La responsabilidad bancaria por Phising. Aspectos jurisprudenciales

VolverLa jurisprudencia señala que el banco deberá reintegrar las cantidades sustraídas cuando el ordenante no haya dado su consentimiento, éste no haya cometido fraude ni ha actuado con negligencia grave y haya comunicado esta incidencia de inmediato.

La Audiencia Provincial de Madrid definió el phising como “la suplantación de la identidad de un banco por parte del phiser con la finalidad de adquirir información confidencial sobre contraseñas de cuentas bancarias, tarjetas de crédito o cualquier otra información en relación con el banco, que permita entrar en las cuentas de los usuarios en internet de banca electrónica. El internauta recibe un correo o cualquier mensaje instantáneo, a través del cual se le informa de que debe cambiar sus claves bancarias, proporcionándole un link a través del cual pueda acceder a la página web de la supuesta entidad bancaria y allí realizar la modificación aconsejada. En la mayoría de los métodos de phising, se utilizan técnicas de engaño a través de las cuales el phiser utiliza contra la víctima el propio código de programa del banco o servicio similar, adquiriendo la página web la verdadera apariencia de la entidad bancaria”.

Cierto es que esta actividad está tipificada como delito –artículo 248 del Código Penal-, el banco puede ser responsable y verse obligado a restituir las cantidades defraudadas a la víctima si se dan una serie de condiciones, como son: (i) carecer del consentimiento del ordenante; (ii) no haber cometido el ordenante fraude; (iii) no haber actuado con negligencia grave; y (iv) haber comunicado esta incidencia en cuanto tenga conocimiento del mismo.

Así, el artículo 36.1 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, establece que “las operaciones de pago se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución. A falta de tal consentimiento la operación de pago se considerará no autorizada”. El artículo 44 del mismo cuerpo legal, referido a la “prueba de autenticación y ejecución de las operaciones de pago”, dispone que “cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago”.

Así como fruto de lo anterior, establece el artículo 45 del Real Decreto-ley 19/2018 que: “en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada”.

Existe numerosa jurisprudencia por la cual los tribunales han condenado a diferentes entidades bancarias a reintegrar las cantidades extraídas por técnicas de phising.

La sentencia de la Audiencia Provincial de Barcelona de 7 de marzo de 2013 condenó a una entidad bancaria a devolver a una sociedad la cantidad de 32.099 euros por cuanto la entidad no adoptó las medidas de seguridad adicionales previstas en las Condiciones Generales del Contrato, al haberse (i) producido movimientos inusuales de fondos de la cuenta corriente, y (ii) ser transferidos a cuentas sospechosas que la entidad debió detectar.

La sentencia de la Audiencia Provincial de Zaragoza de 14 de mayo de 2013 condenó a un banco a reintegrar 20.947 euros a un cliente al señalar que la Ley de Servicios de Pago [Ley 16/2009, de 13 de noviembre, derogada por Real Decreto-ley 19/2018 el 25 de noviembre de 2018], expresa con claridad que “salvo una tardanza injustificada del usuario del servicio de banca electrónica en comunicar la irregularidad de las operaciones, será el banco quien deberá devolverle de inmediato el importe de la operación no autorizada y, en su caso, restablecerá la cuenta de pago en que haya adeudado dicho importe al estado que habría existido de no haberse efectuado la operación de pago no autorizada. Por ello y salvo actuación fraudulenta o negligencia grave del titular de la cuenta, la responsabilidad de la operación es del banco, al que corresponde además probar el correcto funcionamiento del sistema informático”.

La sentencia 178 de la Sección 9ª de la Audiencia Provincial de Madrid de 4 de mayo de 2015 condenó a un banco a abonar a un usuario la cantidad de 17.390,35 euros. En este caso, la víctima facilitó sus claves y contraseñas a una página web clonada que simulaba ser la del banco. La sentencia razona que el artículo 31 LSP –de la derogada Ley 16/2009 por el vigente Real Decreto-ley 19/2018-, establece “un sistema de responsabilidad cuasi objetiva de la entidad proveedora del servicio de pago”. En igual sentido la sentencia de la Audiencia Provincial de Badajoz, Sección 2ª de 7 de febrero de 2013-, “con inversión de la carga probatoria al presumirse la falta de autorización de la orden de pago o transferencia si el cliente lo niega”.

Así, la sentencia de la Audiencia Provincial de Albacete de 23 de febrero de 2016 recoge que “establecen un sistema de responsabilidad cuasi objetiva de la entidad proveedora del servicio de pago (…) pues en este ámbito de la contratación electrónica, el prestador del servicio deberá reembolsar el importe de la sustracción a su cliente con el que tuviera contratado el servicio de pago electrónico en operaciones no autorizadas por éste, presumiéndose la falta de autorización si lo niega, con las exclusivas salvedades previstas en el artículo 32 de la citada ley: que el cliente haya actuado con negligencia grave (no basta la simple o leve falta de diligencia) en sus obligaciones (consistentes exclusivamente en aplicar los “medios razonables de protección” de seguridad personalizados de que vaya provisto, y comunicar el pago no autorizado “en cuanto tenga conocimiento del mismo”, ex art.27) o haya actuado fraudulentamente (claro está), amén de una especie de “franquicia” de 150 euros como máximo para los exclusivos supuestos de extravío o sustracción de los sistemas de acceso (que incluso no se aplicaría en caso de que el expolio haya tenido lugar después de la comunicación o aviso de la falta de falta de autorización a la entidad proveedora)”.

En relación a la negligencia grave, es amplia la jurisprudencia que determina que la misma frisa con el dolo. Así, la sentencia del Tribunal Supremo de 30 de enero de 2003 revisa en profundidad el concepto, concertándolo con el de “falta de diligencia inexcusable” o de “declaraciones por dolo que tiene por finalidad el engaño”, o el de “infringir el deber de buena fe que ha presidir las relaciones”.

También la sentencia de 12 de marzo de 2018 de la Audiencia Provincial de Alicante, reconoció que “en caso de pérdida, extravío, sustracción o uso por persona no autorizado, el deber del titular del instrumento no es otra que la de comunicar el hecho sin demora al proveedor de servicios que asume, desde ese momento y a salvo de que medie fraude por el titular del medio de pago, las consecuencias económicas por el uso del instrumento de pago”.

En definitiva, la responsabilidad de la entidad bancaria viene determinada por la aplicación del contrato de depósito en cuenta corriente por el cual se constituye un depósito irregular con la consecuencia prevista en el artículo 307.3 del Código de Comercio, por la cual, al quedar el dinero depositado confundido con el patrimonio del depositario, éste ha de soportar los riesgos derivados de su deber de conservar la cosa depositada. A la misma conclusión llegamos si examinamos el hecho desde otra perspectiva, la del pago como modo de extinción de las obligaciones (artículos 1156 y siguientes del Código Civil). La obligación del depositario de devolver al depositante la cosa depositada (artículos 1766 CC y 306 del C. de Comercio) se extingue por el pago, pero éste sólo es eficaz cuando se hace a la persona en cuyo favor estuviese constituida la obligación o a otra autorizada para recibirla en su nombre, como nos dice el artículo 1162 CC.

Así lo determina la referida sentencia de 12 de marzo de 2018 de la Audiencia Provincial de Alicante a la hora de establecer que “tanto en la banca telefónica como por internet, el banco debe comprobar en todo caso la autenticidad de la orden (…) La falsedad de la transferencia (es decir, que el ordenante no sea el titular de la cuenta) es un riesgo a cargo del banco porque, en principio, el deudor solo se libera pagando al verdadero acreedor por lo que si el banco cumple una orden falsa, habrá de reintegrar en la cuenta correspondiente las cantidades cargadas (…) En consecuencia, hay responsabilidad bancaria por los defectos de seguridad del sistema que determina la ejecución de órdenes de pago no autorizadas por su cliente, con la única excepción de que el banco acredite la culpa o negligencia de la víctima.

Si con carácter general el banco tiene la obligación, dice la STS 311/2016, de 12 de mayo, de comprobar la veracidad de la firma del ordenante -lo que no deja de ser una obviedad-, tanto más relevante lo es el ámbito de la banca electrónica a través de cualquiera de los sistemas ya existentes y que prestan un elevado nivel de garantía como son las claves aleatorias remitidas por la entidad directamente al usuario para cada operación y la firma electrónica”.

Por tanto, la entrega de la cosa depositada a una persona distinta de las expresadas en esa última norma no produce el efecto extintivo de la obligación del depositario relativa a la devolución del objeto del depósito.

El Departamento de Derecho Mercantil y Societario de Belzuz Abogados cuenta con profesionales habilitados para prestar todo el asesoramiento jurídico necesario ante casos de phising bancario.

Renato Landeira Prado  Renato Landeira Prado

Departamento Derecho mercantil y societario | Madrid (España)

 

Belzuz Abogados SLP

La presente publicación contiene información de carácter general sin que constituya opinión profesional ni asesoría jurídica. © Belzuz Abogados, S.L.P., quedan reservados todos los derechos. Se prohíbe la explotación, reproducción, distribución, comunicación pública y transformación total o parcial, de esta obra, sin autorización escrita de Belzuz Abogados, S.L.P.

0
0
0
s2smodern

Madrid

Belzuz Abogados - Despacho de Madrid

Nuñez de Balboa 115 bis 1

  28006 Madrid

+34 91 562 50 76

+34 91 562 45 40

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Lisboa

Belzuz Abogados - Despacho de Lisboa

Av. Duque d´Ávila, 141 – 1º Dtº

  1050-081 Lisboa

+351 21 324 05 30

+351 21 347 84 52

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Oporto

Belzuz Abogados - Despacho de Oporto

Rua Julio Dinis 204, Off 314

  4050-318 Oporto

+351 22 938 94 52

+351 22 938 94 54

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Asociaciones

Subir