Desde el punto de vista del usuario, los mayores riesgos de fraude se asocian con la pérdida o sustracción de la tarjeta, y, especialmente, con la obtención ilegítima por terceros de sus datos identificativos (número de la tarjeta, fecha de caducidad, los tres dígitos del reverso).
La pérdida o sustracción puede tener consecuencias limitadas en relación con el reintegro en cajeros y con el pago presencial en comercios, dado que será necesaria la identificación del titular mediante la exhibición de su DNI y el tecleo del número personal asociado al instrumento (PIN: personal identification number) o la firma de la boleta expedida por el datafono del comercio, en su caso (hay que precisar que en nuestro país se ha sustituido la banda magnética por un chip electrónico, lo que dificulta el fraude y conlleva que la autorización de las operaciones en comercios por tecleo del PIN se haya consolidado).
En los casos de pérdida o sustracción del plástico sí hay un mayor riesgo vinculado con el uso de la tarjeta con el fin de realizar pagos ligados a la adquisición de bienes o a la prestación de servicios a través de Internet. Por ello, es fundamental que el titular, además de ser diligente en la custodia del instrumento y del PIN, comunique a su entidad bancaria la pérdida o sustracción de la tarjeta con la mayor celeridad, a efectos de su anulación y de la adopción por el banco de las medidas preventivas oportunas.
Por otra parte, como anticipábamos al comienzo, la obtención ilegítima de los datos de las tarjetas puede tener lugar indirectamente. Durante años no ha sido infrecuente que los delincuentes colocaran dispositivos en los cajeros automáticos que les permitían obtener la información de la tarjeta para, posteriormente, realizar duplicados de la misma y efectuar disposiciones de efectivo no autorizadas en los propios cajeros.
El reforzamiento de las medidas de seguridad de los cajeros automáticos y de las propias tarjetas (como la implantación del chip electrónico al que nos hemos referido anteriormente), unido al aumento de los pagos con tarjeta a través de Internet, ha provocado que surjan riesgos en este ámbito. Por tanto, ahora también es posible que los delincuentes puedan obtener estos datos de las tarjetas a través de la Red, especialmente cuando los pagos se realizan por parte de los usuarios en entornos no seguros.
Relacionado con lo anterior, periódicamente recibimos en nuestra bandeja de entrada de correo electrónico supuestas peticiones bien de nuestro banco, bien de alguna Administración (por ejemplo, de la Agencia Estatal de la Administración Tributaria) solicitando que aportemos los datos de nuestra tarjeta, con el PIN incluido. En ocasiones, estos correos se pueden identificar con facilidad porque contienen evidentes errores ortográficos, o, directamente, su contenido resulta ininteligible por estar redactados en un pésimo castellano. Debemos ser cautos, porque ni nuestro banco ni ninguna institución pública o privada nos van a solicitar esta información de esta forma. Sin embargo, son muchos los usuarios que “pican” y facilitan esta información a los delincuentes, por lo que ofrecen el acceso directo a su tarjeta y a la posibilidad de que se puedan realizar transacciones con la misma.
Con cierta frecuencia, sobre todo cuando se trata de clientes de edad avanzada, estos anotan el PIN en el propio plástico o en un papel que llevan junto a la tarjeta. Como es obvio, la pérdida o sustracción de la tarjeta provoca en estos casos que quien la halle o sustraiga pueda “vaciar” la cuenta asociada o el crédito de la tarjeta con suma facilidad.
A efectos prácticos, la mayor diferencia entre una disposición no autorizada con tarjeta de crédito o débito estriba en que el fraude cometido con la primera puede alcanzar tanto al crédito disponible asociado a la tarjeta como al saldo de la cuenta vinculada, en tanto que en los fraudes con tarjeta de débito los delincuentes verán limitada su actuación a lo que haya disponible en la cuenta corriente o en la libreta de ahorros asociada al plástico.
También son habituales las reclamaciones de clientes que han dejado la cartera en su vehículo, y bien este ha sido sustraído o lo ha sido su contenido, lo que ha supuesto que el delincuente se apodere de la tarjeta.
El problema que se plantea en estos supuestos es quién asume la pérdida: el cliente o la entidad emisora.
Hay que tener presente que sobre el cliente pesan determinadas obligaciones, plasmadas en la actualidad en la Ley de Servicios de Pago y en los diversos contratos de emisión de tarjeta. Entre estos deberes figuran el de utilizar el instrumento de pago de conformidad con las condiciones pactadas con la entidad emisora, el de tomar todas las medidas razonables a fin de proteger los elementos de seguridad personalizados de que vaya provisto, y el de, en caso de extravío, sustracción o utilización no autorizada del instrumento de pago, notificarlo sin demoras indebidas a la entidad, en cuanto tenga conocimiento de ello.
Por lo tanto, habrá que estar a cada caso concreto para la imputación de responsabilidades, lo cual, en último término, se tendrá que llevar a cabo por la autoridad judicial si el emisor y el titular no se ponen de acuerdo.
Los datos del Banco de España (“Memoria anual sobre la vigilancia de sistemas de pago”, la más reciente de las cuales ha sido publicada en 2017) reflejan que las prácticas fraudulentas se vinculan mayoritariamente con los pagos en comercios, sea de forma física, o, como fruto del desarrollo de las nuevas tecnologías, a distancia (Internet, móviles, tabletas…). Solo un pequeño porcentaje se asocian actualmente con reintegros de efectivo en cajeros automáticos.
En comercios físicos, el “modus operandi” consiste en la aportación por quien no es el titular legítimo del plástico perdido o sustraído, o bien de una duplicación del mismo, acompañado por el tecleo del PIN o la firma de la boleta. Como es evidente, si el comercio identifica adecuadamente a quien porta la tarjeta —aunque también puede ocurrir que se presente un DNI falso o falsificado— se pueden frustrar numerosos intentos de fraude.
En operaciones a distancia, mediante la obtención ilegítima del número de la tarjeta, de la fecha de caducidad y del código de seguridad de tres dígitos del anverso, y su introducción en el sistema de pago. No obstante, los establecimientos que operan a través de Internet y admiten pagos con tarjeta suelen adherirse a los llamados sistemas de “Comercio Electrónico Seguro”. Una práctica que va implantándose paulinamente es la del envío de una clave al móvil del titular de la tarjeta, que ha de ser facilitada a efectos de la autorización de la operación, lo que frustra una buena parte de las operaciones iniciadas por los delincuentes.
Por último, en cajeros cabe la obtención de los datos de la tarjeta y del PIN (se han llegado a emplear por los delincuentes microcámaras adheridas al cajero con este fin) para la posterior clonación y la realización de reintegros. Minoritarios son en la actualidad los casos en que se obliga a una persona bajo violencia o coacción a realizar un reintegro para la entrega del efectivo al delincuente, lo que aconseja que utilicemos cajeros de lugares con cierta afluencia de personas.
En un contexto en el que el uso del dinero en efectivo (monedas, billetes) es cada vez menor, con implicaciones que van mucho más allá de la prevención del fraude, los poderes públicos tratan de incentivar la extensión del uso de los medios de pago electrónicos, entre ellos las tarjetas.
En este sentido, en efecto, la Ley de Servicios de Pago trata de proteger al usuario, que tan solo soportará, hasta un máximo de 150 euros, las pérdidas derivadas de la utilización del instrumento de pago extraviado o sustraído, salvo que la operación de pago no autorizada fuera fruto de su actuación fraudulenta o del incumplimiento deliberado o por negligencia grave de sus obligaciones, en cuyo caso soportará el total de las pérdidas derivadas de las operaciones de pago no autorizadas. La nueva Directiva de Servicios de Pago de 2015, con fecha tope de transposición en enero de 2018, rebaja este límite a 50 euros.
Por otra parte, el titular de la tarjeta no soportará consecuencia económica alguna derivada del uso fraudulento de la tarjeta extraviada o sustraída con posterioridad a la notificación a la entidad del extravío, sustracción o utilización no autorizada del instrumento de pago.
Es complicado precisar cuántas conductas delictivas se neutralizan anualmente en virtud de la aplicación de la Ley de Servicios de Pago, aunque en la actualidad el foco de litigiosidad entre las entidades y sus clientes está muy alejado del ámbito de los servicios de pago. La Ley tiene un objeto muy amplio, y la prevención del fraude tampoco es uno de sus fines esenciales, aunque, como se aprecia, hay partes de su contenido que afectan más o menos directamente al fraude y su tratamiento en lo que afecta a las relaciones de los bancos con los usuarios, estableciendo deberes y separando responsabilidades.
En 2018 comenzará a regir la nueva, como decíamos, la nueva Directiva de Servicios de Pago, por lo que tendremos una nueva Ley de Servicios de Pago en los próximos meses. Sin embargo, las mayores novedades no se centrarán en la prevención del fraude, sino en la aparición como nuevos competidores de las entidades de crédito tradicionales de las denominadas “Fintech”.
En el caso de los pagos con móviles, que es donde posiblemente se librará una próxima “batalla”, quién sabe si un acercamiento, entre los bancos tradicionales y otros prestadores de servicios financieros e incluso las empresas del sector de las telecomunicaciones, tampoco me constan especiales incidencias, aunque, desde luego, este es todavía un terreno por consolidar y por explorar.
Es frecuente que, además de la reglamentación legal, las tarjetas tengan vinculados seguros que permiten, entre otros aspectos, mitigar las consecuencias de las conductas ilícitas relacionadas con aquellas. Lo mejor para el cliente es, además de leer el contrato en el que se recoge el concreto régimen de funcionamiento de la franquicia de 150 euros a la que nos hemos referido, pedir las condiciones del seguro asociado, para conocer de antemano su cobertura.
En caso de que seamos víctimas de una operación fraudulenta o irregular, lo primero que debemos hacer es, de inmediato, contactar telefónicamente con la entidad emisora para que se anule la tarjeta, pues de ahí en adelante será la entidad la que soporte todas las consecuencias económicas derivadas, en su caso, del uso fraudulento.
En determinados casos distintos del mero extravío, como el hurto o el robo, es aconsejable, asimismo, la formulación de denuncia policial, para su aportación a la entidad bancaria.
A salvo de lo que pueda disponer el contrato de emisión de tarjeta, el cliente se habría de dirigir a su sucursal para la restitución de las cantidades. Como es natural, la entidad realizará las comprobaciones oportunas. Si desde su sucursal no se le atiende favorablemente, podrá acudir al servicio de atención al cliente. En último término, quedará el recurso a la autoridad judicial.
La clave será saber qué ocurre con las operaciones fraudulentas efectuadas antes de la notificación a la entidad. Si el cliente ha sido diligente en la custodia de la tarjeta no debe temer, en principio, consecuencias económicas adversas.
El principal consejo para los usuarios es que en la tarjeta no veamos un simple trozo de plástico, sino la llave a nuestro dinero. Las tarjetas son muy útiles, pero hemos de extremar la diligencia en su custodia, lo que puede ser especialmente complicado en época de vacaciones o de salida del domicilio habitual. Deberíamos examinar con frecuencia, sobre todo hoy día por las facilidades que proporcionan las nuevas tecnologías, nuestros extractos bancarios para tratar de identificar una eventual operativa irregular. Ante la menor duda, lo mejor será contactar con nuestra entidad y, por precaución, ordenar la anulación de la tarjeta.