I. Introducción
La dependencia tecnológica actual de las empresas ha provocado un aumento y sofisticación de los delitos cometidos a través de las nuevas tecnologías.
La tipología es muy variada. Entre los ataques más habituales se encuentran el ramsonware, phising, pharming, estafa al CEO, y el fraude man in the middle, modalidades todas ellas del delito de estafa.
Todas estas amenazas poseen un común denominador y es que utilizan técnicas de ingeniería social (1) —o, en otras palabras, de engaño a la víctima— como puerta de entrada a los sistemas de terceros, en buena prueba de que, aunque el mundo virtual es ahora el entorno delictivo preponderante, el error humano sigue siendo clave para el éxito o el fracaso de estas nuevas modalidades delictivas.
De entre todas ellas, nos centraremos en la menos conocida pero que, sin embargo, goza de una mayor facilidad comisiva: el fraude «man in the middle» (en español, «fraude del intermediario» o «hombre del medio»).
Esta nueva tipología delictiva plantea diversos interrogantes, tanto desde un punto de vista penal —relacionados con la viabilidad de interponer denuncia o querella contra el ciberdelincuente habida cuenta del tiempo transcurrido desde la comisión del delito de estafa hasta su descubrimiento—, como desde la perspectiva civil —a la hora de dilucidar qué parte contractual debe asumir la pérdida patrimonial producida por el fraude (es decir, si el deudor queda liberado del pago, o si debe volver a realizarlo al acreedor real)—.
¿Son compatibles ambas acciones, penal y civil? ¿Cuál sería aconsejable interponer primero? ¿En qué casos? ¿Puede quedar liberado del pago el deudor que ha sido víctima del fraude, o debe realizar un nuevo pago al acreedor real?
Este artículo pretende dar respuesta a todas estas preguntas para tratar de obtener, de un modo u otro y con las mayores garantías, la devolución de la cantidad sustraída, realizando un exhaustivo análisis de la jurisprudencia de nuestros Juzgados y Tribunales en ambos órdenes.
II. El fraude «Man in the Middle» (MITM)
El fraude «man in the middle» consiste en el acceso no autorizado al correo electrónico de un tercero con el fin de comprometer sus comunicaciones.
Una vez que el ciberdelincuente logra acceder al correo el electrónico de su víctima (normalmente, mediante técnicas de engaño), intercepta y monitoriza sus comunicaciones con otras personas —de forma silente y durante un tiempo prudencial—, poniendo el foco en aquellas en las que se hace específica mención al pago de algún importe pendiente como consecuencia de la prestación de un determinado servicio o compra de un producto.
Cuando el vendedor o prestador del servicio remite por correo electrónico al adquirente la factura o albarán en archivo adjunto por la prestación del servicio o compra del producto en cuestión, el ciberdelincuente accede al citado archivo sustituyendo en apenas unos segundos el número de cuenta de abono por otro en su favor (y, en ocasiones, también el valor de la compraventa (2) ), respetando el resto del formato original de la factura o albarán a fin de que dicha alteración numérica resulte imperceptible a los ojos del adquirente-pagador, induciéndole a error sobre su autenticidad.
En otras ocasiones, el ciberdelincuente es el que envía directamente emails, haciéndose pasar por el vendedor o prestador del servicio acreedor, dando instrucciones al adquirente deudor para proceder al abono del importe o informando de una modificación de la cuenta bancaria ya facilitada por el acreedor. A estos emails a veces le acompañan emails posteriores instando premura en el pago.
El perjuicio para ambas partes es evidente. El deudor acaba realizando la transferencia en un número de cuenta erróneo en la creencia de que está abonando el importe convenido a su legítimo acreedor y éste jamás ve abonada la prestación de su servicio y/o la venta de su producto.
La persecución y castigo de esta tipología de fraude no está exenta de dificultades, puesto que la detección del delito no es instantánea
La persecución y castigo de esta tipología de fraude no está exenta de dificultades, puesto que la detección del delito no es instantánea. Únicamente transcurridos varios días, cuando el vendedor acreedor sigue sin recibir en su cuenta bancaria la prestación económica convenida, contacta con el comprador deudor, quien le confirma la realización del pago días atrás. Es en ese momento cuando ambas partes detectan —como decimos, tardíamente— que han sido víctimas de esta modalidad de fraude, con el botín ya en manos del ciberdelincuente, quien lo ha puesto a salvo en terceros países, lejos del control de las autoridades judiciales o policiales españolas.
III. Fases
Esta tipología delictiva cuenta con tres fases nítidamente diferenciadas: 1) el acceso fraudulento e interceptación del correo electrónico de un tercero; 2) la usurpación y monitorización de sus comunicaciones; y 3) el desvío patrimonial no consentido a una cuenta de titularidad del ciberdelicuente o de alguno de sus colaboradores.
1. Acceso fraudulento e interceptación del correo electrónico de un tercero
Los vectores de entrada más comunes para el acceso fraudulento al correo electrónico de un tercero —al margen de los derivados de la conexión a redes wi-fi públicas y abiertas (aeropuertos, librerías, establecimientos públicos, etc.) y por carecer de la debida actualización del software y soluciones de seguridad como antivirus y firewalls— son los siguientes:
- a) Por un lado, a través del envío masivo de correos (mailing), normalmente desde una IP localizada en el extranjero, con un enlace malicioso o un archivo infectado, de manera que, una vez clicado el enlace o descargado el archivo, se instala un virus (malware) en el servidor de la víctima, que permite al ciberdelincuente monitorizar sus comunicaciones; o,
- b) Por otro, mediante ese mismo envío indiscriminado de correos, pero aparentando que el remitente es un organismo, entidad o empresa de confianza que, bajo distintos pretextos (por motivos de seguridad, mantenimiento, mejora en el servicio, confirmación de identidad, etc.), apremia al receptor a actualizar los datos personales de su cuenta de correo, los cuales son introducidos en la página falsa creada por los ciberdelincuentes.
El correo imita exactamente el diseño (logotipo, firma, etc.) utilizado por la compañía para comunicarse con sus clientes (3) y, la página a la que se le redirecciona es idéntica a la legítima de la entidad —algo sencillo copiando el código fuente (HTML)— y su dirección web (URL) es parecida e, incluso, puede ser la misma —gracias a un fallo de algunos navegadores o realizando otras técnicas cibernéticas como «Holografh attack» (utilización de caracteres de otro idioma), «IDN Spoofing» (cambio de servidor de dominios), etc (4) —.
En esta segunda modalidad, si se da la circunstancia de que el usuario es cliente de esa entidad y además dispone de acceso on-line, es relativamente frecuente que caiga en el engaño.
Mediante la captación ilegal de las claves o credenciales de acceso de las víctimas a través de alguno de estos dos sistemas, el ciberdelincuente logra acceder a las comunicaciones existentes entre dos o más partes en el marco de sus relaciones comerciales, adquiriendo la capacidad de leer, insertar y modificar a voluntad los mensajes o correos electrónicos que se cruzan sin que ninguna de ellas conozca o se percate de que sus comunicaciones han sido interceptadas (5) .
2. Usurpación y monitorización de las comunicaciones
En el momento en que el vendedor acreedor envía por correo al adquirente deudor la factura en la que consta la entidad bancaria, número de cuenta e importe que debe satisfacer, el ciberdelincuente —que detecta inmediatamente las conversaciones relacionadas con pagos (6) a través de reglas de filtrado que incluyen palabras como «IBAN», «factura», «albarán» o similares— envía al adquirente deudor el mismo archivo adjunto sustituyendo el banco y número de cuenta en que se ha de efectuar dicho pago (7) , cuyo titular y beneficiario no es otro que el propio ciberdelincuente y/o alguna de sus personas interpuestas conocedoras del fraude.
De esta manera, el ciberdelincuente altera la cuenta bancaria en la que se debe realizar la transferencia, consiguiendo que se efectúe en otra aperturada «ad hoc» por él mismo (8) o, en su caso, por el «ciber mulero» (9) (colaborador o intermediario que recibe el pago y que lo reenvía al ciberdelincuente tras retener la comisión pactada (10) ), normalmente con inmediata anterioridad a su recepción, produciéndose en este momento el desapoderamiento patrimonial (11) .
Además de la modificación de la factura, como hemos explicado más arriba, el ciberdelincuente puede remitir emails facilitando instrucciones manipuladas para el pago, o informando de una modificación de la cuenta bancaria ya facilitada por el acreedor.
En resumen, ¿el cibercriminal es capaz de interceptar el mail nada más ser emitido por el vendedor acreedor?, bien en el servidor de correo saliente de este último, o bien justo antes de ser recibido y depositado en el buzón del servidor de correo entrante del adquirente deudor, monitorizando el intercambio de correos entre las partes durante el proceso de contratación y facturación electrónica.
3. Desvío patrimonial fraudulento a una cuenta de titularidad del ciberdelicuente o de alguno de sus colaboradores
Consecuencia de la anterior alteración, el ciberdelincuente induce a engaño a al comprador deudor, quien realiza el pago en otra cuenta corriente distinta a la inicialmente convenida, provocando con ello un desplazamiento patrimonial injusto en su beneficio y en correlativo perjuicio para las partes contratantes (12) .
Como se ha dicho, puede ocurrir que una vez percibidos dichos ingresos en la cuenta destinada al efecto, los scammers se sirvan de «mulas económicas» o «ciber muleros», quienes transfieren rápidamente dichos ingresos a otras cuentas bancarias ubicadas en el extranjero, percibiendo a cambio un porcentaje o comisión de las ganancias así obtenidas.
IV. Viabilidad de la acción penal para la recuperación del importe sustraído
El artículo 248.2 a) del Código Penal (LA LEY 3996/1995) («CP») castiga a quienes «con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro».
El ámbito de aplicación del tipo es tan amplio que engloba los desplazamientos patrimoniales no consentidos producidos por esta modalidad de fraude «Man in the middle» (13) , en los que:
- a) el engaño se realiza «mediante manipulaciones informáticas que actúan con automatismo en perjuicio de tercero» (14) ;
- b) el error se produce «bien mediante la creación de órdenes de pago o de transferencias, bien a través de manipulaciones de entrada o salida de datos (…) o por la introducción de datos falsos» (15) ; y
- c) el ánimo de lucro y consiguiente desplazamiento patrimonial en favor del ciberdelincuente se evidencia tras el engaño producido. Si bien su persecución puede verse entorpecida por la interposición de «mulas económicas» o «ciber muleros», quienes transfieren rápidamente dichos ingresos a otras cuentas bancarias sin justificación negocial alguna, percibiendo a cambio un porcentaje o comisión de las ganancias así obtenidas (16) .
Los indicios paradigmáticos de esta modalidad delictiva son tres: a) la apertura de una cuenta bancaria por parte del ciberdelincuente o por alguno de sus colaboradores; b) la recepción de las ilícitas transferencias efectuadas por el adquirente deudor; c) y la inmediata disposición de los fondos por parte del titular de la cuenta, ya sea del propio ciberdelincuente o, como se ha dicho, de alguno de sus colaboradores («muleros»), quienes a posteriori los redireccionan a otras cuentas, normalmente ubicadas en el extranjero (17) .
Dicho cuanto antecede, la persecución y castigo en vía penal de estos hechos será viable en la medida en que el importe sustraído haya tenido como destino una cuenta bancaria cuyo titular es una persona de nacionalidad española o residente en España, o una persona jurídica radicada en nuestro país (18) , circunstancia que suele ser habitual.
1. El titular de la cuenta bancaria de destino es de nacionalidad española o residente en España
En el primer caso, cuando el destinatario de la ilícita sustracción sea nacional o residente en España o una empresa radicada en nuestro país, la persona física o jurídica será considerada autora responsable del delito de estafa en la medida en que es beneficiaria directa del desplazamiento patrimonial provocado por la manipulación informática, ya sea el ciberdelincuente en cuestión o algunos de sus colaboradores o «ciber muleros». Estos últimos también serán considerados autores responsables de un delito de estafa en concepto de cooperadores necesarios (19) «salvo que actúen bajo error» (20) . En este caso, la responsabilidad de los muleros dependerá de si tienen o no conciencia del origen ilícito del dinero (21) .
Por tanto, para la eficaz persecución y castigo en vía penal de estos hechos resulta irrelevante que la cuantía sustraída acabe transfiriéndose a cuentas bancarias ilocalizables en terceros países, pues todas y cada una de las personas, físicas y jurídicas, que hayan detentado en algún momento el dinero sustraído en cuentas bancarias españolas serán consideradas tan responsables como el destinatario final o ideólogo de la estafa que, normalmente, se halla fuera de nuestras fronteras.
Conforme al artículo 116 CP (LA LEY 3996/1995), todo responsable de un delito lo es también de sus consecuencias civiles, por lo que todas las personas que han formado parte de esta cadena de transmisión responderán conjunta y solidariamente por el total de la cuantía desviada, lo que aumenta el éxito de la recuperación de la cuantía.
Ello sin perjuicio de que en la práctica concurra, además, la comisión de otros delitos, tales como a) un delito de falsedad en documento privado (art. 392 CP (LA LEY 3996/1995)) en concurso medial con el mencionado delito de estafa como consecuencia del ardid consistente en la modificación numérica de la factura (22) ; b) un delito de blanqueo de capitales (art. 301 CP (LA LEY 3996/1995)) por las sucesivas trasferencias que se hubieran realizado a otras personas, idóneas todas ellas para ocultar o encubrir el origen delictivo del dinero a través de ese entramado de disposiciones, a sabiendas de su procedencia ilícita (23) ; o bien c) un delito de integración en grupo u organización criminal (art. 570 ter CP (LA LEY 3996/1995)) en caso de que existan tres o más personas que operen como una agrupación que, de manera consensuada y con reparto de papeles, tareas o funciones, tengan por finalidad la comisión reiterada en el tiempo de estas defraudaciones realizadas mediante técnicas de ingeniería social (24) .
2. El titular de la cuenta bancaria de destino no es de nacionalidad española ni residente en España
Si, por el contrario, ni el titular de la cuenta bancaria de destino, ni ninguno de los «ciber muleros», resultan ser de nacionalidad española o residentes en España, el éxito de la acción penal se ve reducido en la medida en que falta ese punto de conexión con el ordenamiento jurídico español para la identificación de un responsable. Por esta razón, será necesario el libramiento de comisiones rogatorias a terceros países para la identificación y puesta a disposición judicial de los responsables, de resultado incierto en función de la mayor o menor colaboración de estos países extranjeros.
V. Esfera civil del fraude. Determinación de la parte contractual que debe soportar las consecuencias del fraude.
Teniendo en cuenta que el fraude «man in the middle» se produce normalmente en el marco de una relación contractual entre varias partes, cometido el mismo surge la discusión sobre cuál de ellas debe soportar la pérdida patrimonial: el adquirente deudor que ha realizado la transferencia debida en la creencia de que lo ha hecho a su legítimo acreedor, o el vendedor acreedor que, a pesar de haber prestado el servicio correspondiente o enviado el producto, jamás lo ve abonado.
En este sentido, deberá dirimirse si el pago debe considerarse como realizado (y, por tanto, debe ser el acreedor quien asuma la pérdida producida, quedando liberado el deudor), o si, por el contrario, debe entenderse que el pago no se ha realizado (de forma que el deudor continúe adeudando la cantidad defraudada).
A falta de acuerdo entre las partes, será la jurisdicción civil la que determine quién deberá soportar la pérdida patrimonial, pudiendo plantearse dos escenarios: (i) que el acreedor interponga una demanda de reclamación de cantidad frente al deudor, reclamando el importe debido —el escenario más probable—; o (ii) que sea el obligado al pago (el deudor) quien interponga la demanda solicitando, en caso de contratos sinalagmáticos, que se obligue a la contraparte a cumplir la prestación del contrato (para el caso de que no lo haya hecho aún), así como que se declare que él ha cumplido, quedando liberado de su obligación de pago. En este segundo caso, el deudor alegaría que ha abonado el importe debido al acreedor aparente, sosteniendo que debe ser el acreedor quien soporte la pérdida patrimonial ocasionada.
A pesar de que la popularización de esta modalidad de fraude es relativamente reciente, ya se han dictado varias resoluciones por parte de nuestros Juzgados y Tribunales que nos ayudan a clarificar esta cuestión
A pesar de que la popularización de esta modalidad de fraude es relativamente reciente, ya se han dictado varias resoluciones por parte de nuestros Juzgados y Tribunales que nos ayudan a clarificar esta cuestión. Del análisis de estas resoluciones se extraen las siguientes conclusiones, que deberán tenerse en cuenta para determinar quién deberá soportar la pérdida patrimonial producida en cada caso:
1. En primer lugar, para que el deudor pueda quedar liberado, es necesario que pruebe que actuó de buena fe en el pago al acreedor aparente, puesto que la buena fe no se presume en estos casos
Mientras que por parte del acreedor solo ha de probarse la realidad y cuantía de la deuda, el deudor debe probar que se cumplen todos los requisitos necesarios —establecidos en nuestro Código Civil («CC») y desarrollados jurisprudencialmente— para que el pago realizado a un tercero tenga el efecto liberatorio deseado.
Los artículos 1163 (LA LEY 1/1889) y 1164 CC (LA LEY 1/1889) prevén dos casos en los que se admite el efecto liberador al pago hecho a un tercero: a) cuando este pago se hubiera convertido en utilidad del acreedor; o b) en el caso de los pagos efectuados de buena fe al que estuviera en posición del crédito, es decir, al llamado «acreedor aparente» (supuesto en el que nos encontraríamos).
Como han aclarado nuestros Juzgados y Tribunales (25) , son tres los requisitos que deben concurrir para que el pago realizado por el deudor al acreedor aparente produzca efecto liberatorio: (i) que se haya realizado el pago efectivo por el deudor; (ii) que el acreedor esté en posesión del crédito o exista una apariencia —razonable y objetivamente verosímil— de que es titular del mismo; y (iii) que medie buena fe del deudor o solvens.
Respecto de este último requisito, como se ha adelantado en el presente subapartado, la buena fe no se presume, sino que debe necesariamente ser probada por quien la alega, en la medida en que, a diferencia de la del artículo 433 CC (LA LEY 1/1889), nos encontramos en este caso ante una buena fe objetiva (prevista en el artículo 1258 CC (LA LEY 1/1889)) y, por tanto, ha de ser acreditada por quien la invoca.
Para tal fin debe realizarse un doble análisis: por un lado, se analizará la concurrencia de buena fe subjetiva, en el sentido de que exista verdaderamente una creencia de que se estaba pagando al acreedor real, y por otro lado la concurrencia de buena fe objetiva, es decir si el deudor ha actuado con toda la diligencia que le era exigible en el pago.
El Tribunal Supremo (26) ha aclarado que para que el pago realizado de buena fe tenga efectos liberatorios se requiere que quien se presenta y actúa como acreedor lo haga con «una apariencia adecuada, razonable, objetivamente verosímil, revestido de unas circunstancias que sirvan de justificante a su buena fe». De esta manera, no resulta suficiente con que el deudor pruebe que actuaba en la creencia de estar pagando al verdadero acreedor (es decir, la buena fe subjetiva), sino que debe necesariamente acreditar que ha actuado con toda la diligencia exigible en atención a las circunstancias del caso (en especial, teniendo en cuenta la responsabilidad que se exige a quien actúa en el tráfico jurídico).
En relación con el ámbito subjetivo de la buena fe, se tendrá en cuenta la actuación del deudor tanto en el momento de realizar el pago como con posterioridad, analizándose, entre otras cuestiones, si, una vez descubierto el fraude, mostró una actitud colaborativa con la otra parte, así como si colaboró con las autoridades policiales para esclarecer los hechos, aportando todos los datos y documentos necesarios. También se tendrá en cuenta si el deudor intentó recuperar el importe abonado contactando con su entidad bancaria y, en general, si sus actuaciones fueron acordes a la denominada buena fe subjetiva.
Por otro lado, en relación con la buena fe objetiva, se tendrán en cuenta (como analizaremos en el siguiente punto) las circunstancias de cada caso, para valorar si el deudor tomó todas las precauciones necesarias para intentar evitar ser víctima del fraude —entre las que se incluye el hecho de contar con todos los sistemas de seguridad necesarios—, desplegando toda la diligencia necesaria que se le presume a un ordenado empresario.
En caso de que el deudor no lograra demostrar la concurrencia de esta buena fe objetiva, deberá abonar necesariamente al acreedor la cantidad pendiente, sin perjuicio de poder reclamar posteriormente la devolución de lo ya abonado a quien consideró (erróneamente) acreedor, ejercitando en vía civil acción por pago de lo indebido o enriquecimiento injusto, o ejercitando la acción civil derivada del delito (ex delicto) en el proceso penal (27) .
2. Adicionalmente, se tendrán en cuenta las circunstancias del caso para determinar si se ha actuado con la diligencia exigible en el pago al acreedor aparente (es decir, si concurre la buena fe objetiva)
Como se ha adelantado, para valorar si ha quedado acreditada la existencia de buena fe objetiva, el Juez o Tribunal valorará si el deudor ha actuado con la diligencia exigible en el pago. Diligencia que, en caso de ser empresario, exigirá un plus respecto de la diligencia media exigible al padre de familia.
En este sentido, entre las circunstancias que han sido valoradas por nuestros Juzgados y Tribunales para concluir que no ha quedado acreditada la existencia de una buena fe objetiva del deudor, encontramos las siguientes:
- (i) El hecho de que la sociedad mercantil deudora, que opera en el tráfico jurídico realizando de manera habitual transacciones comerciales (estando por tanto acostumbrada a las transacciones electrónicas) no puede ser desconocedora del elevado número de estafas informáticas que se producen bajo esta modalidad, ya que existen numerosas noticias desde 2018 en diferentes medios de comunicación en las que los Cuerpos y Fuerzas de Seguridad del Estado alertan públicamente de la misma, realizando recomendaciones de seguridad (28) . Por ello, teniendo en cuenta la elevada cantidad de información pública disponible, el no actuar de manera cuidadosa respecto de esta tipología de fraude es un aspecto que lleva a entender a nuestros Tribunales que el deudor no empleó la diligencia exigible a un ordenado empresario.
- (ii) La existencia de términos lingüísticos llamativos en los correos electrónicos fraudulentos, con expresiones no habituales en nuestro lenguaje, traducciones deficientes, o con diferente tipo de letra o tabulado respecto de los correos auténticos (p.e.: un pie de firma mal colocado, o cuestiones similares). A pesar de que pudieran pasar desapercibidos en una primera lectura rápida, estos errores deben ser detectados por cualquier empresario que actúe con la diligencia necesaria (29) , tomando las medidas pertinentes al respecto. De esta manera, el deudor no puede excusarse en una lectura rápida de los emails para eludir sus deberes de diligencia.
- (iii) La existencia de correos posteriores al original en los que se informa sobre una modificación en el número de cuenta (sin aportar mayor explicación sobre el cambio), así como correos urgiendo a la premura en el pago, de forma inusual y sospechosa (30) . Nuestros Juzgados y Tribunales han afirmado que el personal de administración de una empresa debe estar atento a este tipo de correos llamativos, extremando la prudencia.
También la existencia de errores en la la factura a pagar, o diferencias entre los espacios entre palabras en la redacción en un email u otro, son suficientes de cara a apreciar una falta de diligencia del deudor (31) . En el mismo sentido, también puede manifestarse el fraude con cambios en la forma de encabezamiento y despedida de los emails, o en la forma de tratamiento (pasando al tratamiento de Usted) (32) .
Asimismo, nuestros Tribunales achacan falta de diligencia en los casos en los que la cuenta bancaria sea distinta a la utilizada anteriormente y esté domiciliada en un país nuevo, distinto al del acreedor, lo que debió haber levantado sospechas en el deudor (33) .
Es irrelevante el hecho de que el verdadero acreedor hubiese enviado varios emails anteriormente en los que existiese algún error (en el caso analizado en la sentencia de referencia, se trataba de un error en relación con la documentación de un vehículo que se adquiría). Al haberse informado posteriormente de un cambio en el número de cuenta, debía haberse comprobado la veracidad de este cambio en cualquier caso (34) .
- (iv) La no realización por parte del deudor de una gestión para confirmar que el cambio de cuenta bancaria que se notifica es correcto, con una llamada de teléfono u otro medio, puesto que esta comprobación hubiera podido sacar a la luz fácilmente el engaño (35) .
Se ha de dilucidar, asimismo, para aclarar si el deudor ha actuado con la diligencia exigible, dónde se produjo la vulnerabilidad informática que permitió la ilícita intromisión del tercero defraudador (36) . En este sentido, quien alegue que el pago a tercero debe tener efecto liberatorio deberá tratar de probar, mediante prueba pericial o testifical del responsable informático, dónde se ha producido el hackeo y, en concreto, si fue en los sistemas informáticos de la otra parte. En caso de que no se aporte prueba de este extremo, se valorará negativamente por el Juzgado (37) .
En los casos en los que los peritos de la demandante y demandada lleguen a conclusiones distintas, la jurisprudencia aclara que lo relevante es comparar el nivel de seguridad de los sistemas informáticos de las partes, analizando especialmente si la deudora contaba con un sistema de seguridad suficiente para evitar este tipo de fraudes (38) .
Se valora, además, de cara a analizar la falta de diligencia del deudor, si este contaba con medidas de seguridad en la contratación electrónica que permitiesen impedir el hackeo, como la firma electrónica u otras medidas de seguridad específicas destinadas a evitar la interceptación ilegal de las comunicaciones (39) .
Respecto al acreedor, a pesar de que no ha de probar su buena fe, es conveniente que acredite que sus sistemas de seguridad no han sido vulnerados (40) . Se valora que sus sistemas informáticos estén dotados de sistemas de seguridad suficiente, la instalación de antivirus de pago y cortafuegos físico (firewall), la contratación de servicios de mantenimiento del sistema informático y de la seguridad con una empresa externa , entre otros.
En conclusión, de un análisis de las sentencias dictadas en la materia hasta el momento cabe afirmar que nuestros Juzgados y Tribunales son muy reacios a aceptar que en este tipo de supuestos se produzca una liberación del deudor, cuando el acreedor no ha actuado con la diligencia que le es exigible.
VI. Implicaciones de la existencia de un previo procedimiento penal en el procedimiento civil entre las partes. Análisis de la existencia de prejudicialidad penal
Otra de las cuestiones que se plantea, en el momento de iniciar acciones civiles entre las partes, es la incidencia que pueda tener el procedimiento penal en curso en el procedimiento civil que se inicie. En concreto, surge la duda de si se produciría en este caso un supuesto de prejudicialidad penal, que impediría la continuación del procedimiento civil hasta que el procedimiento penal finalice.
El artículo 10.2 de la Ley Orgánica del Poder Judicial (LA LEY 1694/1985) establece que la existencia de una cuestión prejudicial penal de la que no puede prescindirse para la debida decisión o condicione directamente ésta, determinará la suspensión del procedimiento mientras aquélla no sea resuelta por los órganos penales a quien corresponda. El artículo 40 de la Ley de Enjuiciamiento Civil (LA LEY 58/2000) determina, por su parte, las circunstancias que han de concurrir para acordar la suspensión de las actuaciones del proceso civil por prejudicialidad penal, estableciendo que es necesario que los hechos de apariencia delictiva fundamenten las pretensiones de las partes en el proceso civil o que la decisión del tribunal penal pudiera tener influencia decisiva en la resolución sobre el asunto civil.
Trasladando lo anterior a nuestro caso, nuestros Tribunales (41) han aclarado que la decisión que pueda adoptarse en un futuro proceso penal, en orden a la eventual condena a un tercero por estafa (por conducir mediante engaño al deudor a realizar los actos de disposición que se investigan) no afecta a la decisión del Tribunal civil sobre la cuestión a dilucidar, que en este caso es la procedencia del pago al verdadero acreedor. La resolución que se tome en el procedimiento penal no tendrá una influencia decisiva para el tribunal civil y su decisión sobre la extinción o no de la deuda, por lo que no existiría prejudicialidad penal.
En otras palabras, las acciones penal y civil no tienen el mismo objeto y, por ello, son compatibles en la práctica, por lo que su interposición conjunta no solo es posible sino, en ocasiones, aconsejable. Mientras la acción penal tiene por objeto tanto la imposición de penas como la reparación económica del daño causado por los responsables de la manipulación informática desencadenante del desplazamiento patrimonial y por los beneficiarios directos e indirectos de dicha manipulación, la acción civil se centra en determinar qué parte contractual debe asumir las consecuencias económicas del fraude sufrido analizando, como hemos visto, las circunstancias del caso para determinar la posible responsabilidad de cada parte.