Recientemente, los inversores se han visto expuestos con frecuencia a ataques de phishing centrados en Crypto. ¿Qué es un ataque de phishing? El phishing es un tipo de ciberataque que se produce mediante el robo de datos personales y que los estafadores prefieren con frecuencia. En otras palabras, es la adquisición, transmisión, almacenamiento o utilización de información personal perteneciente a personas reales o jurídicas por personas no autorizadas para su uso en fraudes y otros delitos; Los estafadores utilizan muchos métodos para llevar a cabo ataques de phishing, y cada día los desarrollan y diversifican;
Por ejemplo; Clone Phishing Attack, Pharming Attack, Phishing Attack, Ice Identity Attack, Evil Twin Attack… Mientras que algunos de ellos son producto de la ingeniería social; otros son producto del malware;
Para proceder de forma más concreta, pongamos un ejemplo de método de ataque Phishing; Los inversores particulares son redirigidos constantemente a sitios web fraudulentos con ayuda de correos electrónicos que creen enviados por el sitio web de la plataforma que prefieren. Así, los datos personales como el nombre de usuario, la contraseña, las credenciales de red o la tarjeta de crédito pertenecientes a inversores particulares pueden ser obtenidos por personas malintencionadas y sus activos digitales pueden ser robados realizando grandes transferencias desde sus carteras digitales sin el consentimiento de los inversores particulares. Como puede observarse, se trata de la obtención, utilización y registro ilícitos de datos personales, así como de infracciones de la legislación en materia de datos personales, como el incumplimiento de las obligaciones relativas a la seguridad de los datos.
Las sanciones por estos actos ilícitos existen tanto en el Código Penal turco como en la Ley de Protección de Datos Personales. Como es sabido, de acuerdo con la Ley de Datos Personales, también se consideran datos personales la información financiera y económica de las personas, sus acciones en Internet, contraseñas y correos electrónicos, así como la información de los sitios que visitan.
En el ámbito de la LPPD, se imponen multas administrativas en caso de incumplimiento de diversas obligaciones relativas a la seguridad de los datos y otras obligaciones, mientras que se imponen penas de prisión en virtud del Código Penal turco.
Faltas
MADDE 18-
(1) La presente Ley
a) El artículo 10 establece que para quienes incumplan su obligación de informar, una multa de 5.000 liras turcas a 100.000 liras turcas,
b) de 15.000 liras turcas a 1.000.000 de liras turcas a quienes incumplan las obligaciones relativas a la seguridad de los datos estipuladas en el artículo 12,
c) Para quienes incumplan las decisiones adoptadas por la Junta en virtud del artículo 15 de la Ley, de 25.000 liras turcas hasta 1.000.000 de liras turcas,
ç) se impondrá una multa administrativa de 20.000 liras turcas a 1.000.000.000 de liras turcas a quienes actúen en contra de la obligación de inscribirse y notificar al Registro de Responsables del Tratamiento estipulada en el artículo 16;
(2) Las multas administrativas previstas en el presente artículo se impondrán a las personas físicas y jurídicas de Derecho privado que sean responsables del tratamiento.
Registro de datos personales
Artículo 135-
(1) El que ilegalmente registre datos de carácter personal será castigado con la pena de prisión de uno a tres años.
(2) Si los datos de carácter personal están relacionados con las opiniones políticas, filosóficas o religiosas, el origen racial, las inclinaciones morales ilícitas, la vida sexual, el estado de salud o la afiliación sindical de las personas, la pena que deba imponerse en virtud del párrafo primero se aumentará en la mitad.
Provisión o incautación ilegal de datos
Artículo 136-
(1) Será castigado con la pena de prisión de dos a cuatro años quien ceda, difunda u obtenga ilícitamente datos de carácter personal de otra persona.
(2) (Ek:17/10/2019-7188/17 md.) Si el objeto del delito son declaraciones e imágenes grabadas con arreglo a los párrafos quinto y sexto del artículo 236 del Código de Procedimiento Penal, la pena se aumentará en uno;
Circunstancias habilitantes
Artículo 137-
(1) Los delitos definidos en los artículos anteriores
No destrucción de datos
Artículo 138-
(1) Serán castigados con la pena de prisión de uno a dos años quienes estén obligados a destruir los datos del sistema a pesar de haber transcurrido los plazos determinados por la ley, si incumplen sus deberes.
(2) (Ek: 21/2/2014-6526/5 md.) Si el objeto del delito fueran datos que deban ser eliminados o destruidos de conformidad con lo dispuesto en el Código de Procedimiento Penal, la pena a imponer se aumentará en una vez
El número de víctimas puede reducirse en cierta medida concienciando sobre las violaciones de datos personales. Además, conviene que los usuarios tengan más cuidado con la noticia de que la red Pi, que permite minar criptomonedas a través del teléfono, ha provocado un robo de datos personales de aproximadamente 17 GB. Nuestro artículo sobre las cuestiones a tener en cuenta en el intercambio de criptomonedas le guiará hasta cierto punto en este punto.
El problema más importante que se plantea en la práctica es, sin duda, el de la seguridad. La adquisición y utilización ilícitas de datos personales supone un grave riesgo tanto para las plataformas como para los inversores particulares. Por supuesto, los inversores particulares querrán poder operar en una plataforma segura. Por ello, las plataformas deben cumplir con su deber objetivo de diligencia y adoptar las medidas de seguridad necesarias para proteger a sus usuarios.
Dado que las plataformas tienen como objetivo obtener más beneficios llegando a más inversores individuales en el intercambio de criptodivisas; paralelamente a este objetivo, es de gran importancia en este sentido que tomen todas las medidas para la seguridad del sistema perteneciente a la plataforma, identifiquen los errores y deficiencias del sistema, y hagan que el sistema se adapte al último desarrollo tecnológico conocido eliminando estos errores y deficiencias.
Las plataformas, por ejemplo, para evitar que terceros malintencionados perjudiquen tanto a sus usuarios como a sus propios sistemas, deben crear mecanismos de seguridad para impedir que dichas personas accedan a la plataforma, actualizar y renovar constantemente sus sistemas, tomar las medidas necesarias en caso de cualquier transacción irregular e informar inmediatamente a sus usuarios en este sentido.
En este caso, las plataformas, al igual que los bancos, deberían estar sujetas a un deber objetivo de diligencia como requisito de responsabilidad agravada y, en contrapartida, deberían ser responsables incluso de los defectos menores. De hecho, aunque en nuestra legislación no existe ninguna disposición especial específica para las plataformas, opinamos que no hay ningún obstáculo para llegar a esta conclusión de conformidad con las disposiciones generales del Código de Obligaciones turco.
Sin embargo, por supuesto, no se puede esperar de la regla de la honradez que imponga la responsabilidad a una de las partes del contrato. Para ofrecer un servicio de negociación seguro, los inversores particulares también están obligados a cumplir con sus máximas responsabilidades frente a las plataformas; Por ejemplo, deben cambiar la contraseña que utilizan en la plataforma a intervalos regulares, no deben preferir contraseñas que puedan ser descifradas fácilmente por terceros, no deben abrir correos electrónicos de personas que no conocen y deben preferir no realizar transacciones desde lugares que no conocen o desde lugares como cibercafés que se utilizan en público, teniendo en cuenta que puede haber debilidades de seguridad.
Incluso si los inversores individuales han tomado diligentemente todas las precauciones necesarias para evitar que sus datos personales caigan en manos de terceros, si se ha producido algún incumplimiento; las Plataformas deben ser responsables de la indemnización de conformidad con el Art. 49, Art. 112 de la TCO debido al incumplimiento del contrato por actuar en contra del deber de cuidado y protección. En este sentido, si el inversor tiene culpa en el robo de su cuenta digital y el acceso de su información personal a terceros malintencionados, esta culpa puede considerarse culpa mutua de conformidad con el artículo 52 del TCO. En este caso, la plataforma está obligada a probar que no es culpable del incumplimiento de su obligación contractual de conformidad con el artículo 112 de la LDC, y también está obligada a probar que el inversor es culpable solidario;
También sabemos que Trezor, un fabricante de monederos de cripto hardware, advirtió recientemente a sus usuarios de su deber de cuidado y protección contra los ataques de crypto phishing.