“Los bancos han sido negligentes a la hora de permitir aperturas de cuentas on line, ya que muchas de ellas han sido usadas por suplantadores de identidad para consumar ciberestafas y blanquear posteriormente el capital estafado”. Con esta rotundidad se manifiesta, en conversación con DIARIO DE AVISOS, el perito economista Carlos Solano, socio y fundador de Arbicider SL, además de reconocida referencia en el sector. Y sus palabras encuentran un refrendo tan indiscutible como es el hecho de que el año pasado la Autoridad Bancaria Europa (EBA, por sus siglas en inglés) tuvo que corregir al Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias español (Seppblac) porque su normativa (a la que la legislación vigente habilita como fuente de Derecho a nivel reglamentario) era fácilmente eludible por los cibercriminales.
Con el agravante, además, de que la propia Seppblac ya había tenido que reforzarlas en 2021 por la misma causa: eran ineficaces por fallos en el diseño del sistema de verificación de identidad.
Para los no iniciados, la clave radica en que los bancos están obligados a verificar y autenticar la identidad de sus clientes, pero no parece que los enormes beneficios obtenidos gracias a la digitalización y el ahorro de costes laborales consecuente (en España han despedido a uno de cada tres trabajadores entre 2010 y 2020) no se reflejan a la hora de dotar a sus clientes del mismo nivel de seguridad que tenían cuanto las gestiones eran presenciales.
Retornando a lo expuesto por Solano (a cuyos servicios ha recurrido el prestigioso bufete tinerfeño Sirvent&Granados, cuyos éxitos en los tribunales han convertido en referencia estatal por lo que respecta a la responsabilidad bancaria en estas estafas), el experto recuerda que en esta modalidad de la cibercriminalidad “hay en realidad dos delitos; el primero es la estafa en sí, pero para que ésta se consuma hay engaños anteriores necesarios para realizar el jaque mate de la ciberestafa porque en primer lugar hay que robarle la identidad a una víctima, abrir la cuenta bancaria a nombre de la misma para recibir el dinero de la estafa y al que imputarle la estafa cuando la policía siga el rastro del delito y además, está el blanqueo de capital en el que colaboran los bancos involuntariamente, porque ese dinero luego se mueve a través de otras cuentas bancarias cuyas identidades también han sido suplantadas en muchos casos”. Como es sabido, los bancos están obligados por ley a evitar el blanqueo de capitales.
Sea como fuere, consultar a este experto resulta didáctico a la hora de obtener una visión general sobre lo que sigue pasando: “La ley obliga a los bancos a verificar la identidad no solo de los documentos aportados, sino comprobar la identidad de quien los aporta, comprobando que se aporta un documento legal y fehaciente”.
“Pero la ley -continúa el experto- se aplica a través del reglamento, y éste se limita a disponer que se actuará según lo que disponga el Seppblac. Pues bien, este organismo estatal decía entre 2020 y octubre de 2021 que bastaba con un DNI escaneado por ambos lados y con el IBAN de otra entidad para verificar la titularidad del cliente. En octubre de 2021, ante los cientos de casos de suplantación de identidad denunciados ante la Policía y la Guardia Civil, reconoció que eso no era suficiente y que hacía falta un tercer filtro consistente en que el banco que abre la cuenta on line mandaba una transferencia de unos céntimos, o con un código en el concepto, a la cuenta bancaria dada como referencia. Pero si la persona que sube esa documentación del banco y que ha iniciado el procedimiento de apertura confirmaba el número de céntimos o daba el código, entonces se da por supuesto que el legítimo titular de la cuenta verificadora tenía acceso a la misma y que el nuevo cliente del banco digital era quien decía ser”.
“¿Saben cuál es el problema? Que el dato de esa minitransferencia podía ser obtenido por el suplantador a través de engaño de ingeniería social, o incluso que la cuenta verificadora fuera una cuenta fraudulenta usada para verificar una nueva cuenta fraudulenta, contagiándose el fraude como el Covid. Y al obtener ese dato, el suplantador estafador obtenía el dato que le faltaba para completar la apertura de la cuenta fraudulenta que será usada para cometer estafas del tipo ‘fraude en el medio’ o ‘phising’ y/o blanquear el dinero estafado en ellas. En resumen, cerraron la puerta pero sin pasar la llave”, concluye Solano.
Si el experto Carlos Solano es contundente al denunciar los fallos en el control bancario que han hecho posible el enorme aumento de la cibercriminalidad durante los últimos años en nuestro país, tampoco invita al optimismo por lo que respecta a lo que sucede hoy en día.
Aunque los cambios impuestos el año pasado desde la Autoridad Bancaria Europea han mejorado los controles, la verificación de la titularidad de las cuentas sigue sin ser del todo eficaz por ardides novedosos como, detalla el especialista, el llamado ‘fraude de identidad sintética’. Por ende, se puede seguir reclamando a las entidades financieras el dinero defraudado dado que, si cumplieran con sus obligaciones, estos fraudes no podrían consumarse.