Opinió
El final del «man in the middle»
Ja tocava. Una de les estafes informàtiques que més mal ha causat a les empreses sembla que podria quedar erradicada per sempre. Em refereixo a l’estafa informàtica coneguda com el man in the middle de la que us he parlat en diversos articles al Diari de Girona. En aquest tipus d’estafa el delinqüent intercepta un correu on s’adjunta una factura; sense modificar el correu modifica la factura adjunta que normalment és un pdf, canviant el número del compte, i el receptor, confiant en qui li ha passat aquest correu, normalment un proveïdor conegut i habitual, cau en el parany i per pagar la factura emet una transferència al nou compte modificat per l’estafador. Sembla molt simple, massa fàcil, però molt efectiu.
Ja fa temps que es comentava que això es podia evitar fàcilment amb una verificació del nom del beneficiari, però com la normativa només considerava l’IBAN com a únic identificador necessari, la majoria de les plataformes bancàries no feien la doble verificació de comprovar que l’IBAN que s’havia escrit coincidia amb el nom del beneficiari que s’havia consignat, dada que no era obligatòria.
Tot i que semblava senzill aplicar a les plataformes bancàries aquest sistema, com la normativa no ho obligava i amb excuses també basades en protecció de dades, van ser els tribunals de justícia, un cop més, que en algunes sentències ja apuntaven que això no podia ser i que tot i que el banc no intervenia directament, sí que podia ser responsable si la plataforma no era prou segura, una mica de sentit comú.
Recentment, el passat 8 d’octubre, va entrar en vigor un article del Reglament (UE) 2024/886, que obliga les entitats bancàries a verificar la coincidència entre el nom del beneficiari i el codi IBAN abans d’executar la transferència. De veritat tan complicat era???
Si la verificació que fa el banc és defectuosa, incorrerà en responsabilitat; però si la verificació és correcte i tot i l’avís que es farà a l’usuari aquest ordena igualment la transferència, llavors l’entitat bancària quedarà exonerada de responsabilitat.
Si bé la norma no es pot aplicar amb efectes retroactius, és evident que els procediments que puguin estar en curs en els que es demani responsabilitat per una estafa d’aquest tipus poden veure’s afectats, i és que no deixa de ser curiós que el que fa un o dos anys era impossible, ara no només és possible, sinó que és fàcil i senzill, i a més serveix de protecció tant als usuaris com a les mateixes entitats bancàries, passant tots a respondre només quan veritablement no hagin estat diligents. També serà important que les empreses incorporin aquest deure de diligència a les seves polítiques de Compliance.
Subscriu-te per seguir llegint
- Un autònom, preocupat per la pensió en el futur: paga 400 euros de quota i quan es jubili cobrarà només això
- Carta d'un lector sobre l'AVE Girona-Barcelona: 'A vegades, sembla més fàcil trobar entrades per a un concert d’Oasis
- Condemnem una parella per educar el fill a casa: 'És una desescolarització irresponsable
- Orriols es planteja treure Ripoll del sistema comarcal de recollida de residus
- Aquests són els millors flequers de Catalunya: un gironí en el podi
- Dol al sector universitari: el rector de la Universitat Ramon Llull mor de forma sobtada
- Una víctima dels 'escopidors' de Girona: 'No camino tranquil·la pel meu barri perquè tinc por de tornar-me’l a trobar
- Cuina casolana per menys de tres euros a Olot
