Rastreando nuevamente por la hemeroteca, hemos dado con una noticia que vendría a ratificar la existencia de claros indicios de que CaixaBank, S.A. no siempre mira de frente a un problema -por grave que sea- sino que, en ciertas ocasiones, prefiere mirar hacia otro lado.
Si bien uno de los casos más grave resultó ser el acontecido en Galicia, el fraude de las 5 Jotas (en el que la Entidad estuvo implicada), hemos encontrado otro caso en el que CaixaBank, S.A. parece haber pasado deliberadamente por alto una deficiencia de seguridad en sus tarjetas, poniendo en riesgo a sus clientes.
Según se informa el artículo, el problema tiene que ver con la tecnología Contactless, "en el punto de mira por infringir la Ley Orgánica de Protección de Datots (LOPD) y resultar vulnerable al fraude". Los hechos descritos por "Economía Digital" son graves ya que, según afirma el diario online, "La caixa (ahora CaixaBank) emitió, a sabiendas, cuatro millones de tarjetas a las que, con sólo un teléfono móvil, se podía interceptar el nombre del usuario, el número y las fecha de caducidad porque la información no estaba encriptada". Y añade, "datos suficientes para realizar compras en páginas web como Amazon".
Al consultar la resolución de la Agencia Española de Protección de Datos sobre el procedimiento nº.: PS/00002/2015, comprobamos que la Agencia confirma "hecho probado" que:
"Consta incorporado a las actuaciones un Informe de Auditoría de Plataforma titulado "Informe de Auditoría de Plataforma (Pago con Targetas (sic) Contactless) ref: 727-022-IAP - Sistema de Gestión de Seguridad de la Información", de fecha 17/07/2012,con membrete de "La Caixa", en el que se indica lo siguiente:
a. Las pruebas se realizaron sobre tarjetas VISA Classic con tecnología contactless.b. Concluyen que "el nivel de seguridad en este punto es Medio-Bajo".
d. Que es posible obtener dicha información simulando un TPV a distancias de hasta 2 metros con el material adecuado. No se establecen garantías para determinar si la comunicación se establece con un TPV auténtico. "
Es decir, la Agencia dejó constancia de queCaixaBank, S.A. era plenamente consciente del problema, siendo calificado el nivel de seguridad de las tarjetas por la propia entidad como Medio-Bajo. No obstante, aún así se llegaron a comercializar 4.000.000 de tarjetas, poniendo en riesgo a los tenedores de las mismas.
La sanción que la Agencia impuso a CaixaBank, S.A. fue de 80.000 euros, siendo reducida posteriormente a 20.000 euros una vez CaixaBank, S.A. atendió ciertos requerimientos de dicha Agencia. Sin entrar a valorar en profundidad lo adecuada de la cuantía, únicamente destacaremos que 20.000 euros, para una entidad como CaixaBank, S.A., es nada. Por ello, de cara a intentar promover la diligencia en los bancos, las multas de la Agencia no parecen ser el mejor instrumento.
No obstante, no queremos finalizar este post sin volver a hacer alusión -una vez más- a ciertos principios y/o valores que supuestamente dan lugar al Código Ético de CaixaBank, S.A. - como la TRANSPARENCIA y la PROFESIONALIDAD, cuyo cumplimiento es puesto en duda continuamente tras analizar ciertos actos protagonizados por la Entidad (y comentados en diferentes posts de Accionistas CaixaBank®).
Además, consideramos que es conveniente que los clientes también se pregunten si aquel empleado de CaixaBank, S.A. en el que depositan su confianza, realmente podría haberles advertido del insuficiente nivel de seguridad de las tarjetas al ofrecérsela, sin arriesgarse a sufrir alguna represalia por ello (traslados injustificados, etc...). De existir realmente "transparencia" en la relación con el cliente, el empleado debería sentirse libre de poder informar al cliente para que fuera éste el que, una vez bien informado, valorara el riesgo y, por lo tanto, de ningún modo fuera la Entidad (interesada en la comercialización de tarjetas y con un evidente conflicto de interés) quien tomara una decisión que no le corresponde en su nombre.
Sin embargo, en nuestra opinión, la inseguridad laboral que puede llegar a vivirse en la entidad catalana (comentada en los posts sobre "Movilidad Funcional"), no anima a ser optimista respecto a la respuesta a esta pregunta. Es decir, tal y como se ha demostrado tras la comercialización de ciertos productos, probablemente sea mejor que el cliente asuma que no siempre tiene porqué ser bien informado por un empleado que, a su vez, puede estar atado de manos. Es más, quizás también es aconsejable que no presuponga siempre la diligencia en las actuaciones de la Entidad ya que, tal y como también pareció ocurrir con el fraude de las 5 Jotas, ésta quizás puede preferir mirar hacia otro lado.
Accionistas CaixaBank ® 06/11/2016