El desarrollo tecnológico ha permitido una mayor flexibilidad y agilidad en la realización de operaciones bancarias, lo que se ha ofrecido como un beneficio al usuario y consumidor y, a la vez, resulta una forma ágil y rentable para las entidades bancarias proveedoras de servicios de pago. Sin embargo, la realidad evidencia que los avances tecnológicos suponen un riesgo para los propios usuarios toda vez que existe una exposición a la intervención de terceros, delincuentes informáticos, que de distintas formas consiguen acceder a los datos bancarios y superar las barreras de protección para, tras ello, realizar disposiciones patrimoniales en perjuicio del titular de la cuenta bancaria.
Las formas de esta nueva delincuencia son muy variadas: destaca el phishing, el envío de mensajes con un link que aparentemente ha sido enviado por la propia entidad bancaria por el que, una vez el usuario accede al link, el autor del delito conoce los datos bancarios y puede realizar actos de disposición —como compras o transferencias a otras cuentas bancarias— en perjuicio de la víctima y en favor del autor que se esconde bajo un tupido velo que oculta su identidad. También otros fraudes tecnológicos que van naciendo del ingenio delictivo, todos los cuales evitan dejar el rastro de la identidad haciendo compleja, cuando no imposible, su averiguación y localización.
Lo que nos hace concentrar la atención en las garantías que nacen de la obligación de la entidad bancaria, que parten de la aplicación de los deberes impuestos por las disposiciones civiles y generales del depósito, en tanto que son de aplicación los arts. 1766 (LA LEY 1/1889) y 1787 del Código Civil (LA LEY 1/1889) que imponen a la entidad financiera, como depositario del dinero, un deber de custodia y seguridad respecto del dinero depositado en la cuenta bancaria.
Para reforzar la protección al usuario, en evitación de estas conductas de fraude, el Real Decreto Ley 19/2018 (LA LEY 18608/2018), de servicios de pago y otras medidas urgentes en materia financiera [en adelante: LSP] que traspone la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015 (LA LEY 20018/2015) sobre servicios de pago en el mercado interior, establece las obligaciones del usuario de los servicios de pago y de las entidades bancarias como proveedoras de estos servicios de pago y su régimen de responsabilidad en los supuestos de fraude.
El art. 41 de la LSP establece obligaciones al propio usuario, en concreto, la autotutela del instrumento de pago, teniendo la obligación de tomar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas, así como, en caso de pérdida, extravío o apropiación indebida, notificarlo al proveedor de servicios de pago o a la entidad que éste designe, sin demora indebida, en cuanto tenga conocimiento de ello.
Por su parte, el art. 42 de la LSP impone a las entidades bancarias obligaciones que tienen por objeto la evitación del fraude mediante la adopción de medidas de seguridad indispensables para asegurar la identidad del ordenante y confirmar la autenticación de la operación. Y así, se impone a las entidades de crédito, entre otras medidas, la implementación de los mecanismos oportunos para asegurar la veracidad de la operación tanto en su propia autenticación de la misma como en cuanto a la identidad de la persona que ordena y consiente. En este sentido, los arts. 3.4º y 5º y 68 de la LSP establecen un sistema de doble autenticación, normalmente mediante el envío de un PIN por mensaje de texto o a la aplicación para confirmar una operación, que permita comprobar la identidad del ordenante para autorizar la operación.
La actuación fraudulenta por un tercero que supere las medidas de seguridad bancaria, realizando una operación en perjuicio del titular de la cuenta bancaria dará lugar a la responsabilidad civil de la entidad bancaria por el quebranto patrimonial sufrido
La actuación fraudulenta por un tercero que supere las medidas de seguridad bancaria, realizando una operación en perjuicio del titular de la cuenta bancaria dará lugar a la responsabilidad civil de la entidad bancaria por el quebranto patrimonial sufrido por el cliente, salvo que la entidad pruebe que las operaciones fueron realizadas porque el usuario del servicio de pago cometió fraude o incurrió negligencia grave. Es decir, corresponde a la propia entidad la carga de la prueba sobre la concurrencia de las causas de exoneración de su responsabilidad. Así lo establece expresamente el art. 44 de la LSP que configura una inversión de la carga probatoria.
De esta forma, la LSP y la jurisprudencia que la desarrolla han establecido una responsabilidad cuasi objetiva de la entidad bancaria como proveedora de servicios de pago con un doble objetivo: la protección al consumidor/cliente frente a este tipo de conductas fraudulentas y la incentivación en la aplicación de medidas de seguridad por parte de las entidades con el fin de prevenir, evitar y salvaguardar los fondos de sus usuarios. Inversión de la carga probatoria y régimen de responsabilidad cuasi objetiva que encuentra su fundamento en la lógica procesal del principio de facilidad probatoria del art. 217 LEC (LA LEY 58/2000) y en la doctrina del riesgo (cuius commoda eius incommoda) pues, precisamente, las entidades bancarias son las principales beneficiadas de las nuevas tecnologías, suprimiendo costes laborales y materiales al ser los propios clientes quienes realizan las operaciones que antes requerían de presencia física e intervención de un operario de banca.
En este sentido se pronuncia la SAP Alicante nº107/2018, de 31 de marzo, al precisar que tanto en la banca telefónica, como por Internet, el proveedor de servicios de pago debe implementar las medidas necesarias para asegurar la autenticación e identidad del ordenante a la hora de prestar su consentimiento, adquiriendo, de esta forma, el riesgo de la falsedad de la transferencia, debiendo reintegrar en la cuenta correspondiente las cantidades cargadas con motivo de la operación fraudulenta. Por lo tanto, las consecuencias derivadas de la omisión, insuficiencia o defectuoso funcionamiento de las medidas adoptadas es que han de ser las entidades bancarias las que asuman las consecuencias derivadas de los fallos de seguridad del sistema; no pudiendo pretender que el presunto ordenante víctima de la práctica fraudulenta de «phishing» sea el único responsable al ser el banco quien tiene responsabilidad respecto del buen funcionamiento y la seguridad del mismo.
Por ello, advertida de la existencia de una operación no realizada por el cliente, la entidad bancaria deberá comprobar que la operación fue debidamente autenticada, registrada y contabilizada, sin haberse visto afectada por un fallo o cualquier otra deficiencia del servicio prestado. En caso contrario, conforme al art. 43 LSP, la entidad bancaria deberá restituir al cliente el dinero sustraído fraudulentamente salvo que pruebe la existencia de fraude del propio usuario o negligencia grave.
La exoneración de la responsabilidad bancaria por negligencia del usuario exige —como establece el propio artículo— que la negligencia del titular sea grave, es decir, no basta con cualquier omisión de las obligaciones que le son impuestas sino que es necesaria una actitud descuidada o de inobservancia de las normas más esenciales en evitación del fraude y en protección de su propio patrimonio.
La valoración y examen de la diligencia del usuario a los efectos de determinar la existencia de una negligencia grave que conduce a una exoneración de la responsabilidad bancaria debe hacerse en atención a las obligaciones que el art. 41 LSP impone a los propios usuarios y las circunstancias concretas de cada caso: el contexto y particularidad de la operación, y ello porque la multiplicidad de maniobras fraudulentas impide que exista una definición clara, específica y concreta de lo que debe considerarse como negligencia grave.
En la praxis habitual, las entidades bancarias abusan de su posición de dominio y de su organización financiera y jurídica desplazando la responsabilidad sobre el usuario forzando, cuando no abusando, a nuestro juicio, de dicha causa de exclusión, que les posibilita rehusar la reclamación, desistiendo muchos perjudicados de perseguir judicialmente los hechos, en unos casos por razones de descompensación entre el quebranto y la inversión en costes litigiosos y en otros casos, por la complejidad que aparentemente asumen. En esta línea, si descendemos a la casuística jurisprudencial, sirve de ejemplo como sentencia desestimatoria, la SAP Sevilla, sec. 5ª nº319/2014, de 16 de mayo, que desestima la demanda formulada contra BARCLAYS BANK por entender que la cliente actuó con grave negligencia, al utilizar la banca electrónica sin atenerse a las condiciones que regulaban su uso y sin adoptar las medidas razonables para protegerla. Se trata de un supuesto en el que la usuaria llevaba ocho años utilizando la banca electrónica de dicha entidad y en la misma se advertía a los clientes de las normas de seguridad a seguir y de la posibilidad de sufrir los ataques de phishing, además de aparecer siempre un aviso importante en la página de inicio que contenía el mensaje de: «Barclays nunca le pedirá más de una coordenada de seguridad, ni por correo ni en la web». Por ello, concluye la Sentencia que, al haber introducido la cliente las claves de su tarjeta de coordenadas ante una ventana emergente a pesar de los numerosos avisos y medidas de seguridad, y ello unido a los años que llevaban operando con la misma banca, incurrió en una negligencia lo suficientemente grave al incumplir con las obligaciones que le impone el art. 41 LSP, exonerando a la entidad bancaria.
Y en el mismo sentido, la SAP Valencia, sec. 7ª, nº43/2013, de 31 de enero, considera que el cliente incurrió en negligencia grave al haber recibido un correo electrónico con un enlace por medio del cual facilitó sus claves, a pesar de que en la página web del banco se hacía la expresa advertencia de que no se facilitasen claves o información financiera a través de correos electrónicos o llamadas telefónicas, incluso de no acceder a enlaces incorporados en e-mails. Además, desde 2005 en la página web de la entidad bancaria aparecía un aviso de seguridad con el mensaje expreso de que el banco nunca solicitaría en correo electrónico ni claves consultivas ni claves ejecutivas de firma. Y así, la sentencia exonera de responsabilidad a la entidad bancaria por una «apreciación de negligencia en el actor por el uso del sistema al haber omitido elementales medidas de seguridad de las que estaba expresamente advertido como cualquier usuario del sistema online de la entidad demandada».
Dicho esto, y aunque siguen conviviendo pronunciamientos contradictorios, la jurisprudencia ha ido evolucionando hacia una mayor protección del usuario, restringiendo la interpretación del concepto «negligencia grave» al considerar que la gravedad significa algo más que un mero incumplimiento del deber de diligencia, esto es, una conducta caracterizada por un grado significativo de falta de diligencia en los términos de la Directiva 2015/2366 (LA LEY 20018/2015).
A nuestro juicio, en las sentencias citadas anteriormente yerran y no deberían haber sancionado y calificado la conducta del usuario como constitutiva de negligencia grave liberando de responsabilidad a la entidad bancaria por su proceder meramente informativa o divulgativo. A diferencia de ello, compartimos los argumentos de la SAP A Coruña nº17/2023, de 25 de enero, que sí que establece la configuración y perímetro que debe considerarse y calificarse como negligencia grave. En este supuesto, afirma la Sala que el demandante incumplió con las obligaciones previstas en el art. 41 LSP y así razona que: «es incuestionable que don Carmelo fue víctima de un ardid o engaño, mediante el cual consiguieron que facilitara voluntariamente su identificación de usuario y clave de acceso a banca electrónica, y posteriormente suministrase el código de verificación remitido vía SMS cuando le estaban informando que tenía que autorizar la transferencia que solicitaba. (…) Como se dijo, la primera obligación del usuario es adoptar "todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas". Y la más elemental es no facilitar esos datos a terceros. Suministrar de forma reiterada e imprudente esos datos es una negligencia grave, contra la que nada puede hacer la entidad bancaria. Si toda medida de seguridad, incluso reforzada, es vulnerada por el propio cliente, nada puede hacerse [nemo propiam turpitudinem allegare potest (Nadie puede alegar su propia torpeza)].
Negligencia grave que se agrava cuando, recibiendo un mensaje donde "Abanca Corporación Bancaria, S.A." —esta vez sí— le notifica que se está pidiendo autorización para una transferencia de 9.132 euros, en lugar de leer el SMS con un mínimo detenimiento para así percatarse del engaño, procede a trasladar el código de verificación a su interlocutor. No es una negligencia, son tres. Y si la primera aún pudiera ser más o menos comprensible (pinchar en un enlace), la segunda ya es grave (facilitar usuario y contraseña), y la tercera es totalmente temeraria (informar de la confirmación).
Medidas de protección especiales, como la solicitud de confirmación telefónica por llamada del banco al cliente, solo pueden aplicarse a traspasos a partir de un determinado importe, pero no para cuantías pequeñas pues supondría la paralización del sistema, hasta convertirlo en inútil para el comercio ordinario online. Ni tampoco es una opción limitar el tipo de operaciones en la banca electrónica (por ejemplo, que solo pueda consultar saldos y movimientos, pero no realizar pagos y transferencias), ni excluir a usuarios. Debe tenerse en cuenta que este sistema es una imposición del legislador europeo (Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015 (LA LEY 20018/2015) sobre servicios de pago en el mercado interior) para facilitar precisamente el comercio interior dentro de la Unión Europea. Todo sistema tiene sus riesgos, como también existen billetes falsos».
Paradigmática de la evolución jurisprudencial sobre la necesidad de que la conducta del usuario verdaderamente pueda integrarse en el concepto de negligencia grave con fuerza suficiente para exonerar a la entidad es la SAP Pontevedra nº623/2022, de 1 de diciembre, que estima la demanda y argumenta que «la negligencia que hace responder al cliente es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional. Como parámetro del actuar negligente también cabrá acudir al art. 1.104 CC (LA LEY 1/1889), que exige la diligencia asociada a la naturaleza de la obligación y a las circunstancias personales, de tiempo y lugar. Ello destacándose la complejidad y grado de perfección que presenta en la actualidad el método de "phishing" de difícil detección por persona de formación media, así como el deber de la proveedora del servicio de dotarse de tecnología suficiente y adecuada con exigencia de medidas implantadoras activas, sin entenderse suficientes avisos generales o en página web de mero carácter informativo o divulgativo —por todas, SS. AP Pontevedra (Secc. 6ª) 21.12.21 (LA LEY 263329/2021) y Madrid (20ª) 20.5.2022, en la línea de lo razonado en SS. AP Valencia (6ª) 13.6.2022 , Granada (5ª) 20.6.2022 y Badajoz (3ª) 21.6.2022».
Como vemos, la jurisprudencia ha ido adaptándose a este tipo de ciberdelincuencia cuyo rastreo es prácticamente imposible y tiende a dictar pronunciamientos favorables a los usuarios, otorgándoles ese plus de protección (ex art. 148 TRLGDCU (LA LEY 11922/2007)), valorando restrictivamente la negligencia grave exoneradora de la responsabilidad bancaria.
La SAP Navarra nº;203/2023, de 9 de marzo, condena a la entidad bancaria a abonar al cliente la cantidad de 3.930,07 € por dos operaciones no autorizadas y que fueron realizadas porque el propio cliente recibió un SMS —aparentemente de la entidad bancaria— informando de que debía actualizar los datos de su tarjeta VISA y, al acceder al enlace que le remitía a la propia aplicación de la entidad, se realizaron los dos cargos en su tarjeta. En estos supuestos, la entidad tiene la obligación de asegurar tanto la autenticación de la operación como la identidad de la persona que la ordena, y entiende la Sentencia que, a pesar de que el certificado REDYS de la operación verifique que se ha utilizado la tarjeta con autenticación del cliente a través del doble sistema de autenticación —lo que demuestra que la operación es real y se ejecutó con el doble filtro de autenticación—, no verifica la identidad real del usuario ordenante. Y así, establece que: «por lo tanto, en ningún momento se demuestra que esté garantizada la identidad del usuario que ejecutó esa autenticación, siendo que, como antes ha quedado dicho, en el tenor de la norma la "autenticación" no sólo comprende la validez de la utilización de los antedichos filtros, sino también la comprobación de la identidad del usuario. (…) La operación habrá sido "autenticada" en términos de la LSP (que tampoco es así, porque no consta el factor de posesión como ha quedado dicho), pero lo que es elemento nuclear de este litigio es la "falsedad" de tal autenticación, en términos del art. 44 LSP (negación por el usuario de haber sido él quien ha autorizado la operación), escenario en el que recae la carga de la prueba en la entidad proveedora del sistema de pago».
En la misma línea se pronuncia la SAP Pontevedra nº539/2021, de 21 de diciembre, siendo en este caso la apelante la víctima de phishing, que habría facilitado los datos de su tarjeta de crédito, sus credenciales y claves de activación tras recibir un correo electrónico fraudulento, pero en apariencia verdadero, de la entidad Correos y Telégrafos, asumiendo que se trataba de una comunicación relativa a la entrega de un paquete de mascarillas que la señora había adquirido días atrás. El Juzgado de Primera Instancia critica la falta de atención de la víctima durante la lectura del correo electrónico y afirma que «le hubiera permitido percatarse de su contenido impreciso, al no identificar el pedido al que se refería, como de las dos faltas de ortografía, datos relevantes para adoptar su decisión de aceptar o no el pago electrónico que se le solicitaba». Sin embargo, entiende la Audiencia que dicha circunstancia debe quedar absorbida por el previo engaño del tercero estafador, no siendo suficiente para exonerar de responsabilidad a la entidad de crédito la lectura poco cautelosa del contenido del correo. La justificación de ello radica en el perfeccionamiento de esta modalidad de estafa, posibilitando a los estafadores emplear técnicas que reproducen de manera casi idéntica las páginas web de los bancos, lo que permite al phisher «ganarse la confianza del usuario del instrumento de pago y aprovecharse de los sesgos cognitivos en la toma de decisiones», entendiendo que las acciones de la víctima subsiguientes al método de estafa empleado en el «phishing» deben quedar amparadas en la finalidad u objetivo del engaño al que son inducidas.
Resaltamos, por último, la SAP Asturias nº353/2023, de 30 de junio, y las en ella citadas, que aborda un supuesto de falta de prueba de la entidad bancaria sobre la negligencia grave del usuario y el cumplimiento de las medidas de seguridad de la entidad; y que, a su vez, cita jurisprudencia que afirma que no son suficientes los avisos bancarios de phishing sino que es necesario que además, la entidad adopte medidas de seguridad que lo impidan.
Así se pronuncia la Sala: «la parte apelante discrepa de la insuficiencia probatoria que se atribuye en la primera instancia a la prueba documental por ella aportada, prueba que afirma es idónea y suficiente, y la alusión a la falta de imparcialidad del testigo D. Melchor, apoderado del proveedor de servicios de pago FK2, para demostrar la imposibilidad de fraude o de fallo técnico alguno, habida cuenta que a través de los certificados del proveedor se servicios de pago FK2 y del emitido por CECABANK, junto con la ratificación y explicaciones del testigo se había acreditado la realización de las operaciones mediante lectura de chip EMV por radiofrecuencia y su autenticación mediante el PIN, habiendo enviado posteriormente al número del móvil una clave OTP, de un solo uso, a efectos de confirmar la autorización de la operación bancaria, sin que hubiera existido ningún fallo en el sistema.
Pese a la suficiencia probatoria predicada por la demandada-apelante, es de general conocimiento, que dichas operaciones son posibles por diversos medios utilizados por los ciberdelincuentes: "pharming", "phishing" o "hijacking", secuestro de conexión TCP/IP por medio de determinadas App que captan por medio de un malware todos los datos que obran en el dispositivo en el que se instalan, incluyendo claves, números de usuario, firma, números de teléfono, etc.; medios ajenos al actuar del usuario y que suelen pasar desapercibidos. Extremo reconocido por el propio testigo que depuso a instancia de la demandada y que, en definitiva, evidencian que el sistema de pagos implantado por la demandada no es totalmente seguro, estando expuesto a fraudes como el aquí acontecido, de modo que para eludir su responsabilidad no basta con acreditar la inexistencia de un fallo técnico, sino que no existió cualquier otra deficiencia en el servicio prestado.
Aspecto en el que han incidido la SAP de Madrid, Sec. 20ª, de 20 de mayo de 2022 (LA LEY 167264/2022), declarando que "la responsabilidad exigida a la entidad demandada, como proveedora del servicio, es la que se deriva de la naturaleza de tal prestación y de la posición contractual en la que se encuentran las partes, lo que le obliga a adoptar una serie de medidas de seguridad y dotarse de mecanismos de supervisión que permitieran detectar operaciones fraudulentas en la prestación de servicios de pago, tal como señala el artículo 2 del Reglamento Delegado 2018/389, pues como se indica también en la sentencia citada de la Audiencia de Pontevedra, incluyendo la técnica del phishing, el deber de diligencia de la entidad demandada exigía dotarse de la tecnología antiphishing precisa para detectar las páginas clonadas de las oficiales propias y cerrarlas o eliminarlas. Dicha actuación diligente no puede considerarse acreditada por la información que se facilita a los clientes a través de su página web, en cuanto la efectividad de esas obligaciones preventivas, lo que requerían era implementar en el sistema informático el mecanismo tecnológico adecuado para evitarlo; es decir mediante una con una conducta activa y no simplemente informativa o divulgativa.
Y la SAP de Logroño, Sec. 1ª, de 17 de febrero de 2023 (LA LEY 53179/2023): debe recordarse en este punto que es el banco quien ofrece este producto, es en principio seguro, y es cierto que remite avisos y advertencias genéricas sobre su utilización; pero conociendo los distintos riesgos de los que avisa, le corresponde adoptar las medidas de seguridad o control necesarias, que en este caso no consta que se adoptaran. Y no basta con medidas genéricas de protección o avisos estereotipados de cuidado, pues tales avisos ostentarían la calificación de "fórmulas predispuestas", vacías de contenido. No son los clientes los que deben prevenir ni averiguar las modalidades de riesgos que el sistema conlleva, o estar al tanto de los mismos, ni prevenir con su asesoramiento experto dichos riesgos».
En definitiva, y con ello concluimos, en los supuestos de operaciones fraudulentas no ordenadas por el usuario, la entidad bancaria como proveedora de servicios de pago tiene una responsabilidad cuasi objetiva, correspondiéndole la carga de probar el cumplimiento de las medidas de seguridad y obligaciones impuestas en evitación de fraude, quedando únicamente exonerada en caso de que pruebe fraude o negligencia grave por parte del propio usuario. Negligencia gravedel usuario que, conforme a la evolución jurisprudencial en la que se aprecia una tendencia de protección al usuario, no basta para que pueda exonerar la responsabilidad de la entidad bancaria proveedora de servicios la aplicación de medidas genéricas de protección o avisos estereotipados de cuidado, que quedan en meras conductas informativas o divulgativas, quedando contrariamente reservada dicha calificación a supuestos claros y evidentes de omisión de los deberes de autoprotección, sin que el mero descuido suponga la exoneración de la entidad bancaria, quedando condicionada y reservada su aplicación a situaciones de fraude burdas, groseras y evidentes que serán las que constituyan la negligencia grave del usuario.