Es una realidad que los avances tecnológicos han posibilitado reducir costes y evitar la presencialidad física de las operaciones, lo que ha abierto una grieta al fraude. La regulación de los servicios de pago profesionalizados se abordó en el Real Decreto Ley 19/2018, de 23 de noviembre (LA LEY 18608/2018), cobrando especial transcendencia y relevancia las ejecuciones de pago, por medio de transferencias, y las medidas que deben implementarse para que las operaciones se realicen con seguridad sin perder eficacia. De su cumplimiento se liberarán responsabilidades por fraude y de su defectuosa ejecución o incumplimiento nacerá el deber de indemnizar del proveedor de servicios que ejecutó de manera incorrecta la orden o inaplicó las medidas de seguridad.
La norma legislativa traslada sobre la entidad la carga de la prueba de que el usuario, ante quebrantos, cometió fraude o negligencia grave, obligando a la entidad a conservar la documentación y registros que le permitan acreditar el cumplimiento de las obligaciones. Documentación que la entidad proveedora de servicios deberá tener a disposición de su cliente, al menos, durante seis años. Y se añade, no obstante, que el proveedor de servicios de pago conservará la documentación relativa al nacimiento, modificación y extinción de la relación jurídica que le une con cada usuario de servicios de pago al menos durante el período en que, a tenor de las normas sobre prescripción, puedan resultarles conveniente para promover el ejercicio de sus derechos contractuales o sea posible que les llegue a ser exigido el cumplimiento de sus obligaciones contractuales. Todo ello sin perjuicio de las normas sobre de prevención del blanqueo de capitales y de la financiación del terrorismo, así como otras disposiciones nacionales o de la Unión Europea aplicables.
A los usuarios se les imponen obligaciones en protección y evitación del fraude, en relación a los instrumentos de pago y las credenciales que deberá custodiar con medidas razonables de seguridad
Igualmente, a los usuarios se les imponen obligaciones en protección y evitación del fraude, en relación a los instrumentos de pago y las credenciales que deberá custodiar con medidas razonables de seguridad y, por otro lado, en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, lo deberá notificar al proveedor de servicios de pago o a la entidad que éste designe, sin demora indebida en cuanto tenga conocimiento de ello. Sobre dicha base normativa se deberá analizar la responsabilidad de la entidad de crédito que ejecutó el pago indebido o fraudulento y, en caso de incumplimiento o defectuosa ejecución, deberá reponer la cantidad apropiada indebidamente al usuario, sin perjuicio de las acciones que les puedan corresponder frente al responsable del hecho.
Los criterios que nuestros Audiencias Provinciales han venido aplicando parten y toman como base de la buena praxis la normativa citada. En este sentido, destacamos la SAP Sevilla, sec. 5ª nº319/2014, de 16 de mayo, que desestima la demanda formulada contra BARCLAYS BANK por entender que la cliente actuó con grave negligencia al utilizar la banca electrónica sin atenerse a las condiciones que regulaban su uso y sin adoptar las medidas razonables para protegerla. Se trata de un supuesto en el que la usuaria llevaba ocho años utilizando la banca electrónica de dicha entidad y en la misma se advertía a los clientes de las normas de seguridad a seguir y de la posibilidad de sufrir los ataques de phishing, además de aparecer siempre un aviso importante en la página de inicio que contenía el mensaje de: «Barclays nunca le pedirá más de una coordenada de seguridad, ni por correo ni en la web». Por ello, concluye la Sentencia que, al haber introducido la cliente las claves de su tarjeta de coordenadas ante una ventana emergente a pesar de los numerosos avisos y medidas de seguridad, y ello unido a los años que llevaban operando con la misma banca, incurrió en una negligencia lo suficientemente grave al incumplir con las obligaciones que le impone el art. 41 LSP, exonerando a la entidad bancaria. Y con igual criterio, la SAP Valencia, sec. 7ª, nº43/2013, de 31 de enero, considera que el cliente incurrió en negligencia grave al haber recibido un correo electrónico con un enlace por medio del cual facilitó sus claves, a pesar de que en la página web del banco se hacía la expresa advertencia de que no se facilitasen claves o información financiera a través de correos electrónicos o llamadas telefónicas, incluso de no acceder a enlaces incorporados en e-mails. Además, desde 2005 en la página web de la entidad bancaria aparecía un aviso de seguridad con el mensaje expreso de que el banco nunca solicitaría en correo electrónico ni claves consultivas ni claves ejecutivas de firma. Y así, la sentencia exonera de responsabilidad a la entidad bancaria por una «apreciación de negligencia en el actor por el uso del sistema al haber omitido elementales medidas de seguridad de las que estaba expresamente advertido como cualquier usuario del sistema online de la entidad demandada».
La SAP Pontevedra nº623/2022, de 1 de diciembre, estima la demanda y argumenta que «la negligencia que hace responder al cliente es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional. Como parámetro del actuar negligente también cabrá acudir al art. 1.104 CC (LA LEY 1/1889)), que exige la diligencia asociada a la naturaleza de la obligación y a las circunstancias personales, de tiempo y lugar. Ello destacándose la complejidad y grado de perfección que presenta en la actualidad el método de "phishing" de difícil detección por persona de formación media, así como el deber de la proveedora del servicio de dotarse de tecnología suficiente y adecuada con exigencia de medidas implantadoras activas, sin entenderse suficientes avisos generales o en página web de mero carácter informativo o divulgativo».
Como vemos, el patrón de medida del art.1104 CC (LA LEY 1/1889) va a resultar determinante en el juicio de valor de la responsabilidad por ambas partes: la del usuario en cuanto a sus obligaciones en protección y comunicación, y la del proveedor de servicios en el grado no solo de cumplimiento de la información meramente divulgativa sino mediante el cumplimiento de una conducta activa que le es exigible. Criterio que aplica la SAP de Madrid, Sec. 20ª, de 20 de mayo de 2022 (LA LEY 167264/2022) al determinar que: «la responsabilidad exigida a la entidad demandada, como proveedora del servicio, es la que se deriva de la naturaleza de tal prestación y de la posición contractual en la que se encuentran las partes, lo que le obliga a adoptar una serie de medidas de seguridad y dotarse de mecanismos de supervisión que permitieran detectar operaciones fraudulentas en la prestación de servicios de pago, tal como señala el artículo 2 del Reglamento Delegado 2018/389, … incluyendo la técnica del phishing, el deber de diligencia de la entidad demandada exigía dotarse de la tecnología antiphishing precisa para detectar las páginas clonadas de las oficiales propias y cerrarlas o eliminarlas. Dicha actuación diligente no puede considerarse acreditada por la información que se facilita a los clientes a través de su página web, en cuanto la efectividad de esas obligaciones preventivas, lo que requerían era implementar en el sistema informático el mecanismo tecnológico adecuado para evitarlo; es decir mediante una con una conducta activa y no simplemente informativa o divulgativa».
Desenvolviéndonos en el ámbito de la responsabilidad civil contractual es conveniente no perder de vista la regla cuius commoda, eius incommoda (quien obtiene una ventaja debe padecer los inconvenientes). Así se reconoce en la STS núm. 141/2021, de 15 de marzo (LA LEY 7840/2021), que respecto de las actividades peligrosas pero socialmente útiles aplica dichas reglas ante la desigualdad de posiciones que sería extrapolable a los supuestos de responsabilidad que analizamos «…Esa desigualdad, en las posiciones de ambas partes, se pone fácilmente de manifiesto por la circunstancia de que mientras los terceros soportan la amenaza eventual de sufrir daños significativos, con la única ventaja de obtener a cambio, en el mejor de los casos, un beneficio meramente difuso, el titular de la actividad, por el contrario, se beneficia de las ganancias generadas de su explotación en su particular provecho. […]De esta manera, se han utilizado las fórmulas latinas ubi emolumentum, ibi onus (donde está la ganancia está la carga) o cuius commoda, eius incommoda».
Consideramos, y con ello concluimos, que siendo incuestionable que los servicios de pago digitales desplazan a otros medios que se irán imponiendo hasta quedar como exclusivos y que ello ha propiciado un incremento de nuevos delitos caracterizado sobre la base, nervio y sustancia del engaño que constituye la estafa, si bien con nuevas técnicas de ingeniería tecnológica para el fraude y uso de programas informáticos maliciosos y de imposible o difícil control para ser detectados por los usuarios y siendo como son los principales beneficiarios del uso de estos sistemas de pago los proveedores. Y ello en tanto que de estos medios son los que obtienen el beneficio económico y que obligan al usuario a su adaptación por las restricciones legales del uso de dinero metálico. Con todo, deberá avanzarse hacia una responsabilidad objetiva de las entidades de crédito, proveedores de dichos servicios, con la única excepción de la prueba a su cargo del proceder fraudulento, desidioso o gravemente imprudente por parte del usuario.