I. Tipos de fraude bancario
Podemos hacer una clasificación general del ciberfraude entre a) la modalidad tradicional e indirecta de estafa informática, a través de la cual, el criminal, mediante artificios o engaños, obtiene las credenciales de instrumentos de pago y b) la modalidad directa o avanzada mediante malwares (rasomrares, troyanos, virus, spyware, etc.), de los que se sirven los delincuentes para penetrar en el equipo informático e infectarlo y captar las credenciales sin necesidad de mediación humana.
Dentro de la primera modalidad, y sin perjuicio de su constante evolución, cabe distinguir, a su vez, las siguientes: a) phishing (remisión de un enlace cebo al correo electrónico de un usuario de banca online para redirigir a los usuarios a una web falsa que suplanta la de la entidad bancaria en la que éstos introducen sus datos personales que automáticamente pasan a los delincuentes), b) pharming (derivación del phishing, con la diferencia de que no es necesario ningún cebo para redirigir al usuario a la web del banco, sino que el estafador lo logra directamente mediante un ataque DNS), c) smishing (el enlace cebo para desplazar al usuario a la web suplantada se ejecuta por medio de SMS o, en otras ocasiones, mediante la inclusión de un número de teléfono falso con el que el estafador logra convencer a la víctima de la existencia de un fraude para obtener sus datos) y d) vishing (llamada telefónica donde el atacante simula ser una organización o persona de confianza para sustraer datos).
En el ámbito empresarial y por su gran impacto y perjuicio, cabe destacar: a) whaling o fraude del ceo (suplantación de identidad para contactar con ejecutivos, directivos, encargados o gerentes, en la que el delincuente se hace pasar por una persona influyente y obtiene información sensible o transferencias u otras operaciones) y, fronteriza con la anterior, b) el hombre en el medio (el estafador simula ser un proveedor o cliente habitual de la empresa con la que ésta tiene operaciones de pago habituales para modificar los datos de la cuenta bancaria de destino mediante la interceptación de sus comunicaciones).
La mecánica delincuencial de la estafa informática, a pesar de contar con cooperadores-muleros en territorio nacional, se perpetra en no pocos casos desde el extranjero
Por último, cabe recordar que la mecánica delincuencial de la estafa informática, a pesar de contar con cooperadores-muleros en territorio nacional, se perpetra en no pocos casos desde el extranjero, resultando imposible recuperar el capital sustraído, lo que merma la tutela judicial de las víctimas.
II. Régimen de responsabilidad civil establecido por el Real Decreto Ley 19/2018, de 23 de noviembre, de proveedores de servicios de pago (en adelante, LSP)
La LSP establece un cuidadoso y exhaustivo sistema en cadena en la operativa de pagos, entre los diferentes operadores, delimitando las obligaciones, derechos y deberes exigibles a cada uno de ellos y la forma de prestación del consentimiento o autorización para la validez interna y externa de las órdenes de pago, y regulando nuevos servicios (iniciación de pagos e información sobre cuentas).
La norma irrumpió en el panorama nacional en obligada trasposición de la Directiva 2015/2366 (LA LEY 20018/2015), con la finalidad de implantar un sistema de responsabilidad civil cuasiobjetiva de los proveedores de servicios de pago frente a actos de dispositivos fraudulentos no autorizados, evitando de esta manera, en una necesaria individualización de las consecuencias del fraude bancario, que los usuarios finales de los sistemas de pago en masa quedarán desprotegidos frente a la impunidad de muchos delitos informáticos.
El art. 45 de la LSP impone a los proveedores de servicios de pago, en definitiva, la obligación de reintegrar a los usuarios, a la mayor brevedad, y una vez notificado el fraude, el importe de las operaciones no autorizadas ni consentidas, siendo el consentimiento, como es sabido, requisito esencial de todo acto jurídico, unilateral (como en el caso de una transferencia bancaria), o bilateral.
Dispone el art. 36.1 del RD 19/2018, de 23 de noviembre, que «Las operaciones de pago se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución. A falta de tal consentimiento la operación de pago se considerará no autorizada».
La falta de consentimiento, a pesar de no estar incluida expresamente en la redacción literal del precepto transcrito, debe completarse, indefectiblemente, con el consentimiento viciado, según los principios básicos de nuestro derecho contractual y obligacional, erigidos sobre el consentimiento como piedra angular del acto perfeccionador del negocio.
Pues bien, nuestra jurisprudencia menor, en un cuerpo doctrinal consolidado y pacífico, ha declarado que la responsabilidad consagrada por el citado precepto es de tipo cuasiobjetiva y que, las entidades bancarias, como proveedores de servicios de pago, son responsables de la utilización de los sistemas de pago digital en masa.
Declara la SAP Madrid, Sección 14ª, 81/2023, de 21 de febrero (LA LEY 40886/2023), que «ha de concluirse que la responsabilidad establecida en dicho texto legal respecto de la entidad proveedora del servicio de pago es cuasiobjetiva».
Tal como establece el art. 38.3.b) LSP, «garantizará que las credenciales de seguridad personalizadas del usuario de servicios de pago no sean accesibles a terceros, con excepción del usuario y del emisor de las credenciales de seguridad personalizadas, y que las transmite a través de canales seguros y eficientes».
El sistema es lógico, coherente y proteccionista con el eslabón más débil (el consumidor) y descansa en la máxima de que «el riesgo operacional», y las «fugas del sistema», deben ser asumidos «por los bancos en virtud de su posición de garante al ser una pieza clave para evitar la comisión de fraudes» (SAP Madrid, Sección 11ª, 74/22 (LA LEY 33893/2022)). Son los bancos quienes imponen y se benefician del uso en masa de sus tarjetas, con sus reglas de funcionamiento y seguridad, que a ellos corresponde vigilar (SAP Salamanca, Sección 1ª, 428/2021 (LA LEY 136736/2021)).
Como con acierto proclama la SAP Zaragoza, Sección 4ª, 44/2023, de 17 de febrero, «Sobre estas bases fácil es comprender el régimen jurídico instaurado en nuestro ordenamiento jurídico y fácil también es entender que el legislador ponga a cargo del prestador del servicio el riesgo del mismo y la imposición de una deuda de seguridad a su costa».
La piedra angular de ese acertado y sólido régimen de responsabilidad civil consiste en que los proveedores de servicios de pago, en virtud del art. 45 LSP, deberán restituir las cantidades defraudadas o no autorizadas, salvo que acrediten, mediante una fuerte inversión de la carga de la prueba (44.3 LSP), que el ordenante incumplió deliberadamente o por negligencia grave una o varias de las obligaciones del art. 41 LSP (custodiar con cautela sus credenciales de pago y comunicar sin demora el pago no autorizado), o incurrió fraude (art. 46 LSP).
Por último, lo genuino de la LSP, tal como apunta con agudeza la SAP Barcelona, Sección 1ª, de 1 de marzo de 2021, aunque refiriéndose a su predecesora Ley 16/2009 (LA LEY 20029/2009), es que nos encontramos ante una norma de naturaleza administrativa de la que derivan consecuencias civiles restitutorias para los usuarios derivadas de un deber ex lege de tal índole, salvo causas tasadas y justificadas de denegación.
III. Pasos a seguir en caso de estafa bancaria para poder recuperar el capital defraudado
En realidad, el ejercicio de la facultad resarcitoria (una suerte de repetición), consagrada por el art. 45 LSP, en ejercicio de la acción de responsabilidad civil por operaciones no autorizadas, no exigiría más requisito que la notificación, en los términos del art. 41.b) LSP, al proveedor de servicio de pago, sin necesidad de ningún tipo de interpelación extrajudicial formal, para que éste, descartada la negligencia grave y el fraude (arts. 45 y 46 LSP), reintegrase las cantidades defraudadas.
Es decir, la mera notificación de una operación no autorizada, realizada personalmente en la sucursal del usuario o en el teléfono o email de la oficina contra el fraude de la entidad, constituye por sí misma la reclamación extrajudicial.
Sin embargo, la mecánica propia de las operaciones bancarias y la necesaria seriedad de reclamaciones de estas características, conducen al inaplazable deber de formular la correspondiente denuncia penal para adjuntarla, al inicio de la notificación del fraude, o los días siguientes, a la reclamación bancaria. A su vez, la denuncia penal en sede policial (no la judicial), exige, de facto o por protocolo interno (pues no hay norma legal que lo imponga), acompañar certificado de los actos no autorizados, frecuentemente transferencias (recordemos que el proveedor de servicios de pago está obligado a facilitar al usuario dicho certificado ex art. 44.4 LSP).
Expuesto lo anterior, y en clave esquemática, podemos sintetizar el protocolo de actuación legal frente a una estafa bancaria, del siguiente modo:
- a) Notificación, sin demora, de la utilización no autorizada del instrumento de pago, obligación fundamental de los usuarios según el art. 41.b) LSP, y cuya falta de observancia puede conducir a apreciar la causa liberatoria de negligencia grave, ya que el art. 46.1 LPS la hace pivotar, entra otras causas, en el incumplimiento de las obligaciones del art. 41 LSP.
Se aconseja realizar esta comunicación, sea la hora que fuere, de manera telefónica, al canal de urgencias contra el fraude de la entidad correspondiente, solicitando, asimismo, de forma automática, el bloqueo o cancelación del instrumento de pago (el proveedor de servicios de pago, a tenor del art. 42.1.e) LSP impedirá su utilización una vez hecha la notificación indicada), de todo lo cual quedará constancia telefónica.
Ello no es óbice para comunicarlo también de forma inmediata al email de la entidad o unidad de ciberfraude correspondiente.
- b) Acudir a la sucursal bancaria del usuario para obtener certificado de las operaciones no autorizadas, y adjuntar las mismas a la denuncia penal por estafa informática del art. 249 CP (LA LEY 3996/1995), que puede hacerse en sede judicial o policial.
- c) Una vez formulada denuncia, presentar la misma en la sucursal bancaria correspondiente, o adjuntarla al email indicado por la entidad, pues hasta que no se acompañe no se iniciaran, de ordinario, los trámites para atender la reclamación.
- d) A pesar de que la reclamación ya constará debidamente formulada siguiendo los pasos anteriores, se recomienda formular una reclamación extrajudicial con asesoramiento letrado, debidamente fundada y con acreditación documental, y presentarla en un canal que permita dejar constancia fehaciente de la misma (ya sea presencialmente en la sucursal bancaria con sello de entrada o en la sede electrónica que tienen disponibles muchas entidades).
- e) En el caso de que la respuesta del proveedor del servicio de pago sea negativa u omisiva (y tácitamente denegatoria), mediante la frecuente alegación de negligencia grave del usuario, deberá decidirse si actuar a través de la jurisdicción civil, mediante la correspondiente demanda en ejercicio de la acción de responsabilidad civil del art. 45 LSP o intentar recuperar el capital vertido atribuyendo a la entidad bancaria la responsabilidad civil subsidiaria del art. 120.4º CP (LA LEY 3996/1995) dentro del proceso penal iniciado tras la denuncia penal.
- f) Las reclamaciones al Banco de España son estériles e inservibles toda vez que su actuación, se limita, según su normativa reguladora, a resolver quejas «que deriven de presuntos incumplimientos por las entidades reclamadas, de la normativa de transparencia y protección de la clientela o de las buenas prácticas y usos financieros» (art. 30.1 Ley 44/2022, de 22 de noviembre y Orden ECC/2502/2012, de 16 de noviembre (LA LEY 19466/2012)), no teniendo, en consecuencia, competencia para determinar si concurre o no responsabilidad civil por fraude (ni por otro motivo) ni imponer condenas dinerarias, sino tan sólo sanciones administrativas por infracciones «internas».
IV. Obligaciones del usuario y plazo para su cumplimiento
Las obligaciones que el usuario debe observar, son, a tenor del art. 41 RDLSP, las siguientes:
- a) utilizará el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago que deberán ser objetivas, no discriminatorias y proporcionadas y, en particular, en cuanto reciba un instrumento de pago, tomará todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas;
- b) en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, lo notificará al proveedor de servicios de pago o a la entidad que este designe, sin demora indebida en cuanto tenga conocimiento de ello».
Estas obligaciones son de indudable relevancia, ya que, sobre ellas, como antes hemos apuntado, se construye el sistema liberatorio de responsabilidad de las entidades bancarias basado en la negligencia grave en la forma de su cumplimiento, pues así se colige de forma meridiana de los términos del art. 46.1 LPS (sobre los que luego profundizaremos).
En relación con la primera obligación, ésta significa mantener un deber de custodia inherente al deber de diligencia del cumplimiento de toda obligación (1104 CC) sobre el instrumento de pago contratado (tarjeta de crédito, débito, etc.) que impida, según las circunstancias normales, ser accesible a un tercero. Se trata, por ejemplo, de usuarios que, con desprecio a las más elementales reglas de cuidado, exponen sus credenciales por diferentes vías (apuntándolas en lugares visibles, facilitándolas a terceros, dejándolas al descuido), a los demás.
Dentro del necesario cuidado con diligencia y cautela de las credenciales de seguridad no podemos incluir, en modo alguno, la sustracción de claves personales mediante los sofisticados mecanismos de la estafa informática
Dentro del necesario cuidado con diligencia y cautela de las credenciales de seguridad no podemos incluir, en modo alguno, la sustracción de claves personales mediante los sofisticados mecanismos de la estafa informática, tal como y luego argumentaremos.
La notificación o comunicación sin demora de la estafa sufrida es, en consecuencia, en los casos de phishing o delitos afines, de vital importancia para evitar la desestimación de la demanda pues aparece entre las dos únicas obligaciones exigibles al usuario para evitar la tipificación de su conducta como negligente, notificación que, por lo demás, puede y debe hacerse por los canales gratuitos y adecuados que debe implementar la entidad (art. 42.1.c) LSP).
No parecen admisibles ni rectas las reclamaciones de restitución de operaciones defraudadas hechas en un plazo fuera de lo común o transcurrido tiempo excesivo desde la consumación del hecho criminal, lo que opera como una excepción material extintiva para el éxito de la pretensión del usuario que parece configurarse más bien, en realidad, como una suerte de causa extrajudicial y material de caducidad o preclusión del derecho (más que de prescripción, siguiendo la máxima alemana de que en la caducidad, «tanto tiempo, tanto derecho»).
Por apuntalar la idea de la preclusión, cabe afirmar que no estaríamos, en rigor, ante la institución de la caducidad —ni de la prescripción— que extinguen un derecho y la admisibilidad de su reclamación judicial (última vía siempre expedita para la eficacia de cualquier derecho, sin la cual no existe categoría de derecho subjetivo, protegido por la acción o derecho en pie de guerra), sino ante un tipo de caducidad extrajudicial que no impide el ejercicio en plazo de un derecho ni el nacimiento de éste, pero si lo frustra por razones temporales de seguridad y certidumbre (similares a las que fundan la caducidad y prescripción) vinculadas a la falta de diligencia o desidia de su titular.
Aquí, la idea de la decadencia jurídica por el paso del tiempo opera en el marco estrictamente extrajudicial, mediante la notificación en plazo —ahora veremos cuál es, de haberlo— del hecho defraudatorio, que ya hemos visto se constituye como acto iniciador de la reclamación, esto es, como ejercicio del derecho subjetivo derivado del art. 45 LSP, por lo que puede equipararse la notificación del fraude con el ejercicio del derecho y, por ende, investirlo del ropaje de la preclusión, siempre asociado al ejercicio temporal de éstos, y no a condiciones o requisitos materiales para su éxito.
Es cierto que la falta de comunicación en plazo de la estafa sufrida tal como preceptúa el art. 41.b) LSP, no operaría como motivo de caducidad (ni otra forma análoga de preclusión de derechos) para hacer decaer la pretensión, sino como excepción material extintiva, ya que el ejercicio de la acción del art. 45 LSP no tiene plazo específico y debe sujetarse al general supletorio del art. 1964 CC (LA LEY 1/1889), que sí es, en rigor, el de prescripción de la acción.
Pero, en la medida en que el éxito de la pretensión resarcitoria exige el cumplimiento de un presupuesto temporal previo al proceso, que tiene el mismo peso fulminante que la caducidad, nos hemos permitido esta singular analogía con la figura indicada, pues no son frecuentes los derechos subjetivos privados, ni personales ni reales, que exijan, como condición para su eficacia y éxito, el requisito de una previa comunicación en plazo al deudor u obligado (salvo determinadas obligaciones, como por ejemplo, las obras de conservación de un inmueble arrendado, no pueden ser cumplidas si no se conoce el hecho que las causa).
No existe, por lo demás, en el precepto transcrito, un plazo expreso fijado para realizar esa notificación sin demora, lo que hubiera sido aconsejable perfilar con mayor nitidez por elementales razones de seguridad jurídica, y la cuestión no está resuelta ni por la doctrina ni por la jurisprudencia.
Podría mantenerse, sin embargo, que el legislador no guarda silencio sobre el plazo para realizar, sin demora, la comunicación del fraude, establecida por el art. 41.b) LSP, sino que suple esa insuficiencia con la remisión al art. 43.1 de la citada norma, de insoslayable reproducción, que lleva por rúbrica «Notificación y rectificación de operaciones de pago no autorizadas o ejecutadas incorrectamente» y en cuya virtud «El usuario de servicios de pago obtendrá la rectificación por parte del proveedor de servicios de pago de una operación de pago no autorizada o ejecutada incorrectamente únicamente si el usuario de servicios de pago se lo comunica sin demora injustificada, en cuanto tenga conocimiento de cualquiera de dichas operaciones que sea objeto de reclamación, incluso las cubiertas por el artículo 60, y, en todo caso, dentro de un plazo máximo de trece meses contados desde la fecha del adeudo».
Ahora bien, los términos del precepto son algo confusos, ya que se refieren a la rectificación de operaciones no autorizadas, y no a la reintegración del capital procedente de operaciones no autorizadas, facultades distintas, estando regulada esta última por el art. 45 LSP, que fija un plazo de un día hábil para la devolución y no dispone absolutamente nada sobre el plazo de la comunicación sin demora del art. 41.b) LPS.
Pues bien, aunque la confusa redacción vigente del precepto transcrito podría arrojar dudas, las mismas decaen en cuanto se tiene en cuenta el factor histórico de la norma, y se examina el contenido del predecesor art. 29 Ley 16/2009 (LA LEY 20029/2009) que, con la misma rúbrica que el actual art. 43.1 LPS, disponía que «Cuando el usuario de servicios de pago tenga conocimiento de que se ha producido una operación de pago no autorizada o ejecutada incorrectamente , deberá comunicar la misma sin tardanza injustificada al proveedor de servicios de pago, a fin de poder obtener rectificación de éste.
2. Salvo en los casos en los que el proveedor de servicios de pago no le hubiera proporcionado o hecho accesible al usuario la información correspondiente a la operación de pago, la comunicación a la que se refiere el apartado precedente deberá producirse en un plazo máximo de trece meses desde la fecha del adeudo o del abono».
La facultad de rectificación no es otra más que aquella operación bancaria de retrocesión que permite dejar sin efecto ésta, cuando ello sea posible, por error de la entidad bancaria o falta de autorización, aunque lo cierto es que la retrocesión bancaria sólo es posible en tiempos extremadamente breves antes de la hora de cierre de operativa de la entidad o, en su caso, a través de los mecanismos de cooperación interbancaria correspondiente, lo cual hace para nosotros algo quimérico o ilógico la fijación de un plazo de treces meses para la reclamación.
Es decir, si la operación ha sido ejecutada y no cabe ya su retrocesión por estar fuera del horario de cierre diario de operaciones, o ha sido imposible la cooperación con la entidad bancaria destinataria (sin perjuicio de la responsabilidad extracontractual de ésta), especialmente si es internacional, no cabe ya, en sentido propio, aludir a la facultad de rectificación, sino de devolución o reintegración del art. 45 LSP, cuyos efectos materiales, eso sí, son idénticos a la rectificación.
La retrocesión o rectificación revierte la operación de pago, como si no se hubiera hecho ni llegado a su destino; la transferencia retorna a su origen, no hay trasvase de capital. La devolución del art. 45 LSP no revierte la operación, porque está ya se ha consumado, con el correspondiente traspaso de capital entre cuentas, sino que remplaza la suma dispuesta estafada por otra del mismo nominal, por ser una deuda de dinero (genus numquam peri).
Además, si nos fijamos, el art. 41.b) LSP liga la comunicación sin demora al momento de tener conocimiento de la operación no autorizada, mientras que el art. 43 LPS lo asocia a la fecha de adeudo o abono, lo que supone establecer un dies a quo distinto para cada facultad.
Para nosotros, en coherencia con lo anterior y partiendo, no obstante, de que sería deseable un plazo específico para efectuar la comunicación del fraude desde el momento objetivo de su consumación, no cabe establecer parangón o analogía entre el plazo de los trece meses del art. 43 LPS y el plazo para comunicar el fraude a efectos de la acción de responsabilidad del art. 45 LSP, además de parecernos excesivo un margen de trece meses.
En otro orden, el hecho de establecer de manera expresa el art. 41.b) LSP el dies a quo del plazo de la comunicación sin demora en el momento del conocimiento del fraude (apostando por un criterio subjetivo frente al general objetivo del art. 1969 CC (LA LEY 1/1889)), evita situaciones de desprotección derivadas de praxis de usuarios poco revisores de sus cuentas, aunque hace compleja la prueba de la acreditación del conocimiento del fraude, dejándolo en la esfera de la voluntad del usuario, lo que tampoco parece inspirado en razones de seguridad jurídica.
La valoración de la comunicación diligente y sin demora del hecho fraudulento habrá que ponderarse según las circunstancias del caso y deberá computarse desde que venga a conocimiento del usuario
En consecuencia, la valoración de la comunicación diligente y sin demora del hecho fraudulento habrá que ponderarse según las circunstancias del caso y deberá computarse desde que venga a conocimiento del usuario.
Puede ser útil por los tiempos que maneja, la SAP Madrid, Sección 21ª, de 2 de julio de 2019 (LA LEY 119475/2019), que no considera que exista comunicación con demora pasados dos meses desde el hecho hasta la notificación al proveedor de servicios de pago.
V. Inversión de la carga de la prueba y causas tasadas de liberación de responsabilidad patrimonial
Este punto, aunque medula espinal del régimen de responsabilidad civil por fraude de la LSP, no suscita especial controversia, dada la claridad del art. 44.3 LSP, a tenor del cual «Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave».
Declara la SAP Badajoz, Sección 2ª, de 23 de febrero de 2013, Sección 2ª, que el artículo 44.3 repetido contempla una «inversión de la carga probatoria al presumirse la falta de autorización de la orden de pago o transferencia si el cliente lo niega».
Basta, por tanto, al usuario, acreditar como hecho constitutivo exclusivo de su pretensión, la existencia de un acto de disposición material y afirmar su falta de autorización o consentimiento (ni siquiera acreditarla), incumbiendo al proveedor de servicio de pago probar, o bien la prescripción de la acción (aplicable a toda pretensión), o bien la existencia de fraude (y, por tanto, consentimiento válido) o negligencia grave (el consentimiento no es válido pero la falta de diligencia en el modo de su prestación lo hace equiparable al consentimiento propio).
En relación a las excepciones materiales admisibles al demandado o, con más precisión, causas de liberación de responsabilidad, las únicas causas de eximen de responsabilidad civil a los proveedores de servicios vienen taxativamente recogidas por el art. 46.1 RDLPSP en cuya virtud «el ordenante quedará exento de toda responsabilidad en caso de sustracción, extravío o apropiación indebida de un instrumento de pago cuando las operaciones se hayan efectuado de forma no presencial utilizando únicamente los datos de pago impresos en el propio instrumento, siempre que no se haya producido fraude o negligencia grave por su parte en el cumplimiento de sus obligaciones de custodia del instrumento de pago y las credenciales de seguridad y haya notificado dicha circunstancia sin demora».
En sentido contrario, el citado precepto dispone que «El ordenante soportará todas las pérdidas derivadas de operaciones de pago no autorizadas si el ordenante ha incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41.»
Tal como proclama la SAP Madrid, Sección 14ª, 81/2023, de 21 de febrero (LA LEY 40886/2023)«el sistema de responsabilidad civil que cesa cuando a tenor de los establecido en el artículo 46 del texto legal referido, el cliente ha actuado fraudulentamente o con negligencia grave a la hora de aplicar los medios razonables de protección de seguridad personificados de que haya sido provisto o en el caso de que no haya comunicado a la entidad el pago no autorizado en cuanto tenga conocimiento del mismo».
VI. Concepto de negligencia grave del usuario como causa de liberación de responsabilidad de las entidades bancarias
La mayor controversia jurisprudencial en el enjuiciamiento civil de las demandas en ejercicio de la citada responsabilidad civil radica en la calificación de la negligencia grave (pendiente de perfilarse por el Alto Tribunal).
Para nosotros, igual que para un sector, por fortuna mayoritario, la negligencia grave debe producirse a iniciativa del usuario, no como consecuencia del engaño inducido por un delincuente y consiste en la falta de la más elemental diligencia, no haciendo lo que todos hacen o harían (SAP Coruña, Sección 6ª, 86/2023, de 29 de marzo). Ello conlleva a excusar al consumidor de negligencia grave al proporcionar sus credenciales personales tras una sofisticada acción estafadora de terceros, salvo casos de fraude evidente, lógico y grotesco (SAP Almería, Sección 1ª, de 31 de enero de 2023) para un usuario medio.
Así las cosas, siempre que media un delito de estafa con engaño bastante o artificio semejante que tuerza la voluntad del titular, no debería existir negligencia pues ésta presupone previamente desde el punto de vista subjetivo e intencional la existencia de una voluntad recta y no viciada por un tercero, y sin consentimiento eficaz y válido no podremos hablar nunca de causas de incumplimiento (ya sea de dolo o negligencia), según nuestro régimen general de obligaciones de los arts. 1100 y ss. CC (LA LEY 1/1889) (sino de anulabilidad).
Existe, sin embargo, otra corriente jurisprudencial que hace una interpretación amplia de la negligencia grave para integrar en su seno conductas de usuarios víctimas de estafa bancaria, lo que conduce a dejar desprotegido al usuario y hacer irrecuperable el capital estafado. Las resoluciones dictadas, sin embargo, se centran en aquellas operaciones en las que ha sido preciso superar el preceptivo doble control de autenticación (que antes no existía); así, el primero mediante la obtención de la identidad y clave de acceso a la banca online y, el segundo, frecuentemente remitiendo un SMS de confirmación al móvil del usuario para que avale la transferencia.
Es, en este punto, relativo a la remisión del SMS (en cuyos textos suele comprobarse como se está autorizando una transferencia a la cuenta de un tercero), donde la citada corriente jurisprudencial achaca una conducta negligente y grave al usuario que proporciona las claves de confirmación remitidas.
Sin perjuicio de que la implementación, como luego veremos, de un doble factor de autenticación no es suficiente para liberar de responsabilidad al proveedor de servicios de pago, no podemos olvidar el clima de tensión e incertidumbre, y muchas veces de desconocimiento en que se suelen perpetrar este tipo de estafas, con una voluntad, como repetimos, viciada desde el inicio, por lo que no compartimos la citada tesis, aunque es cierto que pueda parecer, prima facie, algo temerario facilitar claves de confirmación de transferencias y cargos a un tercero.
Por último, no podemos perder de vista que la definición de factor reforzado de autenticación del art. 3 LSP, consiste en la «la autenticación basada en la utilización de dos o más elementos categorizados como conocimiento (algo que solo conoce el usuario), posesión (algo que solo posee el usuario) e inherencia (algo que es el usuario), que son independientes —es decir, que la vulneración de uno no compromete la fiabilidad de los demás—».
La remisión de un SMS a un teléfono móvil, de cuya tarjeta SIM pueden hacerse, y se hacen, mediante su clonación, los delincuentes, para usurpar la identidad ajena, no constituye siempre un mecanismo de protección reforzada
En consecuencia, la remisión de un SMS a un teléfono móvil, de cuya tarjeta SIM pueden hacerse, y se hacen, mediante su clonación, los delincuentes, para usurpar la identidad ajena, no constituye siempre un mecanismo de protección reforzada que cumpla con las garantías antes dichas, ya que quiebra la regla de ser algo que solo posee y puede conocer al usuario.
Vamos a examinar las dos corrientes jurisprudenciales citadas con cita pasajes de las Sentencias que nos han parecido más paradigmáticas y representativas.
a) Tesis restringida de la negligencia grave:
Declara la SAP Madrid, Sección 1ª, 184/2022, de 20 de junio: «Como se indica en la Directiva 2015/2436 (LA LEY 19945/2015) la negligencia que le hace responder al cliente, es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que ha sido inducido por un delincuente profesional».
Tampoco puede calificarse como grave dicho comportamiento conforme a la normativa del código civil, pues siendo exigible al demandante la diligencia que exija la naturaleza de la obligación y correspondan a las circunstancias de las personas, tiempo y lugar (art. 1.104 del cc (LA LEY 1/1889)), el método fraudulento empleado —phishing— es de una complejidad y grado de perfección, difícilmente detectable por un cliente de las características del demandante, sin que la forma en que se denominaba al Banco en el SMS recibido o el error gramatical al emplear la palabro «lo» en lugar de «le», sean errores de entidad suficiente para detectar con base en ellos el fraude de que estaba siendo objeto. En esas circunstancias, era preciso ser un experto en la materia para poder detectar que la comunicación obedecía a una estafa o fraude».
Por otra parte, destaca la SAP Granada 212/2022, de 20 de junio (LA LEY 202852/2022), al «excusar al consumidor de la negligencia en que pueda haber incurrido por facilitar sus datos personales y claves de confirmación o firma electrónica en virtud de la acción defraudatoria de terceros».
En la misma dirección, y de manera muy gráfica, la SAP La Coruña, 86/2023 (LA LEY 76027/2023), Sección 6ª, de 29 de marzo, concluye que «la negligencia grave supone una falta de la diligencia más elemental que consiste en no hacer lo que todos hacen».
La SAP Málaga, Sección 4ª, de 30 de noviembre de 2024, proclama que «la «negligencia grave» a la que se refiere la norma debe reservarse para supuestos donde la conducta de la víctima roza lo inexcusable, como falta o retraso en la comunicación de la estafa, o casos de imitaciones burdas y groseras, o requerimientos ilógicos o absurdos para obtener las claves de la víctima conforme a su formación y conocimientos».
Por últimos, podemos traer a colación la SAP Asturias, Sección 6ª, 289/2024, de 28 de mayo (LA LEY 196200/2024), según la cual «Es obvio que la demandante incurrió en negligencia en la custodia de sus credenciales personalizadas de seguridad en el uso del servicio de Banca a Distancia, pues a la postre facilitó a tercero su identidad como usuario, la contraseña y más tarde hizo lo propio con la clave individualizada de la operación que permitió la vinculación de un nuevo dispositivo al servicio de Banca a Distancia.
Sin embargo no puede compartirse la crítica vertida en el recurso de que la conducta del usuario fue gravemente negligente, entendiendo por tal la desatención grosera de las precauciones más elementales en el uso de las credenciales de seguridad personalizadas del instrumento de pago
En este sentido, cabe destacar que la notificación sobre la necesidad de una intervención en la cuenta corriente partía de un SMS que remitía a una página Web de apariencia idéntica a aunque en realidad la usuaria había sido redirigida a una página clonada de la original de la entidad de crédito, de manera que en ese momento el demandante no tuvo motivo para sospechar que no estaba en un lugar seguro».
b) Tesis amplia de la negligencia grave:
Apunta la SAP Coruña, Sección 2ª, de 25 de enero de 2023, que la «Negligencia se agrava cuando, recibiendo un mensaje donde «Abanca Corporación Bancaria, S.A.» —esta vez sí— le notifica que se está pidiendo autorización para una transferencia de 9.132 euros, en lugar de leer el SMS con un mínimo detenimiento para así percatarse del engaño, procede a trasladar el código de verificación a su interlocutor. No es una negligencia, son tres. Y si la primera aún pudiera ser más o menos comprensible (pinchar en un enlace), la segunda ya es grave (facilitar usuario y contraseña), y la tercera es totalmente temeraria (informar de la confirmación)».
En la misma posición doctrinal, la SAP Santander, Sección 2ª, 497/2023, de 10 de octubre (LA LEY 274870/2023), razona que «Así, requerida la introducción de un código para realizar la operación, habría bastado que el actor lo hubiera leído, lo cual asume que no hizo, para, si realmente en ese momento no estaba realizando una transferencia, no introducir el código, con la operación no se habría efectuado».
Por su parte, la SAP Zaragoza, Sección 2ª, 186/2024, de 8 de mayo, declara que «Resulta, a la vista de lo expuesto, una clara contradicción entre lo sostenido en la demanda, aviso previo no probado, con la falta de autorización de un posible cargo fraudulento, al Banco, con la prueba de la actuación en las operaciones descritas del usuario correspondiente al actor, en una de ellas con el teléfono móvil de su titularidad (enrolamiento de la tarjeta de crédito al sistema de pago Google Pay), y su falta de actuación tras los mensajes de alarma remitidos por el Banco el día de la transacción, teniendo, además, en cuenta, el sistema de funcionamiento de la Banca Online y de la tarjeta, que requiere la introducción de códigos de seguridad remitidos por SMS al teléfono asociado para la ratificación de las operaciones (Códigos de verificación OTP), documento 3 de la contestación, resultando irrelevante la identificación del establecimiento en que se realizó la operación».
VII. La vía penal para reclamar la responsabilidad civil al proveedor de pago. Aplicación o no del art. 120.3 CP
Por ser concisos, nos encontramos ante el debate de subsumir la responsabilidad civil de la entidad bancaria en el supuesto de hecho contemplado por el art. 120.3 CP (LA LEY 3996/1995), que establece responsabilidad subsidiaria para las «personas naturales o jurídicas, en los casos de delitos cometidos en los establecimientos de los que sean titulares, cuando por parte de los que los dirijan o administren, o de sus dependientes o empleados, se hayan infringido los reglamentos de policía o las disposiciones de la autoridad que estén relacionados con el hecho punible cometido, de modo que este no se hubiera producido sin dicha infracción».
Dejamos excluida, a nuestro juicio, la opción de atribuir la responsabilidad civil derivada del art. 45 LSP a través del proceso penal, ya sea como hipotética responsabilidad solidaria o subsidiaria, pues una cosa es el título de responsabilidad penal y civil del estafador, por el hecho delictivo, y otro bien distinto el título de responsabilidad resarcitorio del art. 45 LSP. No puede hacerse responsable a la entidad bancaria de los actos de los estafadores, terceros ajenos con los que no mantiene ninguna relación jurídica, ni convencional ni legal (como si la tienen por ejemplo las compañías de seguros con sus aseguradores cuando responden civilmente de los daños personales y materiales causados por delitos contra la seguridad vial).
Lo cierto es que encontramos ante un terreno poco explorado por la doctrina y la jurisprudencia mejor, y quizá desconocido por los asesores o letrados de las víctimas, pero que sin embargo, según sus estrictos términos, puede proporcionar en algunos casos una vía más ágil para recuperar el capital perdido, lo que estará condicionado por la facilidad o no en encontrar al estafador y lograr su enjuiciamiento, pues de otro modo se hace más aconsejable la vía civil (en la vía penal, además, habría que esperar a la insolvencia del estafador para hacer efectiva la responsabilidad subsidiaria del proveedor de servicios de pago).
En otro orden, el concepto establecimiento del art. 120.3 CP (LA LEY 3996/1995) debe interpretarse conforme a la realidad social del tiempo correspondiente, y hacerse equiparable a establecimientos online, como la banca virtual desde la que se perpetran la mayor parte de estos delitos.
Pues bien, aunque poco explorado o tratado por la doctrina, lo cierto es que la doctrina del Tribunal Supremo admite la responsabilidad civil del art. 120.3 CP (LA LEY 3996/1995) en los casos de estafa bancaria cometida a través de los canales de la entidad.
Así, la STS, Sala 2ª, 49/2020, de 12 de febrero (LA LEY 2426/2020), proclama que «es claro que la actividad propuesta por la entidad bancaria a sus clientes mediante la operativa online presenta algunos riesgos derivados de la posibilidad de suplantación de la identidad de quien contrata con la entidad para la realización de operaciones sin la autorización del auténtico contratante. Es claro también que, excluyendo actuaciones dolosas o gravemente negligentes por parte de los clientes, la entidad bancaria es responsable de ofrecer y poner en práctica un sistema seguro, de manera que las consecuencias negativas de los fallos en el mismo no deberán ser trasladados al cliente».
Esta Sentencia nos resulta especialmente útil, pues esclarece una duda que aparece automáticamente tras la lectura del art. 120.3 CP (LA LEY 3996/1995), en el sentido de si la entidad bancaria quedaba liberada únicamente cuando demuestre que no ha infringido las disposiciones de autoridad relacionadas con el hecho punible (es decir, las medidas proactivas para evitar la suplantación de identidad del phishing, que siempre resultarán incumplidas si se ha consumado la estafa), o si también entra en juego, como confirma la Sentencia transcrita, la negligencia grave u otras causas exculpatorias, como el dolo, en los términos apuntados por la doctrina citada.
VIII. Prejudicialidad penal en el proceso civil de responsabilidad contra el proveedor de servicio de pago por la denuncia del usuario
Los requisitos (cumulativos y sucesivos), para apreciar en un proceso civil prejudicialidad penal, vienen sintetizados por el art. 40.2 LEC (LA LEY 58/2000) en los términos siguientes:
«2. En el caso a que se refiere el apartado anterior, no se ordenará la suspensión de las actuaciones del proceso civil sino cuando concurran las siguientes circunstancias:
1.ª Que se acredite la existencia de causa criminal en la que se estén investigando, como hechos de apariencia delictiva, alguno o algunos de los que fundamenten las pretensiones de las partes en el proceso civil.
2.ª Que la decisión del tribunal penal acerca del hecho por el que se procede en causa criminal pueda tener influencia decisiva en la resolución sobre el asunto civil.
3. La suspensión a que se refiere el apartado anterior se acordará, mediante auto, una vez que el proceso esté pendiente sólo de sentencia».
No vamos a desarrollar, por notoria, la reiterada doctrina del Tribunal Supremo y Constitucional sobre la prejudicialidad penal y su finalidad, destacando únicamente que se trata de una figura de aplicación cuando la decisión del objeto principal del procedimiento civil esté condicionada de forma decisiva por la investigación y enjuiciamiento de un hecho delictivo; figura de aplicación restrictiva y que corresponde a la parte que la alega la carga de acreditar su existencia.
En relación a su carácter restrictivo, la STS de 30 mayo 2007 declara que «el artículo 362 de la Ley de Enjuiciamiento Civil (LA LEY 58/2000) establece una norma de prejudicialidad penal, que es siempre devolutiva (art. 10.2 LOPJ (LA LEY 1694/1985)), aparte de ser de interpretación restrictiva (STS 11.6.1992 (LA LEY 14787-R/1992))».
Asimismo, sobre su fundamento y naturaleza, los AATS de 24 de noviembre de 1998 y 10 de mayo de 1985 (LA LEY 11055/1985), así como las SSTS 11 de junio de 1992 (LA LEY 14787-R/1992) y 7 de julio de 1995, la prejudicialidad civil «exige que la sentencia civil haya de fundarse exclusivamente en el supuesto de existencia de un delito».
Tal como ilustra la STS, de 3 de febrero de 2016, Sala de lo Civil del Tribunal Supremo, «esta Sala se ha pronunciado en ocasiones anteriores sobre el tratamiento que ha de darse a la prejudicialidad penal en el proceso civil. En la sentencia 596/2007, de 30 de mayo, la sala declaró, aplicando la anterior Ley de Enjuiciamiento Civil (LA LEY 58/2000) pero en términos que, en lo que aquí interesa, siguen siendo válidos con la actual regulación, que «[…] cuando se pretende obtener la suspensión [por prejudicialidad penal], para que pueda prosperar es preciso razonar de qué forma el pronunciamiento penal podrá condicionar la decisión del proceso civil (A. 24 nov. 1998), pues sólo obliga a suspender la «exclusividad» expresada, y no la valoración penal que puedan tener algunos de los elementos de convicción traídos al proceso civil (S. 10 mayo 1985 )» (énfasis añadido).»
Pues bien, la eventual prejudicialidad penal del proceso penal por delito de estafa informática en el proceso civil de responsabilidad del art. 45 LSP (motivo de invocación frecuente por las entidades bancarias), es rechaza por la doctrina jurisprudencial menor mayoritaria.
En este sentido, y aunque referida a la legislación precedente, se pronuncia la SAP Barcelona, Sección 14ª, 151/2013, de 7 de marzo (LA LEY 49293/2013), declara que «En cuanto dicha causa de desestimación de la demanda debe rechazarse, pues la actora ante el hecho de disposiciones por terceros en su cuenta on line con Caixa de Catalunya lo denuncia ante los Mossos d’Esquadra, y, se instruyen unas Diligencias Previas, cuyo resultado de las mismas se ignora; lo cual no impide que ejercite aquí demanda de responsabilidad contractual frente a la entidad crediticia con quién contrató dicho servicio de banca on line».
A mayor abundamiento, la SAP Castellón, Sección 3ª, 493/2013 (LA LEY 252287/2013), de 13 de diciembre, razona que «Es necesario por tanto que se trate de un supuesto en el que la decisión del tribunal penal pueda tener una influencia decisiva en la resolución sobre el asunto civil, lo que aquí no entendemos concurrente en atención a cual es la acción ejercitada , que aquí tiene su fundamento en el artículo 31 de la Ley 16/2009, de 13 de noviembre (LA LEY 20029/2009) de servicios de pago, y que afecta a las relaciones existentes, entre la entidad bancaria y su cliente, sin perjuicio de que si de la investigación penal resulte determinada la responsabilidad criminal de un tercero pueda la entidad bancaria en su caso exigir también al mismo las correspondientes responsabilidades civiles».
Cabe citar también, por su carácter ilustrativo, la SAP Pontevedra, Sección 3ª, 177/2023, de 23 de marzo (LA LEY 85740/2023), cuya fundamentación propugna que la respuesta a la prejudicidad penal debe ser negativa «toda vez que el oficio aportado a autos, aun relacionando la tramitación de unas Diligencias Previas de Procedimiento Abreviado N.o 914/21 relativas a un posible Delito de Estafa (todos los supuestos), no resulta suficiente para acreditar que los hechos allí perseguidos e investigados hayan de tener incidencia en los que aquí son objeto de enjuiciamiento y que, por ello, hayan tener influencia decisiva en el resultado de la cuestión aquí debatida y apelada…no se ve mediatizado, sujeto ni interferido por la instrucción de la causa penal esgrimida porque en ella el bien jurídico protegido alcanza y trasciende a la protección del patrimonio de las víctimas, abarcando la necesidad de proteger también la seguridad del tráfico financiero y mercantil que facilitan las nuevas tecnologías lo que dista bastante de la responsabilidad y actuaciones que vienen a sostener esta pretensión».
Para nosotros, sin embargo, la valoración de la prejudicialidad penal en esta sede no es siempre tan rotunda y meridiana, ya que parece evidente la existencia de dicha prejudicialidad si la jurisdicción penal concluye con un pronunciamiento absolutorio por declaración de inexistencia de acto de disposición (cuestión distinta es que absuelva por ausencia de dolo o falta de prueba) o por fraude del consumidor.
El posible fraude del consumidor, que constituye causa de liberación patrimonial en el proceso civil, tiene más vías de acreditación en el proceso penal, dado el amplio margen de investigación de que goza de oficio el juez instructor, y bien puede ocurrir que se acredite tal fraude, extremo que de forma indudable tendría influencia decisiva en el proceso civil.
Los elementos de la estafa informática y de la responsabilidad civil del art. 45 LSP tienen rasgos en común: acto de disposición no autorizado y perjuicio para el titular de los fondos. Luego el proceso penal sí que puede afectar a elementos cruciales de la responsabilidad civil de la entidad financiera.
En cualquier caso, en la mayoría de supuestos de hecho, la prejudicialidad no tiene ese carácter tan decisivo exigido por la doctrina del Alto Tribunal Supremo y una eventual suspensión tendría un efecto nocivo para la protección del consumidor.
IX. La problemática particular del fraude del hombre en el medio (man in the middle): pago liberatorio a tercero de buena fe y responsabilidad del proveedor de pago ordenante y beneficiario
A través del fraude del hombre en el medio, que afecta a pequeñas, medianas y grandes empresas y a entidad públicas, el atacante intercepta las comunicaciones habituales entre dos contratantes para alterar el contenido de éstas, para suprimirlas o modificarlas a su antojo y lograr en muchos casos cambiar los datos de pago e identificador único del acreedor en las facturas emitidas y desviar así los fondos a su cuenta particular.
La mecánica habitual de la estafa aparece perfectamente detallada por la SAP Salamanca, 719/2022 (LA LEY 292752/2022), Sección 1ª, de 4 de noviembre, según la cual «El mismo día 19 de mayo de 2020, a las 19,56 horas, un hacker/tercero no identificado, que previamente había manipulado la cuenta de correo electrónico de la entidad actora que se encuentra alojada en un servidor de una tercera empresa, Axarnet, contratada por Agrocosat, utilizando la técnica denominada «Man in the Middle» (hombre en el medio), suplantó la cuenta de correo de Agrocosat, remitiendo desde la cuenta suplantada a la demandada un correo electrónico simulado, en el que adjuntando la misma factura que previamente se le había remitido en los previos correos, le solicitaba que hiciera el pago a los datos bancarios de una cuenta de la entidad EVO, indicándole que «Además, Por favor envíeme un Justificante de pago bancario una vez que se haya completado el pago. Apreciaré mucho su rápida respuesta a este correo electrónico. Gracias. Un saludo» (doc. 10 de la demanda y doc. 4 de la contestación)».
En primer lugar, para determinar si el pago hecho al tercero fruto de la estafa liberada o no de responsabilidad al deudor para con el acreedor suplantado, debe tenerse en cuenta que, de conformidad con el art. 1157 CC (LA LEY 1/1889), el pago debe hacerse al titular o a un tercero autorizado (lo que no concurre en el caso que nos ocupa), o a un tercero si redunda en provecho del acreedor ex art. 1163 CC (LA LEY 1/1889) (lo que tampoco tiene lugar en el supuesto del hombre en el medio).
Desechadas tales opciones, el único resquicio legal para el estafado radica en la invocación del art. 1164 CC (LA LEY 1/1889) que libera al deudor de su obligación mediante el pago de buena fe hecho a quien estuviere en posesión del crédito.
Para admitir la exención de responsabilidad una reiterada doctrina del Tribunal Supremo, contenida, por todas, en STS de 17 de octubre de 1998, requiere «que quien se presenta y actúa como acreedor lo haga con una apariencia adecuada, razonable, objetivamente verosímil, revestido de unas circunstancias que, con independencia de móviles subjetivos del que pagó, de su simple error o creencia, sirvan de justificante a su buena fe al pagar a persona distinta del acreedor, porque aquí no se presume la buena fe, cual ocurre en términos generales y ha de probarla en cada caso concreto aquel que paga a persona distinta de quien es titular del crédito y a cuyo favor estuviese constituida la obligación; sólo la razonabilidad de la legitimación aparente justifica la liberación del deudor».
En consecuencia, habrá que estar a las circunstancias del caso, para concluir si el estafado hizo el pago o no de buena fe y poder quedar así liberado de responsabilidad frente al acreedor verdadero suplantado.
En relación a la responsabilidad del ordenante, el art. 59.2 LSP establece que « Si el identificador único facilitado por el usuario de servicios de pago es incorrecto, el proveedor no será responsable, con arreglo al artículo 60, de la no ejecución o de la ejecución defectuosa de la operación de pago».
Tal como propugna la Sentencia antes indicada «si el pago se efectúa (aunque sea defectuosamente por serlo a otra persona que aquella a quien se quería pagar según se nombraba en la orden), a la cuenta a que responde el IBAN dado, el banco que ingresa el dinero en la cuenta no es responsable pues atiende al IBAN que se le ha suministrado y ello elimina su responsabilidad aun si se le ha dado incorrectamente en relación a los términos que se quería de la operación».
Por último, respecto a una eventual responsabilidad del proveedor de servicios de pago del beneficiario, que procesa y entrega una transferencia a la cuenta de un titular que no se corresponde con el beneficiario de la operación, entendemos que este hecho no es causa, por sí mismo, de negligencia ni fundamento de responsabilidad extracontractual para con el usuario estafado (que no tiene relación contractual con la entidad de destino), ya que el beneficiario de una operación no tiene necesariamente que ser el titular de la cuenta (pueda ordenarse un pago a favor de X en la cuenta de Y), y exigir dicha carga al proveedor de destino parece exorbitante.
Ahora bien, una vez detectado el error y el fraude, la falta de cooperación de la entidad de destino en el bloqueo de la operación, sí que puede ser causa de responsabilidad extracontractual. Así lo recoge de forma especialmente ilustrativa la SAP Madrid, Sección 10ª, 454/2022, de 20 de septiembre (LA LEY 251941/2022), en aplicación, entre otros, del art. 59 LPS, a tenor del cual «el proveedor de servicios de pago del beneficiario cooperará en estos esfuerzos también comunicando al proveedor de servicios de pago del ordenante toda la información pertinente para el cobro de los fondos».
X. Cumplimiento de las obligaciones del art. 44 LSP, y factor de doble autenticación: causas insuficientes de liberación de responsabilidad
Resulta irrelevante, por otra parte, que el proveedor de servicios de pago cumpla con buena parte de las exigencias fijadas por el art. 44.1 RDLSP para acreditar la autenticidad de la operación, particularmente, cuando el proveedor demuestre que «la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico», ya que el tenor literal del citado precepto, exige, igualmente, acreditar que la operación no se vio afectada una «deficiencia del servicio», incluyéndose, dentro del concepto de deficiencia, las fugas informáticas del sistema, argucias digitales o técnicas de ingeniería social con posterior suplantación de identidad empleadas por los malhechores para perpetrar la operación de pago a través de los canales facilitados por el proveedor de servicios.
Además, aún en el hipotético caso de no compartir esa noción de «deficiencia del servicio», la acreditación de la autenticidad de la orden de pago con los parámetros del art. 44.1 RDLSP, sólo constituye la frontera inicial que debe superar la entidad bancaria en el tránsito jurídico hacia su exoneración de responsabilidad. La culminación definitiva de ese recorrido liberatorio sólo se logra mediante la prueba del fraude o negligencia grave del usuario, que constituiría el pórtico final para el acceso a la liberación patrimonial.
Según las definiciones contenidas en el art. 3 RDLSP, la autorización reforzada de cliente es aquella «basada en la utilización de dos o más elementos categorizados como conocimiento (algo que solo conoce el usuario), posesión (algo que solo posee el usuario) e inherencia (algo que es el usuario), que son independientes —es decir, que la vulneración de uno no compromete la fiabilidad de los demás—, y concebida de manera que se proteja la confidencialidad de los datos de identificación».
Declara, sobre el particular, la SAP Coruña, Sección 3ª, 364/2023, de 5 de octubre que «defiende el recurso de apelación que en este caso el certificado REDYS acredita que la compra se llevó a cabo a través del doble sistema de autenticación, planteando que ello demuestra que la operación fue real y se ejecutó con el doble filtro de autenticación del cliente. No obstante, ello no verifica la identidad real del usuario ordenante, es decir, se certifica la remisión de un SMS para activar esa validación, pero no identifica el número de teléfono móvil al que se remitió tal comunicación, no existiendo prueba alguna, en definitiva, demostrativa de la activación de la compra por la parte demandante».
Asimismo, en idéntica dirección, sostiene la SAP Navarra núm. 223/2023, de 9 de marzo (LA LEY 163989/2023) que «no resulta suficiente, por sí solo, haber completado los mecanismos reforzados de autenticación establecidos por la entidad, debido a que si no se han implementado otros sistemas para restringir sólo al usuario el acceso al canal de banca electrónica que autentifica, no puede descansar automáticamente toda la responsabilidad en dicho usuario».
Como colofón, y acudiendo a la extraordinariamente lúcida y exhaustiva SAP Ourense, Sección 1ª, 369/2023, de 9 de junio (LA LEY 199678/2023), «Ahora bien, no puede afirmarse que la aplicación de este sistema de autenticación implique por sí misma la exclusión de responsabilidad de la entidad bancaria, sino que, como se ha visto, ésta únicamente se producirá en caso de fraude o negligencia grave del usuario del servicio de pago. Está obligación de autenticación, impuesta a las entidades bancarias con el objetivo de reducir el riesgo de fraude, no agota su responsabilidad en el ámbito civil».
XI. Las cláusulas contractuales de exoneración de responsabilidad: admisibilidad y nulidad
A tenor del art. 34.1 LPS «Cuando el usuario de servicios de pago no sea un consumidor ni una microempresa, las partes podrán convenir que no se apliquen, total o parcialmente, los artículos 35.1, 36.3, 44, 46, 48, 52, 60 y 61 del presente título».
La conclusión parece clara: sólo son admisibles las cláusulas que dejen sin efecto el régimen de responsabilidad civil cuasiobjetiva cuando el usuario del sistema de pago sea una empresa que reúna el carácter de microempresa (las microempresas son aquellas que tienen menos de 10 trabajadores según el Reglamento 651/2014).
Sólo son admisibles las cláusulas que dejen sin efecto el régimen de responsabilidad civil cuasiobjetiva cuando el usuario del sistema de pago sea una empresa que reúna el carácter de microempresa
En realidad, el precepto transcrito no elimina el deber de restituir el capital fruto de un acto no autorizado impuesto por el art. 45 LSP, que es inderogable y norma de derecho necesario, sino que permita modular sus requisitos, pudiéndose suprimir la regla de la inversión de la carga de la prueba del art. 44.3 LPS o el sistema tasado de causas de liberación de responsabilidad, lo que permitiría imputar toda pérdida al usuario siempre y cuando el banco hubiera cumplido, por ejemplo, con el factor de doble autenticación.
Por tanto, de fijarse una cláusula limitativa de derechos con consumidores la consecuencia de su incorporación será su nulidad radical. Como propugna la SAP Teruel, Sección 1ª, 74/2023, de 30 de junio (LA LEY 288890/2023), «Respecto a la cláusula 8ª de exoneración de responsabilidad, la misma no puede ser válida al contradecir lo señalado en la normativa específica y de carácter imperativo sobre la responsabilidad del proveedor de servicios de pago, que concreta las causas de exoneración de la misma, entre las que no se encuentra ninguna del tenor de la invocada por la recurrente, debiendo señalarse que de conformidad con el artículo 34 de la LSP, las normas precitadas son irrenunciables para los consumidores y las microempresas».
Toda vez que esta materia se encuentra brillantemente condensada y tratada por FERNÁNDEZ ESCUDERO, nos remitimos a su artículo en aras de la brevedad (1) .
XII. Supuestos de hecho incluibles en el concepto de operaciones no autorizadas susceptibles de responsabilidad civil del art. 45 LSP
Abordamos una dimensión del régimen de responsabilidad civil estudiado que siempre despierta interés y suscita controversia, a partes iguales, en los foros y espacios de debate que se vienen generando hace tiempo en torno a dicha materia.
Es necesario fijar con claridad las operaciones no autorizadas que pueden tener cabida en la facultad resarcitoria del art. 45 LSP pues el concepto de falta de autorización o autorización viciada de una orden de pago abarca un elenco muy amplio y diverso de escenarios.
Para ser gráficos con una serie de ejemplos: ¿El supuesto del hombre en el medio sería subsumible en el concepto de operación no autorizada? ¿y el pago hecho a través de una empresa cuya web se ha suplantado? ¿el robo y uso de una tarjeta en un cajero?
La clave para dirimir la controversia radica, a nuestro juicio, en establecer la responsabilidad de los proveedores de servicios de pago siempre que el instrumento de pago suplantado, manipulado o sustraído, y la orden posterior de pago, se haya realizado a través de los canales de pago del proveedor de servicios de pago mediante una manipulación directa de la orden de pago (con un troyano o malware) u obteniendo los datos personales del usuario mediante algún artificio (o directamente mediante la violencia).
Es decir, se trata de determinar si la operativa de la orden de pago, en sí misma, y al margen de los hechos previos, responde a la voluntad real y no viciada del usuario, y no a un previo montaje, usurpación de identidad del proveedor de pago o hecho delictivo.
A contrario sensu, no puede hacerse responsable al proveedor de servicios de pago de una estafa cometida fuera de sus canales de pago en masa, como es el caso del hombre en el medio, en que el delito se perpetra mediante el intercambio de comunicaciones entre el afectado y el usurpador de identidad. Es verdad que luego se realiza una orden de pago a través del proveedor de servicios de pago, pero no existe ningún artificio ni manipulación ni sustracción de las claves de acceso ni ninguna suplantación de la identidad del proveedor de pago, sino que el engaño es previo a la operativa bancaria, que en este caso funciona con total normalidad sin alteraciones externas.
La obra maestra de la injusticia es parecer justo sin serlo. Platón.