El demandante fue víctima de un fraude informático conocido como “phishing”, a través del cual terceras personas realizaron quince transferencias desde su cuenta corriente sin su autorización.
Por este motivo ejercitó una acción de responsabilidad contractual contra la entidad bancaria por incumplimiento de las obligaciones derivadas tanto del contrato de cuenta corriente como del contrato de banca a distancia, solicitando la restitución íntegra de las cantidades indebidamente dispuestas.
La demanda fue estimada en ambas instancias, condenándose al banco a reintegrar la totalidad de las cantidades transferidas de forma fraudulenta. Este pronunciamiento es confirmado por el Tribunal Supremo, que desestima el recurso de casación interpuesto por la entidad demandada.
Indica la Sala que la controversia se centra en determinar quién debe asumir la responsabilidad por las operaciones de pago no autorizadas realizadas por un tercero que, utilizando indebidamente las credenciales del usuario obtenidas por cualquier medio, suplanta su identidad y accede electrónicamente a su cuenta sin su consentimiento.
La sentencia fundamenta su decisión en la normativa comunitaria y nacional aplicable a los proveedores de servicios de pago, y recuerda que esta normativa establece que, en los supuestos de operaciones no autorizadas o ejecutadas incorrectamente, la responsabilidad del proveedor de servicios de pago tiene carácter cuasi objetivo.
Aclara que esto implica, por un lado, que una vez notificada la existencia de una operación no autorizada o incorrectamente ejecutada, el proveedor debe responder, salvo que acredite que ha existido fraude por parte del usuario. Y por otro lado, que si el cliente niega haber autorizado la operación de pago ya ejecutada o alega que fue ejecutada de forma incorrecta, corresponde al proveedor la carga de acreditar que la operación fue debidamente autenticada, registrada con exactitud y contabilizada correctamente y que no se vio afectada por un fallo técnico ni por otra deficiencia del servicio prestado, sin que el mero registro de la operación sea suficiente para demostrar que fue autorizada, ni para imputar al usuario una actuación fraudulenta, deliberada o gravemente negligente.
Puntualiza que la expresión "operaciones no autorizadas" incluye aquellas que se han iniciado con las claves de usuario y contraseña del usuario (necesarias para acceder al sistema de banca digital) y confirmado mediante la inserción del SMS enviado por el propio sistema al dispositivo móvil facilitado por el usuario, siempre que éste niegue haberlas autorizado, en cuyo caso el banco deberá acreditar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio que presta.
Subraya que la mención "deficiencia del servicio" no significa error o fallo del sistema informático o electrónico, sino que abarca cualquier falta de diligencia o mala praxis en la prestación del servicio, en el entendimiento de que el grado de diligencia exigible al proveedor de los servicios de pago no es el propio del buen padre de familia, sino que la naturaleza de la actividad y los riesgos que entraña el servicio que se presta obliga a elevar el nivel de diligencia a un plano superior, como es el del ordenado y experto comerciante.
Para la Sala, las buenas prácticas pasan por adoptar las medidas de seguridad necesarias para garantizar el correcto funcionamiento del sistema de servicios de pago, entre las que destacan aquellas dirigidas a la detección automática de indicios de que puede tratarse de una operación anómala y generar una alerta o un bloqueo temporal, o las encaminadas a incrementar el control y vigilancia cuando se han recibido noticias o alertas de un posible aumento del riesgo.
En definitiva, señala el Supremo que, para eximirse de responsabilidad, no basta con que la entidad bancaria acredite que la operación fue autenticada, registrada y contabilizada, sino que también debe probar que dicha operación no resultó afectada por fallos técnicos o deficiencias en el servicio prestado y que, frente a la negativa del cliente de haberla consentido, no existió por parte de este fraude, incumplimiento deliberado o negligencia grave.
En lo que al caso respecta, estima la Sala que ninguno de estos extremos ha sido acreditado. Indica que, por el contrario, las quince transferencias realizadas desde la cuenta del demandante debieron alertar al personal bancario de que un tercero había conseguido acceder de forma indebida a la cuenta del cliente y que disponía de sus claves de usuario y contraseña. Incide en que ello debió haber motivado una reacción inmediata, al menos mediante la modificación de las claves de acceso y/o códigos, lo cual no se hizo.
Pone de relieve que los avances de la tecnología actual hacen relativamente sencillo diseñar sistemas o aplicaciones informáticas idóneas para detectar ciertas anomalías en la prestación de los servicios de pago, y destaca a este respecto que sería suficiente un control automático de determinados factores, como el número y sucesión de operaciones, el intervalo en que se ejecutan, la hora del día, su importe o entidades de destino, para generar un aviso que reforzara los requisitos de confirmación y minimizara los posibles riesgos.
A la vista de todo ello, la sentencia concluye que el titular de la cuenta actuó con la diligencia exigible, al comunicar de forma inmediata y reiterada a la entidad lo sucedido, cumpliendo así con la obligación que le impone la normativa aplicable, y que, en cambio, el servicio se prestó defectuosamente por el proveedor, tanto por no tomar en consideración la información recibida, pese a su gravedad, como por omitir la adopción de las medidas necesarias para detectar posibles maniobras fraudulentas.