La entidad financiera es culpable salvo que se demuestre lo contrarioPablo Fernández BurgueñoAbanlex
@Pablofb
Edal Anton Lefterov@Pablofb
@Pablofb
Dennis van Zuijlekom@Pablofb
الهكرز مدرسة
@Pablofb
Cuantas más infracciones, más reclamaciones
Datos de 2011 a 2014: Delitos informáticos: 20.538 (incremento: 210%) Estafas: 17.328 (84,39% del total) denunciadas: 47 al
díaDatos de 2014 a 2015 Estafas: De 4.000 (2014) a 14.000 (2015)
@Pablofb
Tipos de ataques
Modo: Ataques dirigidos Ataques aleatorios
Objetivos: Operaciones electrónicas en el sector
financiero Operaciones de compraventa de productos Contratación de servicios
TV Tuto Info@Pablofb
La ley defiende al usuario
El usuario está amparado por la ley
Tener el ordenador cargado de malware no se considera negligencia grave
Sophos Presseinfo
@Pablofb
EvidenciasLey 16/2009
Inversión de la carga de la prueba
La entidad es culpable, salvo que se demuestre lo contrario
Navarr Barnier
@Pablofb
Respuestas de los Tribunales Medios, controles
y análisis de comportamiento
Analizar los equipos y sistemas de los usuarios
@Pablofb
Vía penal de reclamaciónCódigo Penal (CP) Reos de estafa (248 CP)Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro. Prisión de 6m a 3años
elhombredenegro
@Pablofb
¿Y si no se localiza o identifica al culpable?
@Pablofb
Vía civil de reclamación
La entidad responde ante el usuario Motivos:
Seguridad insuficiente Falta de diligencia
Riesgo relevante para la entidad Responsable Proveedor de medios de
pago Se impone la inversión de la carga de la
prueba
@Pablofb
El proveedor de servicios de pago responde (Ley 16/09)
En las operaciones siguientes a la notificación de la primera no autorizada
Que no puedan demostrarse que sean debidas a la actuación fraudulenta del usuario
Cuando no pueda demostrar que el usuario incumpliera deliberadamente o por negligencia grave
Cuando el proveedor no disponga de medios adecuados para que pueda notificarse el extravío o sustracción
Imagen de fondo cedida por 0611nl @Pablofb
Alertar al cliente permite trasladarle la responsabilidad Si se alerta:
La entidad solo responde de las previas disposiciones
El usuario responde de las futuras disposiciones
Si no se alerta La entidad
responde.
Icon made by Freepik from www.flaticon.com
@Pablofb
Ciberataques constantes
Si el reclamante asegura Que había vulnerabilidades Que han derivado en estafa
Es la entidad de la que debe probar Que no existen las vulnerabilidades Que puso todos los medios conocidos para
evitarlo
Da igual si el usuario estaba troyanizado Christiaan Colen
@Pablofb
Sentencias. 1ª tanda
Tarjeta de coordenadas Audiencia Provincial de Badajoz (7/2/2013)
Uso compartido de contraseñas Audiencia Provincial de Castellón (19/12/2013)
Troyano Citadel Juzgado de 1ª Instancia 48 de Madrid (27/5/2016): “Es difícil percatarse de la existencia del
virus” “Era el banco quien tenía y
disponía de los medios necesarios para detectar y evitarlo”
Por tener un troyano, “no puede estimarse que exista ninguna negligencia o responsabilidad” en el usuario. @Pablofb
Sentencias. 2ª tanda
Tarjeta de coordenadas AP de Madrid (4/5/2015) “No entendemos cómo el banco no pudo detectar
esta situación” “La entidad demandada no adoptó las medidas de
seguridad” Phising AP de Barcelona (7/3/2013) Engaño AP de Albacete (23/2/2013)
“El usuario […] no debe soportar los defectos o falta de seguridad” del servicio de pagos
“Quien resultó engañado no fue el usuario sino la entidad […] por lo que es esta quien debe responder”
@Pablofb
Los Tribunales advierten: ¡seguridad avanzada!
También advierte el Banco Central Europeo.
Las entidades pueden y deben: Analizar operaciones Establecer patrones de comportamiento Analizar conexiones Analizar los terminales del usuario Analizar los sistemas informáticos
En la medida en que el usuario lo permita
@Pablofb
Top Related