
«Es crucial en la lucha contra el ciberfraude al alinear la normativa española con la Directiva Europea de Servicios de
Pago (PSD2) (LA LEY 20018/2015), sin embargo, el régimen jurídico de la responsabilidad del proveedor de servicios
de pago presenta varios problemas a nivel jurídico.
A mi juicio la normativa es ambigua en cuanto a determinadas responsabilidades específicas de los proveedores de
servicios de pago en casos de fraude o errores en las transacciones.
Esto conlleva la existencia de controversias sobre quién es responsable de los fondos perdidos y dificulta
enormemente a los usuarios la recuperación de los mismos, sin que el proveedor de servicios de pago se avenga y
colabore a tal fin, ya que en la mayoría de ocasiones fuerzan a los afectados a acudir a la vía judicial.»
5º.- En lo que atañe a la recuperación del dinero sustraído por un usuario de servicios de
pago… ¿Qué papel está jugando el Banco de España? ¿Y los proveedores de servicio? ¿Se ha
conseguido mejorar la seguridad en el uso de sistemas de pago a través de Internet tal y como
pretendía la regulación europea original (Véase: Directiva (UE) 2015/2366 del Parlamento
Europeo y del Consejo, de 25 de noviembre de 2015)?
«El Banco de España, como supervisor e intermediario en la recuperación de fondos sustraídos por los usuarios de
servicios de pago, debería garantizar que las instituciones financieras cumplieran con las regulaciones de protección
al consumidor y debería supervisar la gestión adecuada de las reclamaciones relacionadas con el fraude.
Sin embargo, a mi modo de ver, el Banco de España no está actuando de forma eficaz ni en el proceso de
recuperación de fondos robados ni está protegiendo efectivamente los derechos de los consumidores, garantizando la adecuada gestión de los casos de fraude. Hay margen de mejora.
Por su parte, los proveedores de servicios de pago no están implementando grandes empeños en la recuperación de
los fondos sustraídos ante reclamaciones de afectados, y en muchas ocasiones hasta que no se judicializa el asunto
no responden.
Sí, en general, desde la implementación de la Directiva (UE) 2015/2366 (LA LEY 20018/2015) la seguridad al utilizar
los sistemas de pago ha mejorado. Aun así, persisten desafíos, que requieren de una adaptación continua para
abordar nuevos retos y amenazas de los ciberdelincuentes que están adaptando sus técnicas para explotar nuevas
vulnerabilidades.»
6º.- 509,1% más de ciberfraude en 2023 con relación a 2016. ¿Cómo estaremos en 2030?
¿Cuál es el horizonte que dibujan los datos? ¿Qué prioridades normativas, operativas y de otro
tipo deben asumirse en el corto plazo?
«Sobre la base de esta tasa de crecimiento, el aumento tenderá a subir hasta 2030. A partir de ahí, es probable que
tienda a estancarse, para empezar una reducción progresiva. Todo dependerá del afianzamiento progresivo de las
medidas de defensa a nivel público y privado, junto con la mentalización colectiva en todos los sectores de la
población.
En definitiva, dependerá de la eficacia de las estrategias implementadas para combatirlo, no obstante, lo que está
claro es que, sin una intervención significativa de seguridad e inteligencia, es probable que el fraude cibernético
continúe aumentando si las tendencias actuales continúan. La clave radicará en la capacidad de la tecnología, la
regulación y la educación para adaptarse y contrarrestar eficazmente las amenazas emergentes.
Es necesario abordar varias prioridades regulatorias, operativas y de otro tipo para frenar eficazmente el aumento del
fraude cibernético.
Normativamente, es importante actualizar y fortalecer las leyes y regulaciones de ciberseguridad. Desde el punto de
vista operativo, las empresas deberían invertir en tecnologías avanzadas de ciberseguridad. Es determinante
aumentar la formación y concienciación en ciberseguridad entre los usuarios para reducir el riesgo de error humano
que puede facilitar el fraude. Debe fomentarse la cooperación y el intercambio de información entre instituciones
financieras, empresas de tecnología y agencias gubernamentales para crear un frente común contra el fraude
cibernético.»
Para aquellos interesados en profundizar más sobre las perspectivas abordadas y conocer en detalle las respuestas de los profesionales que han participado en esta conversación pueden acceder a través del siguiente enlace: Diálogos para el futuro judicial: El ciberfraude y su respuesta jurídica.
Vanesa Fernández Escudero / Abogada especializada en Derecho de los consumidores y usuarios