Hasiera 5 Bankuak 5 Gabonetan gora egiten dute iruzur digitalek: nola jakin bankuak dirua itzuli behar dizun

Gabonetan gora egiten dute iruzur digitalek: nola jakin bankuak dirua itzuli behar dizun

Iruzur digitalak nabarmen ugaritzen dira gabonetan: phishing-kanpainak gero eta sofistikatuagoak dira, online erosketetako iruzurrak handitzen ari dira eta milaka erabiltzaile ekonomikoki kaltetuta geratzen dira, askok ez dakitelako kasu askotan bankuari eskatu ahal diotela kendutako dirua itzultzeko. Azken asteetan, ERREKLAMATUk kontsulten gorakada nabarmena jaso du, eta txosten honetan azaltzen dugu zein iruzur mota diren erreklamatzekoak eta zeintzuk ez, baita prebentzio-gomendioak eta jada biktima izan direnek egin beharreko urratsak ere.

Gabonak iritsi aurreko asteetan urteko iruzur digitalen gorakada nagusietako bat gertatzen da. Online erosketen kopurua handitzeak, informazio erauntsiak eta segurtasun-ohiturak lasaitzeak baldintzak errazten dizkie iruzurgileei, eta garai hau baliatzen dute gero eta sofistikatuagoak diren kanpaina faltsuak martxan jartzeko.

Garai honetan nabarmen ugaritzen dira bankuak, merkataritza-plataformak edo bidalketa-zerbitzuak ordezten dituzten mezu faltsu masiboak. Erasoen artean daude phishing-a (banku baten itxura eginez bidalitako mezu elektronikoak), smishing-a (esteka kaltegarriak dakartzaten SMSak) eta vishing-a (entitate bateko langile gisa aurkeztuz eginiko dei faltsuak). Halaber, ohikoak dira Correos, Amazon edo mezularitza-enpresen izenean bidalitako iruzurrezko mezuak, baita Bizum bidezko ordainketen edo txartel-blokeoaren inguruko abisu faltsuak ere.

Kontsumo-gorakada, jasotzen den mezu kopuru handia eta hainbesteko presioa direla eta, erabiltzaileak ez dira hain adi egoten eta, horrez gainera, iruzurgileek bankuen eta merkataritza-enpresen diseinu eta hizkera perfekzio handiaz imitatzen dituztenez, gero eta zailagoa da iruzurrari berehala antzematea.

Ondorengo lerroetan, ERREKLAMATUko jurista eta phishing-ean eta banku erreklamazioetan aditua dugun Ainhoa Egiluzek garai honetan ohikoenak diren iruzur motak azaltzen ditu, eta zein kasutan dagoen oinarri juridikorik bankuari dirua itzultzeko exijitzeko eta zeinetan ez duen bankuak erantzukizunik.

Banku phishing-a: bai, erreklamatu daiteke

Banku phishing-a da oraindik iruzur digitalik hedatuena. Mekanismo nagusia finantza erakunde baten itxura egitea da, datuak edo pasahitzak lortzeko, eta gaur egun gero eta bertsio landuagoak erabiltzen dira:

  • Phishing klasikoa e-postaz. Erabiltzaileak bere bankuaren izenean idatzita dirudien mezu bat jasotzen du, datuak eguneratzeko, kontua desblokeatzeko edo ustezko kargu bat egiaztatzeko eskatuz. Bidaltzen duten estekak bankuaren antza duen webgune faltsu batera eramaten du.
  • Smishinga (SMS bidezko iruzurra). Iruzurgileek aprobetxatzen dute banku askok SMS bidezko egiaztapenak erabiltzen dituztela. Mugimendu susmagarrien edo blokeoen abisuak bidaltzen dituzte, eta itxura ofiziala duten orri faltsuetara bideratzen dute erabiltzailea.
  • Vishinga (telefono bidezko iruzurra). Deitzaileak bankuko langileak direla esanez aurkezten dira, ustezko “iruzur saiakera” baten berri ematen dute, eta saiatzen dira biktimei kodeak edo eragiketa batzuk egiteko baimena emanarazten.
  • Urruneko kontrola duen phishing-a (AnyDesk, TeamViewer…). Laguntza teknikoa ematen ari direla esanez, gailuan sartzeko aplikazioak instalatzeko eskatzen dute. Behin sarbidea lortuta, transferentziak egiten dituzte edo bankuaren online segurtasuneko mugak aldatzen dituzte.

Kasu guztietan helburua bera da: erabiltzailearen banku-kontura sartzea edo hark baimendu gabeko eragiketak egitea.

Noiz itzuli behar du dirua bankuak?

Iruzur digitala tarteko dela egiten diren banku-eragiketei buruzko araudia Espainiako 19/2018 Errege Dekretu-legetik eta PSD2 Zuzentarautik dator, eta printzipio nagusi bat ezartzen du: baimenik gabeko eragiketak bankuak itzuli behar ditu, bankuak berak frogatzen ez badu bezeroaren aldetik zuhurtziagabekeria larria egon dela.

Horrek esan nahi du:

  • Froga-karga beti bankuaren gain geratzen da. Ez da nahikoa esatea segurtasun indartua erabili dela edo SMS bidezko kode bat sartu dela. Erakundeak frogatu behar du sistemak behar bezala funtzionatu zuela, ez zegoela segurtasun-akatsik eta biktimak benetan arduragabekeria larriz jokatu zuela.
  • Autentifikazio indartuak EZ du automatikoki adierazten bezeroaren baimena. Epaitegiek behin eta berriz azpimarratu dute kodeak edo pasahitzak sartzeak ez duela esan nahi bezeroa erruduna denik, batez ere iruzurra ingeniaritza soziala edo bi bankuren arteko web faltsuak erabiliz egin bada.
  • Auzitegi Gorenak doktrina hori berretsi du. Banku phishing-ari buruzko jurisprudentzia bildu duten azken epaietako batek -STS 571/2025-, argi utzi du baimena egon dadin beharrezkoa dela borondate kontziente, esplizitu eta argia egotea. Bankuak ezin du presuntzioz ondorioztatu bezeroak eragiketa baimendu duela bere kredentzialak behar bezala erabili direlako; eta entitatea izango da erantzulea tekniko-juridikoki azaltzen ez badu iruzurra nola gauzatu zen.

Doktrina hori indartzen duen azken aldiko epaia

Doktrina hori dagoeneko aplikatzen ari dira epaitegiak banku phishing-aren inguruko auzietan. ERREKLAMATUk kudeatutako kasu batean, Bilboko epaitegi batek Banco Santander zigortu zuen 1.923,67 euro itzultzera phishing-aren biktima izan zen bezero bati. Erakundeak autentifikazio indartuaren erabilera alegatu zuen, baina ez zuen aurkeztu bezeroaren arduragabekeria egiaztatzen zuen peritu-txostenik. Epaileak dirua itzultzeko agindu zuen eta auziaren kostak bankuari ordainarazi zizkion.

Halako ebazpenek sendotu egiten dute kontsumitzaileek beren dirua berreskuratzeko duten eskubidea, baldin eta eragiketa ez badute baimendu.

Zer EZ den arduragabekeria larria: biktimek kontuan hartu beharreko irizpideak

Finantza-erakundeek askotan bezeroaren errua aipatzen dute dirua itzultzea saihesteko, baina jurisprudentziak argi dio: bankua salbuesten duen arrazoi bakarra arduragabekeria larria da, ez edozein akats edo zabarkeria. Eta auzitegiek behin eta berriz azpimarratu dute zenbait jokabide EZ direla arduragabekeria larria:

  • Bankuaren webgune faltsu batera sartzea, benetakoaren itxura bera duelako. Epaitegiek uste dute iruzurraren sofistikazio-maila hain handia dela ezen erabiltzaile arrunt batek ez baitu engainuari antzemateko aukerarik.
  • SMS bidez jasotako kode bat sartzea, jakin gabe kode hori iruzur bati lotuta dagoela. Ingeniaritza sozialak funtsezko papera du, eta horrek ez du erabiltzailea arduragabe bihurtzen.
  • Iruzurrari berehala ez antzematea. Abisua atzeratzea -arrazoizko epe batean- ez da arduragabekeria larria, baldin eta bezeroak azkar eta zuhurtasunez jokatzen badu iruzurraz ohartzen den unetik aurrera.
  • Bankuaren izenean egindako telefono-dei bat sinestea. Vishing kasuetan iruzurgileek teknika oso aurreratuak erabiltzen dituzte, besteak beste deitzailearen identifikazioa faltsutzea; horrek ezinezkoa egiten du bezeroari errua egoztea.

Epaien ildoa sendoa da: iruzur sofistikatu baten biktimak arduraz jokatu badu, ez du bere gain hartu behar galeraren kostua.

2. Gabonetan ugaritzen diren baina bankuari erreklamatu ezin zaizkion beste iruzur ohiko batzuk

Iruzur digital guztiek ez dute sortzen bankuen erantzukizuna. Phishing kasuetan biktimak ez du eragiketa baimentzen, baina beste egoera batzuetan erabiltzaileak berak egiten du transferentzia, guztiz engainatuta baina ustez modu egokian jokatuz. Horrelakoetan, epaitegiek ohartarazi dute transferentzia abiatu duen finantza-erakundeak ez duela erantzukizunik: bezeroak berak baimendu zuen mugimendua, iruzurgilearen engainuak eraginda izan arren.

Gehien errepikatzen diren iruzur-motak honako hauek dira:

Baimendutako transferentziak: erabiltzaileak engainatu dutelako dirua bidaltzen duenean

ERREKLAMATUra iristen diren iruzur askotan, biktimak bere kabuz baimentzen du transferentzia, iruzurgilearen jarraibideei men eginda eta egoera faltsu bat sinetsita. Egoera horietan, nahiz eta engainua argia izan, erabiltzaileak berak egindako ordainketa denez, bankuak ez du dirua itzultzeko betebeharrik. Ohikoenak dira:

  • “Senidea arazoetan” iruzurra. Bereziki ohikoa da adineko pertsonen eta gurasoen artean. Larritasunezko mezu edo WhatsApp bat jasotzen dute, seme edo alabaren izenean bidalita, ustezko istripu, telefono-blokeo edo premiazko gastu bat konpontzeko laguntza eskatuz. Biktimak premiaz jokatu eta transferentzia egiten du, baina iruzurgile bati bidaltzen dio. Kasu horietan, ordainketa bezeroak berak baimendu duenez, bankua ez dago itzultzera behartuta.
  • Enpresak edo hornitzaileak ordeztea (telefonia, aseguruak, konponketak, bidaiak, komunitate-kuotak…). Iruzurgileak benetako enpresa baten irudia erabiltzen du, eta faktura faltsutu bat edo IBAN aldatuta duen PDF bat bidaltzen du. Biktima ziur dago egiazko zerbitzu bat ordaintzen ari dela, eta normalean ezertaz ohartu gabe onartzen du transferentzia. Nahiz eta suplantazioa egon, eragiketa bezeroak berak baimendu duenez bankuak ez du dirua itzultzeko betebeharrik. Salbuespen bakarra litzateke iruzurgileak kontuaren kontrol teknikoa lortzea eta bezeroak baimendu ez dituen karguak egitea.
  • Lan-eskaintza faltsuak. Gabonetan ugaritzen den iruzur mota da. Erabiltzaileari hitzematen diote mikro-lan errazekin dirua azkar irabaziko duela: “like”-ak ematea, argitalpenetan parte hartzea, zeregin txikiak betetzea… Behin konfiantza irabazita, iruzurgileak zenbait transferentzia egitea eskatzen du, “gordailu” edo “berme” gisa. Dirua bidaliz gero, eragiketa baimendutzat jotzen da eta bankuak ez du erantzukizunik.

Bizum bidezko mikro-iruzurrak

Bizum-en erabilera orokortzeak iruzur mota hauen gorakada ekarri du: biktimak ordainketa-eskaera bat benetako kobrantza bat balitz bezala onartzen du. PIN kodea sartzen duen unean eta eragiketa berretsita, bezeroak kargua baimentzen du, eta ondorioz, bankuak ez du dirua itzultzeko betebeharrik. ERREKLAMATUn halako kasuen hazkunde nabarmena dagoela ikusi dugu, bereziki salerosketa azkarretan gertatzen diren iruzurretan.

Marketplace direlakoetan edo bidalketa-zerbitzuetan oinarritutako phishing-iruzurrak

Iruzur mota hauetan, Correos, Amazon, mezularitza-enpresak edo salerosketa plataformak ordezkatzen dituztenen jakinarazpen faltsuak jasotzen ditu biktimak, normalean ustezko pakete bati edo ordainketa bati buruzkoak. Ohikoena da erabiltzaileak bere datuak sartzea edo ordainketa egitea tramite legitimo bat dela sinetsita; horrela, eragiketa berak baimentzen du, eta ezin zaio bankuari erreklamatu.

Hala ere, kasu gutxi batzuetan, iruzur hauek lehen urrats gisa erabiltzen dira: erasotzaileak baliatzen ditu banku-ziurtagiriak lortzeko edo urruneko sarbideko softwarea instalatzeko, eta horrek aukera ematen dio gero bankuko kontuan online sartzeko eta bezeroak baimendu gabeko mugimenduak egiteko. Egoera horietan bakarrik -karguak baimendu ez direnean- sailkatzen da kasua benetako banku phishing gisa, eta orduan aukera egon daiteke erreklamatzeko.

Aplikazio edo wallet izenekoekin lotutako phishing-a

Iruzur mota honetan, Google Pay, Apple Pay edo banku-aplikazioen itxura faltsutzen duten mezu edo pantailak erabiltzen dira, bereziki erosketak ugaritzen diren garaietan. Erabiltzaileak uste du gailu bat egiaztatzen edo lotura-prozesu arrunt bat egiten ari dela, baina, praktikan, ordainketak baimentzen ditu edo datu sentikorrak sartzen ditu. Gehienetan, eragiketa biktimak berak baimentzen duenez, bankuak ez du erantzukizunik.

Hala ere, zenbait kasutan iruzurgileek trikimailu hau erabiltzen dute wallet-ean baimendu gabeko gailu bat aktibatzeko edo online bankuan sartzeko, eta hortik aurrera bezeroak baimendu gabeko transferentziak egiteko. Kontuetako sarrera irregularrak eta baimendu gabeko eragiketak gertatzen direnean, orduan bai, kasua banku phishing gisa hartzen da, eta posible da bankuari erreklamatzea.

Inbertsio-iruzurrak eta trading plataformen bidezko engainuak

Azkenaldian gero eta gehiago dira irabazi ziurtatuak agintzen dituzten inbertsio- edo trading-plataformen biktimak. Ohikoa da dirua plataformatik kentzea eragoztea, funtsak “askatzeko” diru-sarrera berriak eskatzea edo, zuzenean, plataformak desagertzea.

ERREKLAMATUra iristen diren kasu askotan, erabiltzaileek diru-zenbatekoak blokeatuta dituzte, azalpenik gabe eta hasierako gordailua berreskuratzeko aukerarik gabe.

Egoera horietan, bankuak ez du erantzukizunik: bezeroak berak baimendutako eragiketak dira, eta erreklamazioa plataforma kudeatzen duen enpresara edo, hala badagokio, ikuskaritza-organismora bideratu behar da.

3. Gabonetan iruzurrak saihesteko gomendioak

Data hauetan gertatzen diren iruzur gehienak ez dira bankuen segurtasun akatsetatik sortzen, baizik eta erabiltzailea presaka jokatzera bultzatzen duten ingeniaritza sozialeko tekniketatik. Arriskua murrizteko neurri eraginkorrenak hauek dira:

  • Ez fidatu “berehala” jarduteko eskatzen duten mezuez. Iruzurgileek beti erabiltzen dute presioa: kontua blokeatzea, pakete bat atxikia edo senide batentzako presazko laguntza. Presa ematea da haien tresnarik indartsuena.
  • Ez ireki SMS, email edo WhatsApp bidez jasotako estekak. Bankuko webgunera sartzeko, idatzi zuk zeuk helbidea edo erabili aplikazio ofiziala. Jasotzen ditugun iruzur gehienak esteka faltsu batekin hasten dira.
  • Banku batek ere ez ditu kodeak telefonoz eskatzen. Norbaitek SMS bidez kodeak, pasahitzak edo eragiketak baimentzeko datuak eskatzen baditu, iruzurra da. Eten deia eta deitu zuk zenbaki ofizialera.
  • Egiaztatu diru-eskaera oro, baita senideekin lotutakoak ere. Benetako kasu askotan biktimak uste zuen seme edo alabarekin edo bikotekidearekin hitz egiten ari zela. Dirua bidali aurretik, egin beti zuzeneko dei bat.
  • Ez egin ordainketa aurreraturik plataforma ezezagunetan. Salerosketa azkarrak edo “online lanak” egiteko, ohikoa da hasierako ordainketa txiki bat eskatzea kontua “aktibatzeko”. Baldintza horiek susmagarritzat hartu.
  • Ez instalatu urruneko kontrolerako aplikaziorik. Norbaitek AnyDesk, TeamViewer edo antzeko tresnak instalatzeko eskatzen badizu “laguntzeko”, iruzurra da. Bankuek ez dute inoiz horrelakorik erabiltzen.
  • Bi aldiz egiaztatu kontu-zenbakia transferentzia egin aurretik. Faktura faltsutuak edo IBAN aldatuta dituzten dokumentuak oso ohikoak dira; erabiltzaileak uste du benetako hornitzaileari ordaintzen ari zaiola.
  • Zalantzarik baduzu, eten eragiketa. Iruzurrak segundo gutxitan gauzatzen dira, baina ondorioei gero antzematen zaie. Susmo txikiena izanez gero, gelditu eta kontsultatu bankuarekin eragiketa balioztatu aurretik.

4. Iruzur baten biktima direnentzako gomendioak

Iruzur digital batek nahasmena eta presio-sentimendua eragiten ditu, baina funtsezkoa da lehen unetik modu ordenatuan jokatzea. Lehen urratsa da eskuragarri dagoen informazio guztia biltzea, gal ez dadin: jasotako mezuak, pantaila-argazkiak, erabilitako estekak, ukitutako banku-mugimenduak eta susmoa pizten duen edozein abisu.

Aldi berean, gomendagarria da bankuarekin ahalik eta azkarren harremanetan jartzea, iruzurraren berri emateko eta kontuan egondako eragiketen azterketa premiazkoa egitea eskatzeko. Iruzurgilea online bankura sartzeko arriskua badago, garrantzitsua da kontua aldi baterako blokeatzeko eskatzea eta pasahitzak aldatzea, beti gailu seguru batetik. Iruzurrak urruneko kontrolerako aplikazioak instalatzea ekarri badu, berehala kendu behar dira.

Polizian salaketa jartzea ere baliagarria izan daiteke; ez du dirua azkarrago berreskuratzea bermatzen, baina gertatutakoaren kontakizuna egiaztatzen duen agiri ofiziala ematen du, eta laguntzen du iruzurraren data, ordua eta inguruabarrak zehazten.

Urrats horiek eginda, gakoa da jakitea kasua erreklamatzeko modukoa den ala ez. Ez da nahikoa kalte ekonomikoa pairatu izana; legeak eskatzen du aztertzea ea eragiketa baimenduta zegoen edo ez, nolako ingeniaritza soziala erabili zen, bankuak zer segurtasun-neurri aplikatu zituen eta nola gertatu zen benetan sarbidea. Banku phishing-ean -hirugarren batek kontuan jarduteko aukera lortzen duenean- sarritan badago oinarri juridikoa erreklamazioa aurkezteko.

Gai hau argitzeko, ERREKLAMATUk kasu bakoitzaren azterketa doan eskaintzen du. Gure abokatuek dokumentazioa aztertzen dute, irizpide juridikoak betetzen diren baloratzen dute eta biktimak zein aukera dituen azalduko dute, inolako konpromisorik gabe. Helburua da pertsona bakoitzak jakitea benetako oinarririk dagoen erreklamazioa egiteko edo beste bide bat jarraitu behar duen.

5. Phishing-aren biktimentzako baliabideak

ERREKLAMATUko jurista eta phishing kasuetan aditua den Ainhoa Egiluzek nabarmendu du aurten aztertutako datuek joera argia berresten dutela: «Gabonetan iruzur digitalak areagotzea ez da kasualitatea; urtero errepikatzen den eredu baten parte da. Irudimentsuagoak bilakatzen dira iruzurgileak, jendeak presaka erantzuten du eta oraindik ere askok ez dakite phishing bidez baimenik gabeko eragiketak egiten direnean, bankuak dirua itzultzeko betebehar legala duela -bezeroaren arduragabekeria larria frogatu ezean-. Hori da, azken batean, irizpide juridikoa erreklamazioa aurrera eraman daitekeen edo ez erabakitzeko».

Egiluzen iritziz, prebentzioa da oraindik babes-tresnarik eraginkorrena: «Kasu asko ez lirateke gertatuko oinarrizko egiaztapen bat eginda: ez sakatu esteketan, ez fidatu presako mezuez eta ez eman koderik telefonoz. Arau sinpleak dira, baina erabakigarriak: iruzurgileek nahi dutena lortzen dute, hain zuzen ere, erabiltzailea presaka jartzen badute».

Hala ere, ohartarazten du zuhurtziaz jokatzen duten pertsonak ere iruzur oso sofistikatuen biktima izan daitezkeela. Horregatik azpimarratzen du aholkularitza espezializatua lehen unetik izatearen garrantzia: «Kasuz kasu aztertu behar da iruzurrak utzitako aztarna digitala: nola sartu zen iruzurgilea, zer egiaztapen erabili ziren eta une batean erabiltzaileak berak baimendurik egin ote zen eragiketaren bat. Azterketa horrek bakarrik ematen du erantzun segurua: bankuak ordaina eman behar duen ala ez. ERREKLAMATUn dokumentazioa aztertzen dugu doan, eta oinarri juridikorik dagoen ala ez zehazten dugu, biktimari bidea argitzeko».

Egiluzen mezua argia da garai hauetarako: «Prebentzioa funtsezkoa da, baina baita jakitea ere mekanismo legalak badaudela norbere burua defendatzeko. Iruzurrak baimenik gabeko mugimenduak sortzen dituenean, erabiltzailea ez dago babesgabe: legeak eta jurisprudentziak babesa ematen diote».

Kontsultatu doan

Gure abokatu adituek zure kasua aztertuko dute eta zure erreklamazioaren bideragarritasunari buruzko informazioa emango dizute. Eman zure datuak, eta zurekin harremanetan jarriko gara aholku emateko.

+34 944 027 596
+34 688 651 944
info@erreklamatu.com

Barroeta Aldamar kalea 6.
3º derecha – derecha
48001 BILBO – Bizkaia

EUS Consulta GRATIS (#10)

* Nahiago baduzu, dei dezakezu zuk telefono honetara: 944 027 596 (astelehenetik ostiralera, 9:00etatik 14:00etara eta 16:00etatik 18.00etara), edo mezu bat bidali helbide honetara: info@erreklamatu.com

Azken albisteak

Ikusi albiste gehiago