Si no ves este contenido puede deberse a la carga en tu dispositivo móvil. Haz clic aquí para recargar la página.
Con la aprobación de la PSD2, la Segunda Directiva Europea de Servicios de Pago, en 2017, el doble check o segunda verificación entró en vigor de forma obligatoria en todo tipo de pagos digitales en el ámbito de la Unión Europea, y para entidades bancarias que procedan y operen en dicho ámbito.
De este modo y a partir de su aplicación a principios de 2019, ya no basta con poner los datos de una tarjeta bancaria en una pasarela de pago, sino que debemos, de una manera física, y por tanto consciente y voluntaria, verificar dicho pago en la aplicación de móvil de nuestro banco o en cualquier otra que este ponga a nuestra disposición. El fin es que no haya duda de que autorizamos nuestro pago.
Pero a muchos usuarios, si no a la mayoría, nos parece un proceso farragoso y redundante, ya que el protocolo de cifrado de las pasarelas de pago es AES-256, uno de los mejores sistemas de encriptado que existen. Sin embargo, dicho protocolo no es suficiente porque las estafas, precisamente, suelen estar diseñadas precisamente para no enfrentarse a él a través de la llamada ingeniería social.
Casi 29.000 euros estafados
A este respecto, y como ejemplo dicha ingeniería social, hace pocos días Facua ha revelado que el BBVA se vio recientemente obligado a restituir a un cliente -un hombre de mediana edad- una cifra cercana a los 29.000 euros que le habían sido sustraídos mediante una estafa de smishing.
El 'smishing' es una técnica que consiste en el envío de un SMS por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima -red social, banco, institución pública, entre otras con el objetivo de robarle información privada o realizarle un cargo económico.
Generalmente el mensaje invita a llamar a un número de tarificación especial o acceder a un enlace de una web falsa bajo un pretexto. En el caso del cliente del BBVA, la falsa razón era una supuesta desactivación de una tarjeta que debía revertirse introduciendo de nuevo todos los datos bancarios en una página web, supuestamente real, cuya dirección url se facilitaba en el SMS recibido.
Tras seguir las instrucciones indicadas por los estafadores, el usuario recibió un nuevo SMS donde se le indicaba que pronto recibiría la información sobre la cuenta, pero no fue así. “A partir de ahí comencé a recibir decenas de cargos no autorizados en diferentes comercios”, comenta el usuario, de nombre Julián, en la web de Facua, entidad de la que es socio.
En concreto fueron 39 operaciones sin autorización entre el 26 de abril y el 4 de mayo. No fue hasta el 6 de mayo cuando, una vez revisada su cuenta, Julián se percató de que estaba siendo víctima de una estafa.
Rápidamente contactó con el Servicio de Atención del Cliente de la entidad bancaria, pero al ser comunicada la sustracción, el banco declinó responsabilidades y se limitó a ofrecerle “una tarjeta más segura”, que contemplara doble verificación, algo obligatorio por ley.
Precisamente, ante la pasividad del banco, los servicios jurídicos de Facua se pusieron en contacto con el servicio de atención al cliente de BBVA con un escrito en el que se recordaba que el artículo 36 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes, recoge que “las operaciones de pago se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución”, circunstancia que no se había producido.
Del mismo modo, el artículo 45 establece que cuando se ejecute una orden de pago no autorizada, el banco debe devolver al cliente el importe de la operación: “el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada”.
La doble verificación, mejor barrera a las estafas
Y precisamente para asegurar el consentimiento explícito del cliente en casos de estafas por SMS o Whatsapp, cada día más frecuentes y en las que podemos incurrir en un momento en que tengamos la guardia baja y cedamos todos nuestros datos, la mejor barrera es la doble verificación bancaria,
Por la misma, ya no nos basta con el cifrado de los datos que nos propone la pasarela de pago al efectuar una compra o una liquidación por internet, sino que debemos verificar expresamente y físicamente, esto es yendo a la aplicación bancaria en nuestro móvil, que autorizamos la compra tras poner nuestras claves o con nuestra huella digital.
Puede parecer un proceso pesado, y lo es cuando tenemos prisa en completar un pago, pero lo cierto es que si la tarjeta de Julián hubiera contemplado la doble verificación en cualquiera de las compras no autorizadas que se produjeron, a buen seguro ninguna de ellas habría terminado siendo efectiva.
Desde modo podemos asegurarnos que tenemos el control absoluto sobre todo lo concerniente a nuestras compras por internet, y a la vez nuestro banco limita toda responsabilidad en aquellos casos en los que incluso habiendo doble verificación, se comete una estafa.
Si no te quieres perder ninguno de nuestros artículos, suscríbete a nuestros boletines