España: La responsabilidad bancaria en los casos de phishing
El usuario no debe tener la responsabilidad por la seguridad de las plataformas.
La nota distintiva es que la realización de manipulaciones y artificios no está dirigida a otros, sino a máquinas que, en su automatismo y como consecuencia de una conducta artera, actúan en perjuicio de tercero. Dada la complejidad, se amplía la fórmula empleada por el legislador y se admite la comisión del delito a través de diversas modalidades que pueden consistir en la alteración de los elementos físicos de la máquina, de aquellos que permite su programación o por la introducción de datos falsos: creación de órdenes de pago o de transferencias, manipulaciones de entrada o salida de datos en virtud de los que la máquina actúa en su función mecánica propia, etc.
En este contexto, el “phishing” por e-mail fraudulento, tal y como ha quedado definido por tribunales como la Audiencia Provincial de Madrid en su Sentencia de 24 de enero de 2018, “se basa en el envío de correos electrónicos que, aparentando provenir de fuentes fiables, en el caso: de la entidad bancaria de los perjudicados, obtienen o intentan obtener datos confidenciales del usuario como sus claves bancarias, las que posteriormente se utilizan para la realización de la estafa, es decir: para acceder a su cuenta corriente y efectuar trasferencias de dinero dirigidas a un beneficiario, autor directo o colaborador necesario del fraude”.
La Sentencia de la Audiencia Provincial de La Rioja de 3 diciembre explica el significado del concepto phishing de la siguiente manera: “de forma gráfica se dice que el autor “pesca los datos protegidos” – de ahí la denominación phishing -, que permiten el libre acceso a las cuentas del particular y, a partir de ahí, el desapoderamiento”, y la Sentencia de la Audiencia Provincial de Valladolid 263/2010 de 21 de junio de 2010 explica su objetivo aclarando “que, mediante una manipulación informática, se efectúe una transferencia no consentida de activos en perjuicio de un tercero”. Teniendo como particularidad que “en este caso, el acto de disposición patrimonial no se realiza por la víctima del engaño, sino por el propio autor, a través del sistema, por lo que la transferencia debe ser no consentida”.
¿Se puede reclamar al banco?
La Ley 16/2009, de 13 de noviembre, de servicios de pago, fue derogada con efectos de 25 de noviembre, por el Real Decreto-ley 19/2018 de Servicios de pago y otras medidas urgentes en materia financiera, vigente hoy día, con motivo de la transposición al ordenamiento interno de la Directiva (UE) 2015/2366 del Parlamento y del Consejo, de 25 de noviembre, sobre Servicios de Pago en el Mercado Interior.
Esta Directiva, conocida como DSP2, establece normas exhaustivas para los servicios de pago que se complementan con lo establecido en el Reglamento 2018/389, concretamente respecto a las normas para la autenticación reforzada de clientes.
Esto último es lo que nos interesa en este caso, ya que este reglamento obliga a las entidades bancarias (que son las proveedoras de los servicios/medios de pago) a disponer de mecanismos de supervisión de las operaciones que les permitan detectar transferencias de pago no autorizadas o fraudulentas. Es decir, los bancos deben poder detectar que los elementos de autenticación (las claves personales) han sido comprometidas o sustraídas y deben detectar señales de infección por programas informáticos maliciosos en el proceso de autenticación.
En este sentido y a nivel nacional, el RDL 19/2018 dedica entre sus disposiciones, un apartado a las transferencias no consentidas. Así, el artículo 36 hace referencia al consentimiento y a la retirada del mismo, señalando que:
1. Las operaciones de pago se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución. A falta de tal consentimiento la operación de pago se considerará no autorizada. El consentimiento para la ejecución de una operación de pago podrá darse también por conducto del beneficiario o del proveedor de servicios de iniciación de pagos.
El ordenante y su proveedor de servicios de pago acordarán la forma en que se dará el consentimiento, así como el procedimiento de notificación del mismo.
2. El consentimiento podrá otorgarse con anterioridad a la ejecución de la operación o, si así se hubiese convenido, con posterioridad a la misma, conforme al procedimiento y límites acordados entre el ordenante y su proveedor de servicios de pago.
3. El ordenante podrá retirar el consentimiento en cualquier momento, pero no después de la irrevocabilidad a que se refiere el artículo 52. Cuando el consentimiento se hubiese dado para una serie de operaciones de pago, su retirada implicará que toda futura operación de pago que estuviese cubierta por dicho consentimiento se considerará no autorizada.
Por tanto, en los casos de e-mail fraudulento o ‘phishing’, la transferencia debe entenderse como no autorizada, por lo que mientras la víctima cumpla con lo establecido en el artículo 43 en referencia a la notificación de operaciones de pago no autorizadas sin demora y desde que se tiene conocimiento de los hechos, la responsabilidad recae en el proveedor de servicios de pago, tal y como establece el artículo 45:
1. Sin perjuicio del artículo 43 de este real decreto-ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada.
2. Cuando la operación de pago se inicie a través de un proveedor de servicios de iniciación de pagos, el proveedor de servicios de pago gestor de cuenta devolverá inmediatamente y, en cualquier caso, a más tardar al final del día hábil siguiente, el importe de la operación de pago no autorizada y, en su caso, restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada.
Si el responsable de la operación de pago no autorizada es el proveedor de servicios de iniciación de pagos, deberá resarcir de inmediato al proveedor de servicios de pago gestor de cuenta, a petición de este, por las pérdidas sufridas o las sumas abonadas para efectuar la devolución al ordenante, incluido el importe de la operación de pago no autorizada. De conformidad con el artículo 44.1, corresponderá al proveedor de servicios de iniciación de pagos demostrar que, dentro de su ámbito de competencia, la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable. (…)
De acuerdo con estas disposiciones, nuestros tribunales entienden que las entidades bancarias tienen la obligación de garantizar la seguridad de sus clientes y por tanto, responden por los efectos de sus propios sistemas de autenticación.
Por ejemplo, la Audiencia Provincial de Valencia en su Sentencia de 26 de noviembre de 2014, señala que:
“Estimadas como no autorizadas las operaciones bancarias descritas, habrá de estarse a lo que establece el siguiente artículo 31 de la LSP (hoy artículo 45 de la Ley 19/2018) (…) por lo que, en tal perspectiva, y teniendo en cuenta las irregularidades apreciadas, es pertinente apreciar que la entidad bancaria no desplegó toda la diligencia exigible al buen comerciante en el sector del tráfico de que se trata.”
Y confirma la Audiencia Provincial de Alicante en su Sentencia de 12 de marzo de 2018 aclarando que:
1º.) El proveedor de los servicios de pago (la Entidad Bancaria) “debe implementar las medidas necesarias para asegurar la autenticación e identidad del ordenante a la hora de prestar su consentimiento. Por ello y para su ejecución, el banco debe comprobar en todo caso la autenticidad de la orden”;
2º.) “La falsedad de la transferencia (es decir, que el ordenante no sea el titular de la cuenta) es un riesgo a cargo del banco porque, en principio, el deudor sólo se libera pagando al verdadero acreedor por lo que, si el banco cumple una orden falsa, habrá de reintegrar en la cuenta correspondiente las cantidades cargadas”.
3º.) “La responsabilidad en estos supuestos no puede atribuirse directamente al supuesto ordenante de la transferencia por entenderse ésta autorizada al haberse realizado de acuerdo con los sistemas de autenticación del banco. Los sistemas de autenticación se establecen por los proveedores de servicios de pago y si un banco no ha sido capaz de limitar el acceso al canal de banca electrónica no puede pretender que el presunto ordenante víctima de esta práctica fraudulenta sea el único responsable, pues es el banco quien tiene responsabilidad respecto del buen funcionamiento y la seguridad del mismo”.
4º.) “Las medidas de seguridad no solamente están destinadas a proteger la seguridad de las órdenes de pago emitidas por los clientes, sino que su eficacia exonera a las entidades de crédito de su responsabilidad frente a las órdenes de pago no emitidas por sus clientes de tal forma que el incumplimiento de este específico deber de vigilancia da lugar a una responsabilidad por “culpa invigilando” o responsabilidad objetiva por el mal funcionamiento de los servicios de banca electrónica”.
Por tanto, la jurisprudencia confirma que es la prestadora de los servicios de pago quien tiene la obligación de facilitar un sistema de banca telemática segura, y no son sus clientes- usuarios los que deben prevenir ni averiguar las modalidades de riesgos que el sistema conlleva, ni prevenir con un asesoramiento experto los mismos, no pudiendo en suma la parte obligada legalmente a ofrecer un modelo de servicio de caja que requiere de un especial nivel de seguridad, objetar que el usuario debía conocer aspectos técnicos tales como identificar una web como falsa -cuando no consta que fuera burda y por tanto, evidente de toda falsedad-, ni que no eran fallos técnicos sino riesgos fraudulentos, determinados comportamientos de la plataforma que, no se olvide, son tan factibles que incluso el contrato de banca directa alude -para eludir responsabilidades el prestador- al riesgo de fallos técnicos, errores, interrupciones, desconexiones, sobrecargas y otras formas de defectos en la conexión.