Dudas del ciberataque a Air Europa: ¿devuelve el banco el dinero si no anulas la tarjeta tras la alerta?

La aerolínea Air Europa ha sufrido un problema de ciberseguridad que ha dejado expuestos los datos bancarios de los clientes. La compañía ha avisado por email a los afectados de que deben ponerse en contacto inmediatamente con su entidad bancaria para cancelar la tarjeta con la que se hayan realizado pagos a través de la web, con el objetivo de evitar “el posible uso fraudulento de su información”. Air Europa asegura que hasta el momento no tiene constancia de que la filtración haya terminado usándose para cometer ningún fraude. No obstante, no se descarta que los datos de las tarjetas sustraídos hayan sido vendidos en la denominada ‘dark web’, por lo que las posibilidades de ser objeto de fraude y sustracción de fondos se multiplica.

¿Qué ocurre si un cliente descubre que le han hecho un cargo ilícito después de este ciberataque?, ¿cómo hay que proceder?, ¿devuelve el banco el dinero a pesar de que la empresa ha pedido cancelar las tarjetas de inmediato? El banco devuelve siempre las cantidades cuando las órdenes de pago no han sido autorizadas. Si hay autorización, aunque sea como consecuencia de un engaño, no se reembolsan. Diversas fuentes bancarias aseguran que es responsabilidad del usuario actuar con rapidez para anular la tarjeta y que dejar pasar el tiempo se puede considerar negligencia por parte del cliente. No obstante, siempre se puede elevar una queja al Banco de España.

Notificarlo cuanto antes

El portal del cliente bancario del Banco de España explica que lo primero que hay que hacer en cuanto se tiene conocimiento de un extravío, robo de la tarjeta, una clonación o un robo de datos es solicitar el bloqueo de la tarjeta sin demora indebida. Lo siguiente es comprobar los cargos en cuenta. En caso de detectar un cargo no autorizado por el uso fraudulento de la tarjeta hay que notificarlo lo antes posible a la entidad emisora de la tarjeta o a la entidad donde se tiene la cuenta. Desde el momento del aviso, el cliente queda libre de responsabilidad sobre el uso que no haya realizado.

Sobre las posibles operaciones ilícitas anteriores a ese momento, el Banco de España apunta que la entidad tiene la obligación de responder y devolver el importe de las operaciones que considere como no autorizadas, salvo que se compruebe que el cliente haya incurrido en negligencia en la custodia de la tarjeta o de sus elementos de seguridad. Se considera que un titular se comporta negligentemente si no toma medidas razonables para proteger la tarjeta y el número secreto. Cuando los cargos se derivan de actos de ciberdelincuencia, en los que, fruto de un engaño, el titular ha entregado las claves de seguridad de la tarjeta a los ciberdelincuentes que han hecho un uso fraudulento de ellos, las entidades consideran que se trata de cargos formalmente autorizados y no devolverá el dinero.

“Si el banco no es consciente del problema porque no se le ha notificado se puede considerar negligencia por parte del cliente porque no se ha anulado la tarjeta”, indican fuentes del sector bancario. Legalmente, según la normativa, se tienen hasta 13 meses desde la fecha de un adeudo para reclamar, pero si el cargo es resultado de un uso fraudulento es conveniente abordarlo de manera inmediata para evitar cargos adicionales, insisten.

La situación puede complicarse si un cliente no se ha enterado de lo sucedido en casos como el de Air Europa, a pesar de que la propia compañía de vuelos ha comunicado una alerta, porque por ejemplo no haya tenido acceso al correo. La banca cree que aquí es más complicada la responsabilidad. Desde Facua recomiendan mirar con frecuencia la cuenta por si se detecta algún cargo indeseado.

Las entidades disponen de formularios de cargos no reconocidos, en papel o web, y en algunos casos pueden pedir que se acompañe de una denuncia policial.

Con todo, si no se está satisfecho con la respuesta de la entidad, es posible plantear una reclamación ante el Servicio de Atención al Cliente o el Defensor del Cliente del banco y en última instancia, ante el Banco de España.

Reclamaciones a Air Europa

Según el correo que han recibido los usuarios de Air Europa, los datos sustraídos son el número de varias tarjetas, sus fechas de caducidad y el CVV. La compañía recomienda recopilar cualquier prueba que demuestre el posible uso no autorizado de la tarjeta y denunciarlo ante las Fuerzas y Cuerpos de Seguridad del Estado.

En Facua sostienen que se puede reclamar responsabilidades a Air Europa ante “cualquier perjuicio económico que se sufriera”. Recuerda que pueden reclamarse los posibles sobrecostes bancarios. “Si alguien cancela su tarjeta por esto y el banco le dice que le cobra un cargo por emitir una nueva, el usuario podría plantear a Air Europa la responsabilidad de asumir ese coste porque es la propia compañía quien ha recomendado la cancelación”, apuntan.

Una entidad consultada dice que al ser la aerolínea la responsable de la brecha de seguridad, lo recomendable es reclamar cualquier importe derivado del uso fraudulento de los datos a la compañía.

Por otro lado, es responsabilidad de la entidad bancaria si en el proceso de una compra online hay cualquier irregularidad, como errores en la autenticación de doble factor. Precisamente, este proceso de verificación (aceptar la transacción tras introducir los datos de la tarjeta en una plataforma online y confirmar la compra en la app de la entidad con clave de acceso) da seguridad a las transacciones online.

No facilitar el pin ni pinchar en enlaces sospechosos

La aerolínea Air Europa puntualiza que si un cliente no ha recibido la comunicación de la compañía, no tiene nada de qué preocuparse pues no está afectado. En cualquier caso, ha habilitado el siguiente correo electrónico para cualquier asesoramiento: delegadopd@aireuropa.com. Por otro lado, por precaución, la OCU recomienda cancelar cualquier tarjeta empleada en la compra de billetes de la compañía aérea.

Tanto Air Europa como los expertos financieros instan a sus clientes a no facilitar información personal (pin, constraseña, nombre o cualquier otra credencial personal) a través de teléfono, mensaje o email, incluso cuando se identifiquen como su entidad bancaria. Además, recomiendan no pinchar enlaces que le avisen de operaciones fraudulentas. En este caso, se debe comunicar de inmediato a la entidad por medios fiables.

Javier Sevillano, director del centro de operaciones de seguridad de Entelgy Innotec Security, sostiene que “hay que estar atentos a posibles comunicaciones que los atacantes puedan hacer en nombre de la compañía o la entidad bancaria. Nunca se deben proporcionar datos, ya que las compañías auténticas nunca nos lo van a solicitar, dado que ya tienen esos datos”.

Para evitar riesgos futuros, desde la OCU se aconseja priorizar comercios conocidos y asegurarse de conexiones seguras. También recuerdan que hay plataformas de pago como Paypal, que evitan tener que introducir los datos personales de la tarjeta de crédito para realizar una compra. Hay bancos que permiten restringir el uso de la tarjeta, desactivando la retirada de dinero en cajeros, las compras online, o los pagos en otro país.

Sigue toda la información de Cinco Días en Facebook, X y Linkedin, o en nuestra newsletter Agenda de Cinco Días