Muy señores míos,
En la noche del día 11 al 12 de febrero recibí por un canal de Notificaciones habitual del Banco de Santander (adjunto pantallazos de mi móvil) un SMS alertándome de una compra no autorizada por mí con mi tarjeta de crédito y que, aunque la habían bloqueado, debía ponerme en comunicación con ellos. Al ser el canal que utilizaban y siguen utilizando (en los pantallazos se puede ver que me comunican los números finales de mis nuevas tarjetas obtenidas posteriormente para sustituir a las utilizadas por los hackers), no desconfié de un ataque cibernético.
Aparte de que era un número del banco y todo (música, Look&feel, recepción, etc.) era exactamente igual, tenían (casi) todos mis datos y hacían las preguntas habituales para confirmar que era un cliente. También tenían las terminaciones de mis tarjetas (unos días más tarde comprendí como podía ser esto posible al tener interceptado el canal de comunicación entre el banco de Santander y yo). A partir de ahí empezó a través del móvil el robo cibernético.
En ningún momento – tal como digo en el atestado de la Policía – dejé mis tarjetas a nadie ni revelé los pines. Solamente, bajo la indicación de los hackers de que debía validar determinados códigos – también aparecen en los pantallazos – para evitar que compras no autorizadas (alguna en Holanda) se llevarán a cabo o retiradas de dinero en un cajero. Esa fue mi actuación.
Al contactar con ciberseguridad del Banco de Santander (me contaron que están al tanto de todo y hasta saben que sus líneas están “pinchadas” y lo tienen denunciado a los operadores) y a continuación ir a mi agencia para ver donde se han producido las compras o retiradas de dinero de una manera pormenorizada (con papeles del banco), fui a la policía para realizar el atestado.
A continuación entrar en comunicación con ciberseguridad del banco con los códigos del delito que previamente me había dado ciberseguridad y enviar el atestado tantas veces como códigos (suele ser uno por cada tarjeta o acceso a cuenta) a esperar. Pero a los pocos días suelen aparecer los reintegros y si falta alguno, vuelta al proceso.
Como información sorprendente solo decir que por el mismo canal por el que empezó la cosa ¡me llegaron las comunicaciones de las nuevas tarjetas! Lo denuncié inmediatamente a mi agencia y a ciberseguridad y me dijeron que sí, que lo sabían pero no podían hacer más.
Aunque en algunos casos a los pocos días fue hecho un reintegro provisional a los robos, por diferentes motivos – no envío de atestado de la Policía, ¡“siguiendo tus instrucciones” procedemos a la cancelación de la incidencia!, … - todos infundados, se retiró el reintegro y se confirmó la deuda.
Finalmente, tras reiterar los casos, se me dio una “respuesta global” que incluyo se apoyaba en la certificación de Redsys sobre la validez de las operaciones. Para nada se tenía en cuenta el tema fundamental de utilización de sus propias líneas de comunicación ni el artículo 1265 y siguientes del Código Civil en cuanto a validez si el consentimiento se presta por error o engaño.
Todo lo que transcribo a continuación se recoge en el atestado a la policía que realicé al día siguiente de los hechos.
Quedo a la espera de sus noticias y si fuera necesario de información adicional.
Atentamente les saluda,
Valentín Fernández Vidal
DNI 01382621
