AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### UE propone que los bancos reembolsen transacciones no autorizadas aunque haya negligencia del cliente

admin

#### Introducción

El reciente dictamen emitido por Athanasios Rantos, Abogado General del Tribunal de Justicia de la Unión Europea (TJUE), podría suponer un cambio trascendental en la responsabilidad de las entidades bancarias ante operaciones no autorizadas. La opinión formal sugiere que los bancos deben reembolsar de forma inmediata a los titulares de cuentas que hayan sufrido transacciones no autorizadas, incluso si el incidente se debió a un descuido o error del propio usuario. Esta postura plantea importantes interrogantes legales, operativos y de ciberseguridad para el sector financiero europeo, especialmente en el contexto de la sofisticación creciente de los fraudes electrónicos y ataques dirigidos a clientes bancarios.

#### Contexto del Incidente o Vulnerabilidad

El detonante del dictamen se encuentra en un caso sometido al TJUE en el que un cliente fue víctima de un fraude que resultó en una transferencia no autorizada desde su cuenta bancaria. Tradicionalmente, la Directiva (UE) 2015/2366 relativa a los servicios de pago (PSD2) regula las obligaciones de bancos y usuarios en estos escenarios, estableciendo la devolución inmediata salvo en casos de fraude o negligencia grave del usuario. El dictamen de Rantos, sin ser vinculante, interpreta que incluso si el usuario ha sido negligente, la entidad debe proceder al reembolso inmediato, quedando la carga de la prueba y la posibilidad de recursos posteriores a cargo del banco.

#### Detalles Técnicos

Desde una perspectiva técnica, los ataques que derivan en transacciones no autorizadas suelen materializarse mediante técnicas avanzadas de ingeniería social, phishing, malware bancario y explotación de vulnerabilidades en sistemas de autenticación. Frameworks como Metasploit o kits de phishing automatizados han facilitado la industrialización de estas amenazas.

La Táctica, Técnica y Procedimiento (TTP) más habitual, según la matriz MITRE ATT&CK, corresponde a **T1556 (Modify Authentication Process)** y **T1566 (Phishing)**, que permiten la obtención de credenciales o el desvío de transacciones. Los Indicadores de Compromiso (IoC) asociados incluyen direcciones IP sospechosas, cambios en patrones de acceso y logs de transferencias inusuales. En 2023, el 47% de las intrusiones bancarias en la UE implicaron alguna forma de ingeniería social, según ENISA.

Respecto a las versiones de software afectadas, los ataques suelen dirigirse tanto a apps móviles desactualizadas como a portales web bancarios sin autenticación multifactor. Herramientas como Cobalt Strike se han detectado en campañas de post-explotación para movimientos laterales en redes internas de entidades financieras.

#### Impacto y Riesgos

El impacto de esta interpretación legal podría ser considerable. Se estima que el fraude bancario online ha generado en Europa más de 1.600 millones de euros en pérdidas en el último año. Para las entidades, la devolución inmediata podría suponer un aumento en los costes operativos y en la presión sobre los sistemas antifraude. Asimismo, deja abierta la puerta a que ataques de intermediarios (Man-in-the-Middle) y fraudes por SIM swapping acaben siendo sufragados por la banca, incluso cuando el usuario ha incurrido en errores de seguridad básicos, como compartir contraseñas o desatender avisos de seguridad.

Desde el punto de vista normativo, la interpretación afecta al cumplimiento de la PSD2 y puede colisionar con los principios de responsabilidad limitada del usuario recogidos en el Reglamento General de Protección de Datos (GDPR) y en la próxima Directiva NIS2, que refuerza la obligación de resiliencia y respuesta ante incidentes en servicios esenciales.

#### Medidas de Mitigación y Recomendaciones

Ante este escenario, se recomienda a las entidades financieras:

– Reforzar los mecanismos de autenticación, apostando por soluciones de MFA robusto y biometría.
– Mejorar la detección y respuesta a incidentes con plataformas SIEM avanzadas y análisis en tiempo real de anomalías.
– Implementar campañas continuas de concienciación para clientes, enfocadas en amenazas de ingeniería social y phishing.
– Revisar y actualizar los procedimientos de reembolso y litigio, asegurando la trazabilidad de cada incidente.
– Colaborar activamente con CERT nacionales ante tendencias emergentes de fraude.

Para los analistas SOC y equipos de respuesta, es esencial monitorizar la aparición de nuevos exploits y kits de phishing dirigidos a clientes europeos, así como compartir IoC relevantes a través de plataformas de threat intelligence.

#### Opinión de Expertos

Expertos del sector como Andrea Garcia, CISO del Banco Europeo de Inversiones, advierten: “La interpretación propuesta podría incentivar el fraude oportunista y debe ir acompañada de una mayor inversión en ciberseguridad y educación digital. Las entidades tendrán que demostrar de forma inequívoca la negligencia grave para evitar abusos”.

Por su parte, consultores de KPMG señalan que la jurisprudencia resultante podría incrementar los litigios y elevar el listón de las pruebas que deben presentar los bancos, obligando a una mejora en los registros forenses y en la automatización de la respuesta a incidentes.

#### Implicaciones para Empresas y Usuarios

Para las empresas, especialmente bancos y fintech, este cambio supondría una revisión de los acuerdos de nivel de servicio (SLA) y de las pólizas de seguro contra fraude. Los costes de cumplimiento y de gestión de incidentes podrían aumentar, afectando a la rentabilidad y al modelo de negocio.

Para los usuarios, la medida incrementa la protección legal pero puede generar una falsa sensación de seguridad, reduciendo la percepción de riesgo ante prácticas inseguras. Es crucial equilibrar la protección al consumidor con una adecuada corresponsabilidad en el uso de servicios digitales.

#### Conclusiones

La opinión del Abogado General del TJUE sobre la devolución inmediata de fondos en transacciones no autorizadas, incluso ante negligencia del usuario, anticipa un cambio de paradigma en la protección al cliente bancario. Si bien refuerza los derechos de los usuarios, plantea desafíos significativos en materia de ciberseguridad, gestión de riesgos y cumplimiento normativo para el sector financiero europeo. La adopción de tecnologías más seguras, la formación continua y la colaboración público-privada serán clave para afrontar este nuevo contexto de amenazas y responsabilidades.

(Fuente: www.bleepingcomputer.com)