EL DELITO DE «PHISHING» Y LA RESPONSABILIDAD BANCARIA.
ORIGEN CONCEPTUAL
El término «phishing» proviene del inglés «fishing», de pescar, aludiendo al cebo que los delincuentes ponen a los usuarios de la red a la espera de que «muerdan el anzuelo».
TIPO DELICTIVO
El delito de «phishing» no es más que la estafa clásica en su versión propia del Siglo XXI. Es decir, cometen estafa los que, con ánimo de lucro y –aquí el acento– valiéndose de alguna manipulación informática o artificio semejante, consiguen una transferencia no consentida (art. 248.2 CP).
MECÁNICA DELICTIVA
Los ejemplos de esos cebos son muy variados, pero el denominador común de todos ellos es que el defraudador suplanta la identidad de un tercero de confianza para la víctima –diremos, su banco– para «pescarle» sus credenciales de seguridad y realizar operaciones no autorizadas por ellos.
Y «pescan» a través de distintas «redes» con apariencia de oficialidad, bien sea a través de mensajes de texto, de correos electrónicos (a través de enlaces fraudulentos), o simultáneas con llamadas telefónicas.
Una vez realizada la operación de pago y por tanto consumado el delito, un tercero retira el dinero en efectivo tras descontar una comisión y realiza transferencias internacionales que imposibilitan la trazabilidad de los fondos.
La consecuencia es la impunidad del delito por falta de prueba.
Por esta razón y otras, el legislador ha imputado al proveedor de servicios de pagos –el banco– una responsabilidad cuasi objetiva en virtud de la cual, como garantes, deben restituir a la víctima los fondos sustraídos (vid. Sentencia nº 178 de la Sección 9ª de la Audiencia Provincial de Madrid, de 4 de mayo de 2015).
NORMA ESPECÍFICA DE APLICACIÓN.
La brújula normativa de esta publicación es el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera y de la legislación de consumidores y usuarios.
Y en lo que aquí interesa, su norte y guía es el Capítulo II («Autorización de operaciones de pago») del Título III («Derechos y obligaciones en relación con la prestación y utilización de servicios de pago») de la misma, en apoyo del cual reclamaremos al banco las cantidades sustraídas.
Las cosas así, pasaremos ahora a analizar los derechos y obligaciones del banco y del usuario a los efectos de una posible demanda judicial.
SOBRE EL CONSENTIMIENTO DEL USUARIO.
Según el artículo 36 de dicha norma, a falta del consentimiento del usuario de la operación de pago, la misma se considera no autorizada.
ARTÍCULO 36. CONSENTIMIENTO Y RETIRADA DE CONSENTIMIENTO.
1. Las operaciones de pago se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución. A falta de tal consentimiento la operación de pago se considerará no autorizada. El consentimiento para la ejecución de una operación de pago podrá darse también por conducto del beneficiario o del proveedor de servicios de iniciación de pagos.
Y es que, si tenemos en cuenta que el usuario nunca autorizó la operación porque su consentimiento fue viciado, y obtenido mediante estafa informática y engaño –por tanto nulo (arts. 1261 CC y ss.)–, la conclusión necesaria es que la operación jamás se autorizó.
Basta por tanto que el usuario niegue haber prestado su consentimiento, pero debe cumplir con el protocolo de notificación al banco que veremos a continuación.
NOTIFICACIÓN A LA ENTIDAD DE PAGO.
Claro está, que el usuario debe notificar a la entidad la estafa sin demora injustificada en cuanto tenga conocimiento de la operación, tal y como establece el art. 43. Pero, pese al desconocimiento generalizado, el banco tiene la obligación de rectificar la operación.
Veamos los matices.
ARTÍCULO 43. NOTIFICACIÓN Y RECTIFICACIÓN DE OPERACIONES DE PAGO NO AUTORIZADAS O EJECUTADAS INCORRECTAMENTE.
1. El usuario de servicios de pago obtendrá la rectificación por parte del proveedor de servicios de pago de una operación de pago no autorizada o ejecutada incorrectamente únicamente si el usuario de servicios de pago se lo comunica sin demora injustificada, en cuanto tenga conocimiento de cualquiera de dichas operaciones que sea objeto de reclamación, incluso las cubiertas por el artículo 60, y, en todo caso, dentro de un plazo máximo de trece meses contados desde la fecha del adeudo.
RESPONSABILIDAD BANCARIA POR OPERACIONES NO AUTORIZADAS.
Establece la norma en su artículo 45 que, en caso de que se ejecute una operación no autorizada, el banco devolverá al usuario el importe de la operación de inmediato y a más tardar al final del día hábil siguiente a la notificación de la operación.
La excepción a lo anterior es que el banco sospeche de la existencia de fraude, en cuyo caso debe comunicar dichos motivos al Banco de España. Pero también restituirá al usuario el adeudo.
Por tanto, sea un escenario u otro, si el banco no devuelve los fondos, habrá incumplido su obligación, en todo caso .
Pues su obligación es actuar con la diligencia de un buen comerciante (vid. Sentencia de 26 de noviembre de 2014 de la Audiencia Provincial de Valencia).
FUNDAMENTO DE LA RESPONSABILIDAD BANCARIA: LAS FUGAS DEL SISTEMA.
La responsabilidad del banco descansa sobre el hecho de que la tecnología que implementa son fuentes generadoras de riesgo a través de lo que se denominan «fugas del sistema».
Y entiende la jurisprudencia menor que deben responder de ellas porque son los bancos quienes imponen el uso en masa de sus tarjetas, con sus reglas de funcionamiento y seguridad (Sentencia nº 428/2021 de la AUDIENCIA PROVINCIAL DE SALAMANCA).
Es decir, que la falsedad de una transferencia es un riesgo a cuenta del banco. Máxime cuando la eficacia del sistema de autenticación del banco exonera de responsabilidad al mismo.
Por tanto, el incumplimiento de este específico deber de vigilancia da lugar a una responsabilidad por «culpa in vigilando» o responsabilidad objetiva por el mal funcionamiento de los servicios de banca electrónica.
Lo expresa así la Sentencia nº 107/2018 de la AUDIENCIA PROVINCIAL DE ALICANTE:
1º.) El proveedor de los servicios de pago (la Entidad Bancaria) “debe implementar las medidas necesarias para asegurar la autenticación e identidad del ordenante a la hora de prestar su consentimiento. Por ello y para su ejecución, el banco debe comprobar en todo caso la autenticidad de la orden”;
2º.) “La falsedad de la transferencia (es decir, que el ordenante no sea el titular de la cuenta) es un riesgo a cargo del banco porque, en principio, el deudor sólo se libera pagando al verdadero acreedor por lo que, si el banco cumple una orden falsa, habrá de reintegrar en la cuenta correspondiente las cantidades cargadas”.
3º.) “La responsabilidad en estos supuestos no puede atribuirse directamente al supuesto ordenante de la transferencia por entenderse ésta autorizada al haberse realizado de acuerdo con los sistemas de autenticación del banco. Los sistemas de autenticación se establecen por los proveedores de servicios de pago y si un banco no ha sido capaz de limitar el acceso al canal de banca electrónica no puede pretender que el presunto ordenante víctima de esta práctica fraudulenta sea el único responsable, pues es el banco quien tiene responsabilidad respecto del buen funcionamiento y la seguridad del mismo”.
4º.) “Las medidas de seguridad no solamente están destinadas a proteger la seguridad de las órdenes de pago emitidas por los clientes, sino que su eficacia exonera a las entidades de crédito de su responsabilidad frente a las órdenes de pago no emitidas por sus clientes de tal forma que el incumplimiento de este específico deber de vigilancia da lugar a una responsabilidad por “culpa in vigilando” o responsabilidad objetiva por el mal funcionamiento de los servicios de banca electrónica”.
RESPONSABILIDAD DEL USUARIO.
Analizada la responsabilidad de la entidad de pago, resta hacer lo propio con la del usuario.
Y es que, el único caso en que la norma obliga al usuario a soportar las pérdidas es si él mismo ha actuado en fraude o incumpliendo deliberadamente o por negligencia grave alguna de sus obligaciones.
Naturalmente, este es siempre el argumento defensivo del banco para evitar devolver los fondos de forma extrajudicial. A tales fines, el banco opondrá que se trata de una operación autorizada porque la operación se realizó con las claves del mismo.
Y es aquí cuando se debe buscar asesoramiento adecuado para la tutela de los derechos.
INVERSIÓN DE LA CARGA DE LA PRUEBA.
Aquí una pausa importante:
Según el art. 44.3 de la norma de referencia, es el banco quien deberá probar el fraude o la negligencia grave del usuario, si quiere salvarse de una condena judicial.
Razón por la que en las Sentencias los tribunales hacen eco de esa inversión de la carga probatoria.
Ejemplo de ello es la sentencia de 23 de febrero de 2013, Sección 2ª, de la Audiencia Provincial de Badajoz, con el siguiente tenor: «con inversión de la carga probatoria al presumirse la falta de autorización de la orden de pago o transferencia si el cliente lo niega».
CONCLUSIONES.
- El delito de «phishing» es consustancial a la sociedad de la información en la que vivimos, y se debe extremar las cautelas para no caer en ellos. A tales efectos recomendamos leer las recomendaciones del Banco de España.
- Si has sido víctima de este delito, tienes a tu disposición mecanismos legales para reclamar las fondos sustraídos al banco, quien debe rectificar la operación y devolvértelos. Ponte en manos de abogados especialistas en la materia.
- La única excepción a la devolución que puede oponer el banco es la comisión de fraude por parte del usuario, o su incumplimiento y/o negligencia grave, que en ningún caso es equiparable a «morder el anzuelo» en estos delitos.
- La carga de la prueba sobre el fraude y la negligencia grave del usuario corresponde al banco.
Vía: CENDOJ.
Imagenes:@lariostreslegal