La aerolinea Air Europa ha sufrido un ciberataque esta madrugada, cuyo objetivo ha sido el robo de la información bancaria de los usuarios. Entre los datos sustraídos se encuentra el número de tarjeta, así como la fecha de caducidad y el código CVV, que son las tres códigos que suelen solicitarse al realizar compras online con tarjeta de crédito o débito.

La compañía ya ha enviado un correo electrónico a los usuarios que podrían haberse visto afectados por el ciberataque, para que cancelen sus tarjetas de crédito como precaución ante posibles compras o transferencias ilícitas. No obstante, fuentes de la compañía indicaron a LA RAZÓN que por ahora ninguno de sus clientes ha reportado ningún problema con sus tarjetas.

Si no has recibido ninguna comunicación de la aerolínea poniéndote en conocimiento esta situación, no tienes nada de qué preocuparte porque no has sido afectado. Sin embargo, si has recibido un correo electrónico de Air Europa solicitándote que canceles la tarjeta de crédito que utilizaste en transacciones con ellos, entonces tu información podría estar en riesgo. En esta situación, es importante que estés al tanto de tus derechos, independientemente de si se ha producido un uso fraudulento de tus datos o no.

¿Los clientes afectados pueden reclamar?

Este no es el primer hackeo que sufre Air Europa. En el año 2018 se produjo un ciberataque muy similar, en el que fueron sustraídos los datos bancarios de 489.000 clientes, de los que se derivó el uso fraudulento de unas 4.000 tarjetas. En aquella ocasión, la Agencia Española de Protección de Datos le puso una multa de 600.000 euros a Air Europa.

En rigor, aquella multa se correspondía con dos incumplimientos diferentes. Por un lado, el organismo público le impuso una sanción económica de 500.000 euros a Air Europa porque se consideró que las medidas de seguridad desplegadas por la aerolínea española no eran suficientes para garantizar el acceso no autorizado a los datos de sus clientes. Por otra parte, la AEPD impuso una multa de 100.000 euros por haber notificado el incidente con 41 días de retraso, cuando el máximo legal es de 72 horas desde que se tiene constancia de él.

En este caso en particular, no se ha producido la segunda infracción, porque Air Europa notificó de manera correcta y oportuna sobre el ataque a todas las personas afectadas, a las entidades bancarias y a los clientes que podrían haber sido afectados. Sin embargo, sí que podría encontrarse su responsabilidad en la primera de las infracciones.

Las empresas tienen la obligación de adoptar las medidas de prevención, seguridad y vigilancia necesarias para evitar que este tipo de ciberataque tenga éxito. Y en caso de que la empresa no haya cumplido diligentemente con su obligación para sus clientes y su seguridad, será responsable de las consecuencias del ataque, así como frente a la Agencia Estatal de Protección de Datos por no haber cumplido efectivamente con la normativa. Y en esta tesitura, los clientes afectados podrán reclamar a la empresa por la vulneración de sus datos bancarios.

A pesar de la pronta respuesta de Air Europa, lo cierto es que se ha comprometido la seguridad de unos datos que deberían ser privados. Aún no se ha determinado si la compañía ha cumplido con todos los protocolos de seguridad a los que está obligada, y por lo tanto, si es posible demandarle alguna responsabilidad o indemnización.

No obstante, si Air Europa consigue demostrar que efectivamente actuó con la diligencia debida en el mantenimiento de las medidas de seguridad de sus sistemas técnicos, entonces podrá refugiarse en su derecho a la exoneración de responsabilidad, previsto en el artículo 1.105 del Código Civil. Este artículo sostiene que nadie estará obligado a hacerse cargo de “sucesos que no hubieran podido preverse, o que, previstos, fueran inevitables”.

¿Qué hago si hay movimientos sospechosos en mi cuenta?

La Asociación Valenciana de Consumidores y Usuarios (AVACU) ha compartido una nota de prensa con sus recomendaciones a los clientes de la aerolínea que puedan haberse visto afectados por el ciberataque. El primer consejo de la asociación es que, en los próximos días, revisen las cuentas asociadas al método de pago utilizado en la compra o reserva con dicha compañía, por si hubiera habido alguna compra sospechosa o uso fraudulento.

Si se detecta alguna anomalía, se aconseja poner la denuncia correspondiente ante la Policía Nacional o la Guardia Civil y proporcionarla al banco para solicitar la anulación del cobro en la tarjeta. Además, se deberá reclamar al banco, basándose en el seguro vinculado a la propia tarjeta, la devolución de las cantidades sustraídas, adjuntando la denuncia y la comunicación de Air Europa.