El desarrollo tecnológico ha permitido una mayor agilidad y flexibilidad en la contratación y realización de operaciones bancarias online, lo que al mismo tiempo ha provocado un riesgo para los usuarios de banca que se encuentran expuestos a una ciberdelincuencia que aumenta de forma exponencial, de cuya evitación son garantes las entidades bancarias, obligadas a adoptar medidas de seguridad que impidan conductas de fraude y garanticen la protección del patrimonio de los usuarios.
Además de la técnica del phishing que se ha convertido ya en todo un clásico en el fraude bancario, existen y conviven otras formas de ciberdelincuencia —enmarcadas todas ellas dentro del tipo penal de la estafa informática— en las que el autor del delito también consigue la realización de un acto de desplazamiento patrimonial, en perjuicio de la víctima y en su beneficio propio o ajeno, ocultándose bajo un velo informático que dificulta y, en ocasiones, impide descubrir su verdadera identidad.
Entre las distintas técnicas delictivas destaca lo que se ha denominado el «man in the middle» que traducido al lenguaje cervantino sería la que enuncia el título de estas reflexiones, el hombre en medio: la interposición delictiva de tercero, en la que el ciberdelincuente consigue vigilar las comunicaciones e interceptarlas, obteniendo datos bancarios o modificándolos en su propio beneficio. Y así, sirve de ejemplo de esta técnica la interceptación de un mensaje de correo electrónico entre dos empresas en el que una de ellas remite a la otra una factura para la realización de un pago, indicando el número de cuenta bancaria en el que realizar la transferencia, y el tercero consigue la modificación de la factura, introduciendo una cuenta bancaria distinta, de manera que el pago mediante transferencia se realiza en favor de dicha cuenta diferente a la del verdadero destinatario.
En estos casos, el ordenante de la transferencia incurre en un error provocado por el tercero y ordena la transferencia en favor de una cuenta bancaria cuyo número de identificador único (IBAN) es distinto de la persona o mercantil a quien tenía voluntad de realizar el pago. Es evidente que la entidad bancaria a priori no tiene responsabilidad en la actuación delictual del tercero que interviene en las comunicaciones, ni en el error cometido por el ordenante al introducir el número de cuenta bancaria erróneo inducido por el engaño de dicho tercero, pero sí que es responsable cuando, además del número de IBAN, se incluye el nombre del beneficiario u otros datos adicionales y la entidad receptora de dichos fondos no comprueba la discordancia entre el nombre del destinario indicado en la orden de transferencia y el titular de la cuenta bancaria a la que se transfirió el dinero, de forma que, de haberlo hecho, hubiera impedido la ejecución de la transferencia.
Lo determinante para que exista responsabilidad civil bancaria es que el ordenante, en la orden de transferencia, incluya el nombre del verdadero beneficiario de la transferencia
Por tanto, lo determinante para que exista responsabilidad civil bancaria es que el ordenante, en la orden de transferencia, incluya el nombre del verdadero beneficiario de la transferencia o datos adicionales que permitan su identificación y posibiliten con una adecuada diligencia la detección y evitación de riesgo.
No se trata de responsabilizar a las entidades bancarias de cualquier actividad delictiva ajena, excluyendo la responsabilidad del usuario y del autor del delito, sino que se trata de que cumplan con los deberes de buena praxis de vigilancia y control que le son exigibles y que están a su alcance, cuya observancia impediría la comisión delictiva.
En estos casos, la responsabilidad civil bancaria de la entidad destinataria de los fondos es muy concreta y se centra en la falta de comprobación e identidad entre el número de IBAN y el nombre del beneficiario. Tiene su fundamento en el artículo 1902 del Código Civil (LA LEY 1/1889) y en el deber de diligencia de la entidad cuyo estándar de diligencia es el del bonus argentarius, superior al exigible al buen padre de familia del art. 1.104 del Código Civil (LA LEY 1/1889); así como en la aplicación del art. 59 de la Ley de Servicios de Pago.
Sobre la responsabilidad extracontractual sancionada en el art. 1902 del Código Civil (LA LEY 1/1889) en el ámbito bancario ya se ha pronunciado nuestra jurisprudencia afirmando que la culpa no consiste en la omisión de normas inexcusables o aconsejadas por la más elemental experiencia, sino en el actuar no ajustado a la diligencia exigible según las circunstancias del caso concreto, de las personas, tiempo y lugar; de forma que, si el ordenante únicamente utiliza el denominado «identificador único » (CCC, IBAN, BIC), es decir, los dígitos de la cuenta de destino, el proveedor de servicios de pago del beneficiario (el banco receptor) no tendrá responsabilidad alguna en los posibles errores de la orden; pero si incluye datos adicionales, diferentes al simple identificador único, sí podrá incurrir en responsabilidad por la ejecución defectuosa de la orden de pago. En cuyo caso, habrá que acudir a los criterios generales de responsabilidad civil extracontractual del artículo 1.902 del Código Civil (LA LEY 1/1889).
Sobre este particular se pronuncia la SAP Córdoba, Secc.1ª, nº92/2015, de 23 de febrero, que condena a la entidad del beneficiario a restituir la cantidad transferida, por no haber empleado su deber de diligencia en la comprobación del beneficiario. Así resuelve la Sentencia: «(…) sobre dicha base jurídica, a criterio de esta Sala, resulta determinante para resolver si la sentencia de instancia incurre en los errores de apreciación probatoria en que la parte apelante sustenta su recurso, que aunque el propio ordenante, el ayuntamiento, sufrió equivocación en la designación de la cuenta de destino de la transferencia, sin embargo consignó acertadamente los datos de identificación del destinatario, que no era el efectivo titular de dicha cuenta, sino "DIRECCION000, C.B.", del que además se facilitaba su NIF y su domicilio, queno coincidían en modo alguno con el de dicho titular, hasta el punto de que "Toros Califa, S.L." tiene su domicilio en Fuente Palmera (Córdoba), si bien en sus contratos con "Unicaja" consta un domicilio en Córdoba, y "DIRECCION000, C.B." lo tiene en Quintana de la Serena (Badajoz). Por tanto, en contra de lo que se sostiene en el recurso de apelación, la orden de pago no se llevó a cabo mediante el sistema de "identificador único", en los términos del artículo 2.21 de la citada Ley 16/2009 (LA LEY 20029/2009), de Servicios de Pago, puesto que, junto con la identificación de la cuenta de destino, también se incluyeron los datos de nombre y domicilio del beneficiario. Es decir, se facilitaron también datos adicionales distintos a los de los dígitos de la cuenta, y esta divergencia en los datos (uno incorrecto y otro correcto) es trascendental, pues determina la obligación de la entidad bancaria apelante de comprobar la identidad de la destinataria de los fondos, antes de permitir su disposición, ya que precisamente por la presencia de tales datos adicionales, su diligencia no se agotaba con la comprobación del número de cuenta. Sobre esta base fáctico-jurídica, aunque hubo un error parcial achacable al ordenante, quien tuvo la responsabilidad eficiente en lo sucedido fue la entidad apelante, puesto que disponiendo de otros datos, tan determinantes a efectos identificadores como nombre del titular de la cuenta y domicilio, no hizo una comprobación somera que hubiera bastado para advertir el error, o como mínimo que había algo que no era correcto, dada la discrepancia entre uno y otros datos(número de cuenta por un lado, y nombre y domicilio por otro); pero en vez de eso, seguramente en su afán de cubrir las posiciones deudoras que mantenía el destinatario aparente de la transferencia, no reparó en la incongruencia de las menciones reseñadas en la orden de transferencia, no realizó comprobación alguna al respecto y dispuso de los fondos, ya que no se limitó a ponerlos a disposición de la beneficiaria aparente, sino que se apresuró a aplicarlos en su propio interés. Debiendo tenerse en cuenta que, en su calidad de profesional del crédito, le es exigible un estándar más alto de diligencia y, por tanto, de responsabilidad, ya que "la entidad bancaria no desplegó toda la diligencia exigible al buen comerciante en el sector del tráfico de que se trata" (Sentencia de la Sala 1ª del Tribunal Supremo de 16 de diciembre de 2011)».
Y, en la misma línea, la SAP Valencia, Sec.6ª, nº343/2021, de 19 de julio, que estima la existencia de responsabilidad bancaria sobre un supuesto similar al que nos ocupa. Así razona la Sentencia: «Esta última interpretación nos parece más acorde con la protección debida al usuario de los servicios bancarios, y a las obligaciones propias de las entidades que ofrecen los servicios telemáticos, que son conocedoras de las crecientes actuaciones ilícitas o estafas que proliferan aprovechando las nuevas tecnologías, y que desarrollan mecanismos técnicos con el fin de ofrecer un sistema lo más seguro posible para el usuario, como parte igualmente de su oferta de servicios. Y en el caso concreto que se nos somete, y debido a una conducta fraudulenta de tercero, se identificó un determinado número de IBAN, el facilitado por el tercero, si bien con discordancia con el destinatario (conocido y expresado) al que se quería efectuar pago por relaciones comerciales, a través de las dos transferencias. Una alerta acerca de la discordancia entre los datos facilitados en la orden de transferencia hubiera sido suficiente para, o bien no realizarlas, o antes comunicar tal circunstancia de falta de coincidencia al ordenante. Ello, entendemos, concuerda también con el texto del Reglamento Europeo (Reglamento UE nº260/2012) que invoca la propia parte recurrente, no excluye su responsabilidad, pues si bien es posible una transferencia cuando se efectúe con un número de identificador único , no impide, sino autoriza, a reseñar la identidad del destinatario, lo que sucedió claramente en las dos transferencias que son origen de las presentes actuaciones, y, por ello, no es suficiente, a criterio de la Sala, que escudándose la entidad apelante, en que tan sólo sería necesario el número de IBAN, no necesitaría comprobar ningún otro dato que se facilitara, aunque de esa comprobación, que puede ser efectuada automáticamente, aparezcan divergencias o contracciones en la orden emitida por el ordenante de la transferencia».
En idéntico sentido, las SSAP de A Coruña, Sec.5ª, 31 de julio de 2017 (nº237/2017) y de la Audiencia Provincial de Madrid, sec. 12ª, de 23 de abril de 2015 (LA LEY 69198/2015) (nº163/2015, rec.443/2014).
En definitiva, y con ello concluyo, en los supuestos de transferencias bancarias en los que el ordenante, como consecuencia de la intervención delictiva de un tercero que intercepta las comunicaciones, indica en la orden de transferencia un número de identificador único (IBAN) equivocado, pero incluye el nombre del verdadero beneficiario u otros datos adicionales que permitan su identificación o que posibiliten comunicar y aclarar la falta de coincidencia con el ordenante, está dentro de su deber obligacional y de buena praxis de la entidad de crédito comprobar e identificar la correspondencia entre dicho número de cuenta y el nombre del beneficiario indicado. Si omite dicho deber y permite la ejecución de la orden de transferencia errónea, nace su deber de indemnizar por responsabilidad civil extracontractual, con fundamento en los artículos 1902 del Código Civil (LA LEY 1/1889) y 59 de la Ley de Servicios de Pago, debiendo reintegrar al ordenante la cantidad transferida, reparando el quebranto patrimonial sufrido por no adoptar las medidas de control y comprobación exigibles.