Gabonak iritsi aurreko asteetan urteko iruzur digitalen gorakada nagusietako bat gertatzen da. Online erosketen kopurua handitzeak, informazio erauntsiak eta segurtasun-ohiturak lasaitzeak baldintzak errazten dizkie iruzurgileei, eta garai hau baliatzen dute gero eta sofistikatuagoak diren kanpaina faltsuak martxan jartzeko.

Ainhoa Egiluz Erreklamatu elkarteko juristak garai honetan ohikoenak diren iruzur motak azaldu ditu, baita bankuari dirua itzultzeko noiz exijitzen ahal zaion eta noiz ez ere.

Banku phishing-a

Banku phishing-a da oraindik iruzur digitalik hedatuena. Mekanismo nagusia finantza erakunde baten itxura egitea da, datuak edo pasahitzak lortzeko, eta gero eta bertsio landuagoak erabiltzen dira: Phishing klasikoa e-postaz, smishinga (SMS bidezko iruzurra), vishinga (telefono bidezko iruzurra) eta urruneko kontrola duen phishing-a (AnyDesk, TeamViewer…). Guztiek xede bera dute: erabiltzailearen banku-kontura sartzea edo hark baimendu gabeko eragiketak egitea.

Iruzur digitala tarteko dela egiten diren banku-eragiketei buruzko araudia Espainiako 19/2018 Errege Dekretu-legetik eta PSD2 Zuzentarautik dator, eta printzipio nagusi bat ezartzen du: baimenik gabeko eragiketak bankuak itzuli behar ditu, bankuak berak frogatzen ez badu bezeroaren aldetik zuhurtziagabekeria larria egon dela.

Horrek esan nahi du froga-karga beti bankuaren gain geratzen dela. Ez da nahikoa esatea segurtasun indartua erabili dela edo SMS bidezko kode bat sartu dela. Erakundeak frogatu behar du sistemak behar bezala funtzionatu zuela, ez zegoela segurtasun-akatsik eta biktimak benetan arduragabekeria larriz jokatu zuela.

Auzitegi Gorenak doktrina hori berretsi du, eta doktrina hori aplikatzen ari dira epaitegiak banku phishing-aren inguruko auzietan. Erreklamatuk kudeatutako kasu batean, Bilboko epaitegi batek Banco Santander zigortu zuen 1.923,67 euro itzultzera phishing-aren biktima izan zen bezero bati. Erakundeak autentifikazio indartuaren erabilera alegatu zuen, baina ez zuen aurkeztu bezeroaren arduragabekeria egiaztatzen zuen peritu-txostenik. Epaileak dirua itzultzeko agindu zuen eta auziaren kostak bankuari ordainarazi zizkion.

Erreklamatu ezin direnak

Iruzur digital guztiek ez dute sortzen, ordea, bankuen erantzukizuna. Phishing kasuetan biktimak ez du eragiketa baimentzen, baina beste egoera batzuetan erabiltzaileak berak egiten du transferentzia, guztiz engainatuta baina ustez modu egokian jokatuz. Horrelakoetan, epaitegiek ohartarazi dute transferentzia abiatu duen finantza-erakundeak ez duela erantzukizunik.

‘Senidea arazoetan’ iruzurra bereziki ohikoa da adineko pertsonen eta gurasoen artean. Larritasunezko mezu edo WhatsApp bat jasotzen dute, seme edo alabaren izenean bidalita, ustezko istripu, telefono-blokeo edo premiazko gastu bat konpontzeko laguntza eskatuz. Biktimak premiaz jokatu eta transferentzia egiten du, baina iruzurgile bati bidaltzen dio. Kasu horietan, ordainketa bezeroak berak baimendu duenez, bankua ez dago itzultzera behartuta.

Enpresak edo hornitzaileak ordezkatzea ere maiz gertatzen da (telefonia, aseguruak, konponketak, bidaiak, komunitate-kuotak…). Iruzurgileak benetako enpresa baten irudia erabiltzen du, eta faktura faltsutu bat edo IBAN aldatuta duen PDF bat bidaltzen du. Biktima ziur dago egiazko zerbitzu bat ordaintzen ari dela, eta normalean ezertaz ohartu gabe onartzen du transferentzia. Nahiz eta suplantazioa egon, eragiketa bezeroak berak baimendu duenez bankuak ez du dirua itzultzeko betebeharrik.

Lan-eskaintza faltsuak ugaritu egiten dira Gabonetan. Erabiltzaileari hitz ematen diote mikro-lan errazekin dirua azkar irabaziko duela: ‘like’-ak ematea, argitalpenetan parte hartzea, zeregin txikiak betetzea… Behin konfiantza irabazita, iruzurgileak zenbait transferentzia egitea eskatzen du, ‘gordailu’ edo ‘berme’ gisa. Dirua bidaliz gero, eragiketa baimendutzat jotzen da eta bankuak ez du erantzukizunik.

Bizum bidez

Bizumen erabilera orokortzeak iruzur mota hauen gorakada ekarri du: biktimak ordainketa-eskaera bat benetako kobrantza bat balitz bezala onartzen du. PIN kodea sartzen duen unean eta eragiketa berretsita, bezeroak kargua baimentzen du, eta ondorioz, bankuak ez du dirua itzultzeko betebeharrik.

Marketplace direlakoetan edo bidalketa-zerbitzuetan oinarritutako phishing-iruzurretan, Correos, Amazon, mezularitza-enpresak edo salerosketa plataformak ordezkatzen dituztenen jakinarazpen faltsuak jasotzen ditu biktimak, normalean ustezko pakete bati edo ordainketa bati buruzkoak. Ohikoena da erabiltzaileak bere datuak sartzea edo ordainketa egitea tramite legitimo bat dela sinetsita; horrela, eragiketa berak baimentzen du, eta ezin zaio bankuari erreklamatu.

Aplikazio edo wallet izenekoekin lotutako phishing-etan, Google Pay, Apple Pay edo banku-aplikazioen itxura faltsutzen duten mezu edo pantailak erabiltzen dira. Erabiltzaileak uste du gailu bat egiaztatzen edo lotura-prozesu arrunt bat egiten ari dela, baina, praktikan, ordainketak baimentzen ditu edo datu sentikorrak sartzen ditu. Gehienetan, eragiketa biktimak berak baimentzen duenez, bankuak ez du erantzukizunik.

Inbertsio-iruzurrak

Azkenaldian gero eta gehiago dira irabazi ziurtatuak agintzen dituzten inbertsio- edo trading-plataformen biktimak. Ohikoa da dirua plataformatik kentzea eragoztea, funtsak ‘askatzeko’ diru-sarrera berriak eskatzea edo, zuzenean, plataformak desagertzea.

Erreklamatura iristen diren kasu askotan, erabiltzaileek diru-zenbatekoak blokeatuta dituzte, azalpenik gabe eta hasierako gordailua berreskuratzeko aukerarik gabe. Egoera horietan, bankuak ez du erantzukizunik.

Iruzurra saihesteko gomendioak

Data hauetan gertatzen diren iruzur gehienak ez dira bankuen segurtasun akatsetatik sortzen, baizik eta erabiltzailea presaka jokatzera bultzatzen duten ingeniaritza sozialeko tekniketatik. Arriskua murrizteko neurri eraginkorrenak honakoak dira, Erreklamaturen arabera: Ez fidatu «berehala» jarduteko eskatzen duten mezuez. Presa ematea da iruzurgileen tresnarik indartsuena.

Ez ireki SMS, email edo WhatsApp bidez jasotako estekak. Bankuko webgunera sartzeko, idatzi zuk zeuk helbidea edo erabili aplikazio ofiziala. Jasotzen ditugun iruzur gehienak esteka faltsu batekin hasten dira.

Banku batek ere ez ditu kodeak telefonoz eskatzen. Norbaitek SMS bidez kodeak, pasahitzak edo eragiketak baimentzeko datuak eskatzen baditu, iruzurra da. Eten deia eta deitu zuk zenbaki ofizialera.

Egiaztatu diru-eskaera oro, baita senideekin lotutakoak ere. Benetako kasu askotan biktimak uste zuen seme edo alabarekin edo bikotekidearekin hitz egiten ari zela. Dirua bidali aurretik, egin beti zuzeneko dei bat.

Ez egin ordainketa aurreraturik plataforma ezezagunetan. Salerosketa azkarrak edo ‘online lanak’ egiteko, ohikoa da hasierako ordainketa txiki bat eskatzea kontua ‘aktibatzeko’. Baldintza horiek susmagarritzat hartu.

Ez instalatu urruneko kontrolerako aplikaziorik. Bankuek ez dute inoiz horrelakorik erabiltzen.

Bi aldiz egiaztatu kontu-zenbakia transferentzia egin aurretik. Faktura faltsutuak edo IBAN aldatuta dituzten dokumentuak oso ohikoak dira.

Zalantzarik baduzu, eten eragiketa. 

Zer egin iruzurra jasatean

Erreklamatuk aholkatu duenez, lehen urratsa da eskuragarri dagoen informazio guztia biltzea, gal ez dadin: jasotako mezuak, pantaila-argazkiak, erabilitako estekak, ukitutako banku-mugimenduak eta susmoa pizten duen edozein abisu.

Aldi berean, gomendagarria da bankuarekin ahalik eta azkarren harremanetan jartzea, iruzurraren berri emateko eta kontuan egondako eragiketen azterketa premiazkoa egitea eskatzeko. Iruzurgilea online bankura sartzeko arriskua badago, garrantzitsua da kontua aldi baterako blokeatzeko eskatzea eta pasahitzak aldatzea, beti gailu seguru batetik. Iruzurrak urruneko kontrolerako aplikazioak instalatzea ekarri badu, berehala kendu behar dira.

Polizian salaketa jartzea ere baliagarria izan daiteke; gertatutakoaren kontakizuna egiaztatzen duen agiri ofiziala ematen du, eta iruzurraren data, ordua eta inguruabarrak zehazten laguntzen du.

Urrats horiek eginda, gakoa da jakitea kasua erreklamatzeko modukoa den ala ez. Ez da nahikoa kalte ekonomikoa pairatu izana; legeak eskatzen du aztertzea ea eragiketa baimenduta zegoen edo ez, nolako ingeniaritza soziala erabili zen, bankuak zer segurtasun-neurri aplikatu zituen eta nola gertatu zen benetan sarbidea.

Erreklamatuk kasu bakoitzaren azterketa doan eskaintzen du. Helburua da pertsona bakoitzak jakitea benetako oinarririk dagoen erreklamazioa egiteko edo beste bide bat jarraitu behar duen.

Biktimentzako baliabideak

Egiluzek nabarmendu du aurten aztertutako datuek joera argia berresten dutela: «Gabonetan iruzur digitalak areagotzea ez da kasualitatea; urtero errepikatzen den eredu baten parte da. Irudimentsuagoak bilakatzen dira iruzurgileak, jendeak presaka erantzuten du eta oraindik ere askok ez dakite phishing bidez baimenik gabeko eragiketak egiten direnean, bankuak dirua itzultzeko betebehar legala duela bezeroaren arduragabekeria larria frogatu ezean».

Egiluzen iritziz, prebentzioa da oraindik babes-tresnarik eraginkorrena. Hala ere, ohartarazi du zuhurtziaz jokatzen duten pertsonak ere iruzur oso sofistikatuen biktima izan daitezkeela. Horregatik azpimarratu du aholkularitza espezializatua lehen unetik izatearen garrantzia. Mezu argia eman du: «Prebentzioa funtsezkoa da, baina baita jakitea ere mekanismo legalak badaudela norbere burua defendatzeko. Iruzurrak baimenik gabeko mugimenduak sortzen dituenean, erabiltzailea ez dago babesgabe: legeak eta jurisprudentziak babesa ematen diote».