Opinió

Antoni Pérez De-Gregorio i Capella (*)

L’estafa informàtica del «Man in the middle»

La suplantació de factures en correus electrònics és el nou mètode d’estafa informàtica que amenaça principalment a petites i mitjanes empreses.

Recentment, el Diari de Girona va publicar un article on es mencionava que la cibercriminalitat no para de pujar a les comarques de Girona i en només un any ha escalat un 26%. Això ha provocat que la província de Girona s’hagi convertit en una de les més afectades de tot el pais.

L’estafa del Man in the middle (Home al mig), és un dels atacs informàtics més practicats en aquest últim any. Aquest frau consisteix en interceptar la comunicació entre dos dispositius que es troben connectats a internet adquirint la capacitat de llegir i modificar qualsevol factura o document intercanviat entre les parts. El ciberdelinqüent modifica exclusivament el número d’IBAN on han de ser transferits els diners amb la finalitat de desviar el cobrament a un altre compte bancari diferent del proveïdor. Aquesta tècnica cada cop es fa més difícil de detectar pel fet que el hacker suplanta la identitat d’una de les parts a través del mateix compte de correu electrònic.

Per conèixer en quin servidor s’ha realitzat la intromissió, haurem d’acudir a la valoració d’un perit informàtic. En la majoria dels casos, els hackers accedeixen a través de correus fraudulents per mitjà dels quals sol·liciten l’actualització d’alguna contrasenya per a millorar la seguretat de la mateixa aplicació o pàgina web.

D’una banda, no hi ha dubte que el hacker que ha suplantat la identitat d’una de les parts és responsable penalment d’un delicte d’estafa. No obstant això, el debat jurídic es troba a resoldre qui ha d’assumir la responsabilitat entre creditor i deutor. Doncs bé, tenint en compte que el primer que s’ha de valorar són les circumstàncies concretes de cada cas, la major part dels tribunals apliquen la Doctrina del creditor aparent.

La Doctrina del creditor aparent consisteix en aplicar l’excepció legal que estableix que el pagament fet de bona fe a qui estigués en possessió del crèdit té efectes alliberadors. Els tribunals estableixen els tres requisits que s’han de complir perquè el pagament produeixi efectes alliberadors per al deutor: la realització d’un pagament efectiu, l’existència d’una aparença de titularitat del crèdit i la bona fe del deutor.

Per tant, en aquells casos que el deutor hagi actuat amb la diligència deguda, el pagament podrà tenir efecte alliberador i en conseqüència, el creditor legítim podria quedar sense cobrar el seu crèdit.

Pel que fa a les entitats bancàries, podríem considerar la possibilitat de reclamar al banc per mala pràctica bancària. Per a realitzar una transferència, els bancs sol·liciten diverses dades, entre elles, el nom del beneficiari. En els casos en què es produeix l’estafa del Man in the middle, el nom del beneficiari no coincideix amb el titular del compte bancari pel fet que aquest compte ha estat modificat per un tercer.

El Banc d’Espanya i els tribunals han declinat majoritàriament l’opció que els bancs assumeixin la responsabilitat d’aquestes operacions al no advertir o comprovar que el beneficiari no correspon amb el titular del compte bancari. Les entitats bancàries tenen la responsabilitat de comprovar que al compte on es traslladen els diners coincideixi amb l’identificador únic (també conegut com a IBAN) especificat en la transacció, encara que el beneficiari no correspongui amb el titular real del compte. En cas de voler reclamar responsabilitat civil als bancs, s’haurà d’acreditar l’incompliment d’alguna de les obligacions establertes per la normativa.

En definitiva, sabent que hem d’atendre les circumstàncies concretes de cada cas, el deutor és qui té la càrrega de la prova a l’hora de demostrar que ha actuat amb la diligència deguda complint amb els requisits necessaris per a considerar que el pagament s’ha efectuat sobre la base de la doctrina del creditor aparent.

Tenint en compte el vertiginós augment d’aquesta problemàtica, és molt important que quan rebem un SMS, mail o similar, comprovem degudament el nom del remitent i l’adreça de correu electrònic. En cas que el contingut del missatge tingui una aparença errònia o inusual, és recomanable contrastar la informació abans d’efectuar qualsevol operació.

(*) En col·laboració amb Dafne Burgos

Subscriu-te per seguir llegint