James presentó una demanda el martes en el Tribunal de Distrito de EE. UU. para el Distrito Sur de Nueva York, alegando que Citi carecía de “medidas de seguridad de datos suficientemente sólidas para proteger las cuentas financieras de los consumidores, responder adecuadamente a las señales de alerta o limitar el robo por estafa”.
Dos víctimas supuestamente perdieron miles de dólares cada una cuando los piratas informáticos lograron acceder a sus cuentas y enviaron transferencias bancarias fraudulentas. En un caso, Citi supuestamente completó una transferencia bancaria fraudulenta sin haberse comunicado con la víctima para confirmarla.
James alegó que Citi violó la Ley de Transferencia Electrónica de Fondos cuando no reembolsó a los clientes, similar a cuando los bancos reembolsan a las víctimas de fraude electrónico con tarjetas de crédito o débito.
Citi también podría haber violado la Ley SHIELD, una ley del estado de Nueva York que exige que las empresas que poseen o licencian datos computarizados tomen medidas de seguridad razonables para proteger la seguridad, confidencialidad e integridad de la información privada de sus clientes, según la demanda. La ley exige que las empresas que poseen información privada de los clientes empleen salvaguardias administrativas razonables para “identificar riesgos internos y externos razonablemente previsibles y capacitar y gestionar a los empleados en [their] programa de seguridad”, así como salvaguardas técnicas para “detectar, prevenir y responder a ataques o fallas del sistema”.
La demanda alega que Citi “no adoptó niveles de seguridad adecuados, incluyendo [multi-factor authentication]; seguimiento algorítmico del comportamiento de los consumidores y las cuentas; mecanismos para identificar transacciones de alto riesgo o comportamientos anómalos que desencadenen procedimientos fortalecidos; o limitaciones de transacciones basadas en la frecuencia, el volumen y la actividad repetida”.
En un comunicado de prensa, James dijo que el banco engañó a sus clientes sobre sus derechos después de que sus cuentas fueron pirateadas y luego negaron ilegalmente el reembolso a las víctimas del fraude.
En diciembre, James encabezó una coalición de fiscales generales estatales al escribir cartas a la Oficina del Contralor de la Moneda y la Oficina de Protección Financiera del Consumidor instando a ambas agencias a garantizar que los bancos nacionales cooperen con las investigaciones de los fiscales generales estatales sobre violaciones de la ley estatal.
En un comunicado enviado por correo electrónico, Citi dijo que los bancos “no están obligados a indemnizar a los clientes cuando esos clientes siguen instrucciones de los delincuentes y los bancos no pueden ver ningún indicio de que los clientes estén siendo engañados”.
“Sin embargo, dado el aumento del fraude electrónico en toda la industria durante los últimos años, hemos tomado medidas proactivas para salvaguardar las cuentas de nuestros clientes con protocolos de seguridad líderes, herramientas intuitivas de prevención de fraude, información clara sobre las últimas estafas e impulsando a los clientes. concienciación y educación”, continúa el comunicado. “Nuestras acciones han reducido significativamente las pérdidas por fraude electrónico de los clientes y seguimos comprometidos a invertir en medidas de prevención del fraude para ayudar a nuestros clientes a proteger sus cuentas contra amenazas emergentes”.
