Esta noticia fue publicada previamente por Confilegal.

“Se trata de que las entidades públicas como las privadas tengan medidas técnicas que resulten especialmente apropiadas para la correcta identificación de sus clientes o usuarios, y en su caso mejoren y adecuen los protocolos y procedimientos a tal fin”. Esta conclusión forma parte del estudio elaborado por el Grupo de Regulación de la Asociación Española de Usuarios de Telecomunicaciones y de la Sociedad de la Información (AUTELSI) sobre la suplantación de la identidad.

Bancos, administraciones públicas, sector asegurador y la actividad de ‘retail’ son los principales afectados de esta lacra que no tiene una regulación penal por el momento.En el caso de las entidades financieras, obligadas por ley, han desarrollado el doble control de autentificación que está disminuyendo los problemas de suplantación digital. Es un doble factor de seguridad que ayuda a mitigar la responsabilidad de estas entidades ante cualquier robo de información o dinero del cliente.

Cuestiones como el ‘phishing’ o el llamado fraude del CEO son prácticas delictivas relacionadas con la suplantación de identidad digital.

Óscar López, presidente del Grupo de Regulación y Director General en UBT Legal & Compliance, explica a Confilegal, que “la suplantación de identidad está a la orden del día”.

“Este hecho afecta a las entidades desde una doble perspectiva: la suplantación de identidad de los clientes o de los usuarios de cualquier organización y la suplantación de la propia entidad o de alguno de sus empleados”, señala.

Este experto recuerda que el ‘phishing’ “es el intento de coger la contraseña para apoderarte de tu entidad. Las prácticas han crecido de forma notable por los ciberdelincuentes en estos últimos años”.

Antes estas prácticas, en primer lugar, afirma, “resulta indispensable que se mejore la concienciación y sensibilización de los usuarios y de los profesionales que intervienen en los procesos de identificación. Es un factor nuclear y de vital importancia y que servirá a la entidad para acreditar diligencia debida”, advierte.

También indica que “el conjunto de los sistemas informáticos y tecnologías intervinientes deberán ser las adecuadas para evitar la suplantación de identidad y estar correctamente configurados. Es responsabilidad de cada organización que el conjunto de sistemas estén dimensionados”.

Otra cuestión que López aclara es que “deben mejorarse los protocolos y procedimientos internos que puedan ayudar a definir correctamente las funciones y responsabilidades de los intervinientes durante todas las fases donde se pueden producir una suplantación de identidad».

Además, “los procesos de identificación y autenticación de las organizaciones deben estar alineados con el cumplimiento de la normativa vigente”.

Para este experto, “las entidades tendrán que definir los mecanismos de identificación así como las técnicas empleadas conforme, fundamentalmente, al principio de proporcionalidad”.

Al mismo tiempo indica que “aquellos sectores que conservan mayor información del usuario, y especialmente, los que tratan datos de mayor sensibilidad como son el sector financiero, asegurador, salud, ‘retail’ o la Administración Pública, deberán prestar especial atención a las medidas para evitar la suplantación de identidad al usuario”.

En este estudio se indica que “las novedades que incorpora el nuevo sistema de DNI otorga la posibilidad de reforzar los mecanismos de identificación y autenticación. La identidad digital soberana otorga al ciudadano el pleno control sobre su identidad digital”.

También subraya que “actualmente, el Reglamento eiDAS está en fase de revisión, de tal forma que se actualizará el marco de identificación y autenticación de forma que se pueda obtener un mayor nivel de seguridad y de interoperabilidad”.

Desconocimiento sobre cómo actuar

Para este experto, hay un debate abierto sobre la suplantación de la identidad digital, “esta actividad permanente en relación con la suplantación ‘offline’ no existe, puede ser puntual en redes sociales. En el grupo hemos abordado la problemática de este fenómeno”.

Esta jurista señala que no hay una regulación jurídica clara “sino que esta dispersa en diferentes normativas jurídicas. En este trabajo hemos analizado el grado de responsabilidad que tienen los sujetos intervinientes y las empresas si no adoptan medidas para evitar dicha suplantación de identidad. También hemos visto esa responsabilidad en el propio usuario”.

Desde su punto de vista “en la actualidad la ciberdelincuencia esta creciendo a una velocidad de vértigo. Las tecnologías tienen cada vez más peso específico en las organizaciones».

El uso de las tecnologías apoya que los ciberdelincuentes puedan suplantar la identidad de los usuarios. Estamos hablando de una acción delictiva que no tiene tipificación en el Código Penal”.

Su persecución penal se basa en ver “que a través de esa suplantación de identidad digital se cometen otros delitos como un delito de intrusión, de revelación de secretos, daños informáticos, espionaje, eso sí tiene cabida en el Código Penal”.

A nivel técnico, “la persecución del delito pasa por custodiar la prueba electrónica de esa entrada en nuestros sistemas de seguridad. Es fundamental tener las evidencias electrónicas necesarias para poder perseguir dicha lacra”.

Óscar López explica que es una “acción que permite a los ciberdelincuentes entrar en los sistemas tipificados del Código Penal y su artículo 197, revelación de secretos, y el daño los sistemas y sus consecuencias, tipificado en el artículo 264, de daños a los sistemas que tipifica las consecuencias. Se persigue de forma indirecta desde estos delitos”.

En este grupo de trabajo también participan Mariano J. Benito Gómez, CISO, GMV Secure eSolutions; Carmen Cabanillas Serrano, inspectora de Servicios de la Subdirección General de Recursos Humanos e Inspección General de Servicios de la Subsecretaría Ministerio de Trabajo y Economía Social y presidenta de ASTIC, así como Esperanza Campo González, Seguridad y Prevención del Fraude de Telefónica.

Junto a ellos, Santiago Cruz Roldán, abogado y director del Área Privacidad, UBT Legal & Compliance; Pablo García González, product manager de las soluciones de biometría, Serban Biometric; Marta María Gutiérrez García, responsable de Marketing de Hornetsecurity Iberia y Natalia Jiménez Jiménez, delegada de Protección de Datos del Canal Isabel II.

También forman parte de este grupo regulatorio Rosa Lago Espejo-Saavedra, subdirectora de Seguridad En Procesos de Mapfre; Pedro Pablo López Bernal, presidente de Continuam; Leonor Torres Moreno, jefa de Servicio del Ayuntamiento de Madrid y Silvia Tortosa, Data Protection Officer, DXC.

Responsabilidad de las empresas

Respecto a las responsabilidades de las empresas por no tomar medidas, este experto comenta que están relacionadas directamente con las consecuencias que se genere en un tercero.

En el informe se cita que en el caso de que un cliente reciba una suplantación de identidad en el marco de una empresa, esta podrá ser responsable de los daños y perjuicios que se le hayan generado si se llegase a acreditar que la entidad ha incurrido en negligencia, dolo o ha incumplido una relación contractual.

El supuesto más común será la intervención de culpa o negligencia de la entidad. Para que la entidad tenga la obligación de reparar el daño causado por culpa o negligencia han de confluir diferentes elementos: (i) contrato entre las partes; (ii) incumplimiento de las obligaciones estipuladas; (iii) falta de diligencia o previsión; (iv) nexo o relación causal entre el hecho y el resultado; (v) generación de un daño o perjuicio reparable y cuantificable.

En base a estas prerrogativas y dado que la acción dañosa proviene de un tercero, en principio no sería imputable la culpa contractual a la empresa.

También se indica que en el caso de que el perjudicado pueda contribuir con su conducta imprudente a que se le suplante la identidad, la empresa podría exonerarse de responder frente al mismo.

La protección de los consumidores se articula en el Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el Texto Refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias

Esta normativa declara como regla que, con carácter general, cualquier perjudicado que tenga la condición de consumidor sea indemnizado por los daños o perjuicios que se le causaren.

Pero también se define que un prestador de servicios no será responsable de indemnizar aquellos daños y perjuicios que se hayan podido causar cuando se acredite que se ha cumplido con las exigencias y requisitos reglamentarios establecidos y los cuidados y diligencias que exige la naturaleza del servicio.

A este respecto, López apunta que la suplantación de identidad digital podría generar consecuencias a la empresa en materia de protección de datos. “Como hemos dicho, la entidad debe tratar datos exclusivamente cuando tenga legitimación para ello”.

“En los casos de suplantación de identidad, la entidad está tratando datos personales sin base que legitime para ello, por lo que estaría incumpliendo el Reglamento General de Protección de Datos (RGPD). De ahí que deban articularse medidas adecuadas para garantizar la identificación del usuario. La sanción aplicable estaría calificada como muy grave”.

También señala que “la Agencia Española de Protección de Datos ya ha impuesto sanciones por esta cuestión, en tanto que no existe contrato alguno entre las partes que legitime el tratamiento de datos y, además, generalmente no se procede verificar la identidad de los interesados (PS/00308/2020, entre otros)».

La importancia de la identidad digital

Por su parte, María Luisa Fernández, abogada experta en privacidad y protección de datos de Mapfre España y miembro de este Grupo de Trabajo, considera que “hay que alcanzar un equilibrio, entre toda la regulación europea que está viniendo a las empresas, donde se pone negro sobre blanco que se necesita garantizar la seguridad del mercado digital y la problemática de los consumidores”.

En este contexto, esta experta señala “la necesidad de garantizar la identidad digital, dado que ahora no nos podemos desplazar para ciertos trámites. Esa agilidad se logra garantizando la seguridad entre las dos partes”.

“A nivel de consumidores necesitamos ser conscientes de que no podemos dar nuestros datos de forma indiscriminada. Con esa información que damos con toda la que se puede encontrar en la Deep web de diferentes ataques que se comercializan, por una triangulación muy sencilla desde un DNI podríamos solicitar algunos cambios en una posible suplantación de identidad”.

Para esta jurista, “desde el punto de la empresa teniendo en cuenta que debe tener una función de concienciación respecto de sus clientes. Se trata de explicarles que  pueden recibir mensajes, es el caso del ‘phishing’, con las empresas que tenemos confianza para evitar una vulnerabilidad”.

En su opinión, “la entidad tiene el deber de concienciar a sus clientes y de estar cerca de ellos. Y al mismo tiempo y unas obligaciones técnicas a la hora de establecer estas medidas de seguridad, tanto a nivel de prevención de blanqueo de capitales o el Reglamento de Identificación a Distancia y que ha sacado la Comisión Europea una serie de comentarios”.

Al final de lo que se trata es de “poder disponer de una identidad digital acreditada en el dispositivo móvil y gestionar con quien compartimos los datos, esto nos empodera como consumidores y beneficia a las entidades porque siempre y cuando se construya sobre seguridad y confianza va a ser sencillo establecer una dinámica de economía digital».

«Entre las medidas técnicas, la tecnología avanza mucho más. En el estudio hemos analizado muchas de ellas. Pero la  conclusión mas importante es la de la concienciación. Las medidas de seguridad no tienen que ser engorrosas ni gran esfuerzo de su verificación de identidad, porque lo evitaría el propio cliente”.