6. Cuantas más infracciones, más
reclamaciones
Datos de 2011 a 2014:
Delitos informáticos: 20.538 (incremento: 210%)
Estafas: 17.328 (84,39% del total) denunciadas: 47 al
día
Datos de 2014 a 2015
Estafas: De 4.000 (2014) a 14.000 (2015)
@Pablofb
7. Tipos de ataques
Modo:
Ataques dirigidos
Ataques aleatorios
Objetivos:
Operaciones electrónicas en el sector financiero
Operaciones de compraventa de productos
Contratación de servicios
TV Tuto Info@Pablofb
8. La ley defiende al
usuario
El usuario está
amparado por la ley
Tener el ordenador
cargado de malware no
se considera
negligencia grave
Sophos Presseinfo
@Pablofb
9. Evidencias
Ley 16/2009
Inversión de la carga
de la prueba
La entidad es
culpable, salvo que
se demuestre lo
contrario
Navarr Barnier
@Pablofb
10. Respuestas de
los Tribunales
Medios, controles y
análisis de
comportamiento
Analizar los equipos
y sistemas de los
usuarios
@Pablofb
11. Vía penal de
reclamación
Código Penal (CP)
Reos de estafa (248 CP)
Los que, con ánimo de lucro y
valiéndose de alguna manipulación
informática o artificio semejante,
consigan una transferencia no
consentida de cualquier activo
patrimonial en perjuicio de otro.
Prisión de 6m a 3años elhombredenegro
@Pablofb
12. ¿Y si no se localiza o identifica
al culpable?
@Pablofb
13. Vía civil de reclamación
La entidad responde ante el usuario
Motivos:
Seguridad insuficiente
Falta de diligencia
Riesgo relevante para la entidad
Responsable Proveedor de medios de pago
Se impone la inversión de la carga de la prueba
@Pablofb
14. El proveedor de servicios de
pago responde (Ley 16/09)
En las operaciones siguientes a la notificación de la
primera no autorizada
Que no puedan demostrarse que sean debidas a la
actuación fraudulenta del usuario
Cuando no pueda demostrar que el usuario
incumpliera deliberadamente o por negligencia grave
Cuando el proveedor no disponga de medios
adecuados para que pueda notificarse el extravío o
sustracción
Imagen de fondo cedida por 0611nl @Pablofb
15. Alertar al cliente
permite trasladarle
la responsabilidad
Si se alerta:
La entidad solo
responde de
las previas
disposiciones
El usuario
responde de
las futuras
disposiciones
Si no se alerta
La entidad
responde.
Icon made by Freepik from www.flaticon.com
@Pablofb
16. Ciberataques constantes
Si el reclamante asegura
Que había vulnerabilidades
Que han derivado en estafa
Es la entidad de la que debe probar
Que no existen las vulnerabilidades
Que puso todos los medios conocidos para
evitarlo
Da igual si el usuario estaba troyanizado Christiaan Colen
@Pablofb
17. Sentencias. 1ª tanda
Tarjeta de coordenadas Audiencia Provincial de
Badajoz (7/2/2013)
Uso compartido de contraseñas Audiencia
Provincial de Castellón (19/12/2013)
Troyano Citadel Juzgado de 1ª Instancia 48 de
Madrid (27/5/2016):
“Es difícil percatarse de la existencia del virus”
“Era el banco quien tenía y disponía de los
medios necesarios para detectar y evitarlo”
Por tener un troyano, “no puede estimarse
que exista ninguna negligencia o
responsabilidad” en el usuario.
@Pablofb
18. Sentencias. 2ª tanda
Tarjeta de coordenadas AP de Madrid (4/5/2015)
“No entendemos cómo el banco no pudo detectar esta
situación”
“La entidad demandada no adoptó las medidas de seguridad”
Phising AP de Barcelona (7/3/2013)
Engaño AP de Albacete (23/2/2013)
“El usuario […] no debe soportar los defectos o falta de
seguridad” del servicio de pagos
“Quien resultó engañado no fue el usuario sino la entidad […]
por lo que es esta quien debe responder”
@Pablofb
19. Los Tribunales advierten:
¡seguridad avanzada!
También advierte el Banco Central Europeo.
Las entidades pueden y deben:
Analizar operaciones
Establecer patrones de comportamiento
Analizar conexiones
Analizar los terminales del usuario
Analizar los sistemas informáticos
En la medida en que el usuario lo permita
@Pablofb