A su vez, como consecuencia de las políticas del Banco Central Europeo de desincentivación del uso de dinero en efectivo, así como de la enorme expansión experimentada por el comercio online –especialmente a raíz de la pandemia causada por el Covid-19–, las estafas cometidas a través de internet, en todas su variantes, no dejan de incrementarse año tras año.
A lo anterior habría que añadir que tales ilícitos penales se han visto igualmente favorecidos por algo que, a priori, debe ser considerado positivo: la rapidez –inmediatez en muchos casos– con la que hoy en día se mueve el dinero a través de vías telemáticas. En este sentido, hemos de destacar la reciente aprobación por el Consejo de la Unión Europea del Reglamento (UE) 2024/886, de 13 de marzo, sobre transferencias inmediatas en euros, en busca de una mejora de la autonomía estratégica del sector económico europeo mediante una mayor movilización de flujos de caja.
De acuerdo con los datos reflejados en el Balance de Criminalidad correspondiente al primer trimestre de 2024, emitido por el Ministerio del Interior, el número de estafas informáticas registradas al cierre del año 2023 experimentó un incremento del 509,1% respecto del número de estafas informáticas registradas en 2016, hace apenas 8 años. Por su parte, el citado informe indica que las estafas informáticas representan el 90,1% de toda la cibercriminalidad y el 18,2% de toda la delincuencia registrada de enero a marzo de 2024.
Ante este escenario, la sociedad demanda una mayor protección para los consumidores, los cuales, sin lugar a dudas, son la parte débil de la operativa financiera. Y, dicha mayor protección pasa, necesariamente, por la implementación de controles antifraude por parte de las entidades bancarias, así como por exigir la responsabilidad de dichas entidades cuando no cuenten con tales controles o, aun contando con ellos, no los hayan aplicado debidamente en una determinada operación.
Estafas informáticas
La estafa informática, prevista en el art. 248.2.a) del Código Penal, no es más que una modalidad específica del delito básico de estafa en el que el autor se sirve de alguna manipulación informática o artificio semejante para lograr una transferencia inconsentida de cualquier activo patrimonial. En todo caso, los elementos esenciales del delito de estafa no se ven alterados: engaño bastante, error, disposición patrimonial y perjuicio.
El tipo de estafa informática más extendida y, por ende, más conocida, es el «phishing», según la cual el estafador se hace pasar por una entidad de confianza de la víctima –normalmente, su banco– para obtener las claves de acceso a sus cuentas y realizar operaciones no consentidas en su perjuicio.
Una segunda modalidad delictiva que vemos con cierta frecuencia consiste en el llamado «fraude del CEO», donde el defraudador suplanta la identidad del director o jefe de una compañía y se dirige a aquellos empleados que tienen acceso a los recursos económicos de la empresa a fin de que realicen un pago o una transferencia indebida.
Otros supuestos muy comunes serían los fraudes cometidos a través de comercios online ilegítimos o el envío de mensajes para el cobro de premios inexistentes o para reclamar el pago de una sanción.
Como es de imaginar, las variantes de estafa informática son innumerables y resultan cada vez más sofisticadas, siendo elaboradas y perpetradas en muchas ocasiones por verdaderas organizaciones criminales con separación de funciones y con especialistas en las más diversas materias, lo que dificulta su detección y causa enormes perjuicios para la sociedad.
El papel de las entidades bancarias
Está fuera de toda duda que las entidades bancarias juegan un rol esencial en la economía, posibilitando la realización de una larga lista de transacciones financieras de forma telemática y ágil, lo que permite que el dinero fluya entre los diferentes actores con la consecuente generación de riqueza.
Si bien, igual de claro resulta que las entidades bancarias desarrollan una actividad que entraña un elevado nivel de riesgo –como otras tantas actividades empresariales e industriales–, por cuanto ejercen como intermediarias y depositarias de los recursos económicos de las personas y de las empresas y, a su vez, los delincuentes se sirven ellas para cometer estafas informáticas –ya sea suplantando la identidad de un banco, detrayendo fraudulentamente fondos de una cuenta bancaria o recibiendo de manera indebida transferencias de fondos a una cuenta bancaria–. Pese a que actualmente existen otros sistemas para depositar o transferir cantidades económicas –como las criptomonedas u otros criptoactivos–, en la práctica, lo más habitual es que el dinero defraudado tenga su origen o pase por cuentas bancarias ordinarias antes de ser desviado hacia otros productos que dificultan su rastreo.
Por su parte, pese al aludido rol esencial de las entidades bancarias, no podemos olvidar que las mismas desempeñan una actividad con ánimo de lucro y que sus consumidores y usuarios dependen de ellas para operar y no quedar excluidos del sistema financiero, pagando por sus servicios. De este modo, dichos consumidores y usuarios deben ser considerados como la parte débil de la ecuación, en la medida en que dependen de un servicio por el que han de pagar y, además, pueden padecer el perjuicio en el caso de que el peligro de la actividad bancaria se materialice en forma de estafa informática.
Similares reflexiones a las expuestas, aunque en relación con un supuesto muy alejado de la actividad bancaria (Caso Uralita, por exposición al amianto), aparecen recogidas en la Sentencia del Pleno de la Excma. Sala Primera del Tribunal Supremo n.º 141/2021, de 15 de marzo: «En estos supuestos de actividades peligrosas permitidas, por ser socialmente útiles, colisionan los intereses de los terceros de no resultar perjudicados, con el propio y legítimo de los titulares que las gestionan de obtener los mayores rendimientos económicos posibles derivados de su explotación, a veces sometida, aunque no siempre, a un régimen de responsabilidad objetiva bajo aseguramiento obligatorio. Esa desigualdad, en las posiciones de ambas partes, se pone fácilmente de manifiesto por la circunstancia de que mientras los terceros soportan la amenaza eventual de sufrir daños significativos, con la única ventaja de obtener a cambio, en el mejor de los casos, un beneficio meramente difuso, el titular de la actividad, por el contrario, se beneficia de las ganancias generadas de su explotación en su particular provecho. Esta asimetría conduce a la posibilidad de justificar decisiones normativas que, por razones de justicia conmutativa, impongan a quien se aproveche de ese stock de riesgos, las cargas económicas de los perjuicios causados a los terceros ajenos a la misma, con la finalidad de compensar esa especie de daños expropiatorios o de sacrificio. De esta manera, se han utilizado las fórmulas latinas ubi emolumentum, ibi onus (donde está la ganancia está la carga) o cuius commoda, eius incommoda (quien obtiene una ventaja debe padecer los inconvenientes)».
Por todo ello, las entidades bancarias han de cumplir con unas muy altas exigencias de seguridad en los sistemas de pago e intermediación financiera, con el objeto de minimizar al máximo –e idealmente, descartar– el riesgo de la actividad que desempeñan, debiendo corresponder la confianza que depositan en ellas los consumidores y usuarios y responder cuando no han cumplido satisfactoriamente y tales exigencias de seguridad no han sido satisfechas, permitiendo la materialización del riesgo en el resultado.
Normativa antifraude
A nivel europeo destaca la a Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior, también denominada DSP2, cuya principal novedad fue aumentar la seguridad de los sistemas de pago mediante la introducción de la autenticación reforzada o de doble factor de los clientes.
A su vez, el recién aprobado Reglamento (UE) 2024/886 del Parlamento Europeo y del Consejo, de 13 de marzo de 2024, relativo a transferencias inmediatas en euros, impone la obligación –esencial– de que los proveedores de pagos verifiquen que el número de cuenta y el nombre del titular beneficiario coinciden, tanto en las transferencias inmediatas como en las ordinarias, a fin de alertar de un posible fraude o error.
A nivel nacional ostenta una gran relevancia el Real Decreto-Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, el cual fue fruto de la transposición de la citada Directiva (UE) 2015/2366. Dicha relevancia radica, en gran medida, en el establecimiento de la obligación consistente en que las entidades bancarias comprueben la identidad del usuario del servicio de pago y la validez del instrumento de pago utilizado, incluidas las credenciales de seguridad empleadas. A su vez, de acuerdo con lo dispuesto en su artículo 45, en el supuesto de que se ejecute una operación de pago no autorizada «el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato (…)».
Conforme a lo anterior, la Ley de Servicios de Pago impone a las entidades bancarias importantes deberes de prevención del fraude, so pena de exigir su responsabilidad en un enorme abanico de supuestos fraudulentos cuando no hayan detectado el fraude. La citada ley, en su artículo 46, solo prevé la elusión de la responsabilidad de las entidades bancarias cuando se acredite que el usuario actuó de manera fraudulenta o con negligencia grave; si bien, establece una inversión de la carga de la prueba, de modo que habrán de ser las propias entidades bancarias las que deban probar la negligencia o actuación fraudulenta del usuario.
Al margen de la Ley de Servicios de Pago, juega un papel igualmente determinante la regulación relativa a la prevención del blanqueo de capitales, conformada por la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de financiación del terrorismo; y por el Real Decreto 304/2014, de 5 de mayo, por el que se aprueba el Reglamento que desarrolla la meritada Ley.
Con carácter general, la normativa antiblanqueo impone el deber de fijación y revisión de alertas ante operaciones complejas, inusuales, sin una justificación o un propósito económico claro, o que presentan una falta de correspondencia ostensible con la naturaleza, volumen de actividad o antecedentes operativos de los clientes.
Conforme a lo anterior, y a modo de ejemplo, podrá concluirse la actuación negligente de una entidad bancaria si, fruto de una estafa informática, tienen lugar operaciones sospechosas (v.gr. repentinas recepciones de importantes cantidades de dinero e inmediata extracción de los fondos) y estas no son detectadas y oportunamente bloqueadas.
Responsabilidad civil subsidiaria de entidades bancarias
Las estafas informáticas, como delitos que son, generan la obligación de reparar los daños y perjuicios causados (art. 109 CP). Y, tal obligación de reparar recaerá, en primer lugar, sobre aquellas personas criminalmente responsables (art. 116 CP).
No obstante, el Código Penal, en su artículo 120, contempla la responsabilidad civil de determinadas personas –físicas o jurídicas–, las cuales, aun sin ser criminalmente responsables y ante ciertas circunstancias, habrán de reparar los daños y perjuicios derivados del delito de forma subsidiaria al responsable penal cuando este no se encuentre en condiciones de reparar –principalmente por insolvencia–.
En particular, a los efectos que nos interesan, hemos de prestar especial atención al apartado 3.º del art. 120 CP, pues prevé la responsabilidad civil subsidiaria de aquellas «personas naturales o jurídicas, en los casos de delitos cometidos en los establecimientos de los que sean titulares, cuando por parte de los que los dirijan o administren, o de sus dependientes o empleados, se hayan infringido los reglamentos de policía o las disposiciones de la autoridad que estén relacionados con el hecho punible cometido, de modo que este no se hubiera producido sin dicha infracción».
Es justamente el citado precepto el que habilita el llamamiento de las entidades bancarias al procedimiento penal, como posibles responsables civiles subsidiarias, cuando sus servicios de pagos o de intermediación financiera hayan servido para la comisión de una estafa informática y, debiendo haber detectado y paralizado la operación fraudulenta, no lo hayan hecho por una inexistente o deficitaria aplicación de los sistemas de seguridad y control.
Pese a que dicho precepto habla de establecimientos, existe unanimidad en la jurisprudencia y la doctrina sobre que tal redacción ha de ser interpretada en sentido amplio y, sobre todo, de acuerdo con los tiempos actuales, por lo que dentro de los establecimientos han de entenderse incluida la página web de la entidad, la aplicación móvil e, incluso, el correo electrónico corporativo.
Así, encontramos la reciente Sentencia del Excmo. Tribunal Supremo, Sala 2.ª, n.º 188/2024, de 29 de febrero, la cual confirma la responsabilidad civil subsidiaria de la entidad bancaria en un supuesto en el que el responsable penal, sin tener relación comercial o mercantil alguna con la empresa perjudicada, presentó ante el banco de la perjudicada 80 recibos y logró que se transfirieran a su cuenta, a través del sistema de pago SEPA, hasta 202.859,49 euros. Señala la sentencia que «lo que es evidente es que en este caso no ha habido ningún tipo de barrera, control o deber objetivo de cuidado que evite lo que ha ocurrido, al haber utilizado el autor del ilícito penal la "facilidad" de pasar nada menos que 80 recibos a una entidad mercantil sin, absolutamente, ningún impedimento de control para que el cargo prospere y sin autorización previa alguna de la parte perjudicada que confiaba en mecanismos de control previos que eviten un cargo indebido y perjuicio en la suma indicada de la que debe responder civilmente por vía subsidiaria ex art. 120.3 CP la entidad bancaria. (…) En casos como el aquí ocurrido la responsabilidad ex art. 120.3 CP viene por incumplir el deber objetivo de cuidado que afecta a toda actividad para no causar daños a terceros y en este caso es evidente que los daños se causaron incumpliendo el principio de confianza que tenía el perjudicado en que no iba a recibir cargos indebidos no autorizados de forma expresa».
En sentido muy similar, procede mencionar la Sentencia del Excmo. Tribunal Supremo, Sala 2.ª, n.º 49/2020, de 12 de febrero, la cual confirma igualmente la condena, como responsable civil subsidiaria, de la entidad bancaria en la que se encontraba abierta una cuenta desde la que se realizaron unas transferencias de manera fraudulenta. Esta resolución recordaba que «es claro que la actividad propuesta por la entidad bancaria a sus clientes mediante la operativa online presenta algunos riesgos derivados de la posibilidad de suplantación de la identidad de quien contrata con la entidad para la realización de operaciones sin la autorización del auténtico contratante. Es claro también que, excluyendo actuaciones dolosas o gravemente negligentes por parte de los clientes, la entidad bancaria es responsable de ofrecer y poner en práctica un sistema seguro, de manera que las consecuencias negativas de los fallos en el mismo no deberán ser trasladados al cliente».
Por su parte, las sentencias citadas –entre otras muchas– coinciden en señalar que, pese a encontrarnos en la vía penal, las acciones resarcitorias no pierden su naturaleza civil. Consecuentemente, se trata de una responsabilidad civil cuasi objetiva con presunción de culpa, derivada del riesgo profesional generado, en este caso, por las entidades bancarias, y de su especial deber de garantía impuesto por la Ley, de tal forma que la infracción de los reglamentos de cuidado permite su instrumentación por parte del autor del delito y la comisión del ilícito penal.
De acuerdo con lo expuesto, podemos afirmar que la doctrina jurisprudencial admite, de manera unánime, la responsabilidad civil subsidiaria de las entidades bancarias en aquellos supuestos en los que sus servicios han dado soporte a la comisión de una estafa informática. Esto, sumado a que la existencia del engaño bastante propio de la estafa informática eliminará una hipotética negligencia en la actuación del propio usuario perjudicado –más aun teniendo en cuenta la práctica supresión por el Excmo. Tribunal Supremo del deber de autotutela de la víctima–, hacen del procedimiento penal una muy interesante vía para ejercitar la acción civil de manera conjunta a la acción penal.
Conclusión
No se trata de que las entidades bancarias tengan que responder siempre y ante cualquier circunstancia, ni de que dichas entidades no experimenten ningún perjuicio como consecuencia de las actuaciones fraudulentas cometidas por terceros, sino de que, como operadores que desempeñan una actividad muy lucrativa –mientras los consumidores y usuarios se ven forzados a operar a través de plataformas digitales– que genera un claro riesgo para la sociedad, deben poner sus esfuerzos y recursos en prevenir el fraude e impedir que los defraudadores se valgan de sus servicios para cometer actos delictivos, debiendo responder solo cuando realmente se haya posibilitado la comisión del delito por un proceder negligente que haya supuesto la inobservancia de las normas de cuidado. Resulta obvio que la solución del problema pasa necesariamente por un mayor desarrollo y una correcta implementación de sistemas de detección preventiva del fraude por parte de las entidades bancarias.
Ahora bien, pese a que, como decíamos a inicio, las estafas informáticas son cada vez más sofisticadas y difíciles de detectar –por los usuarios, no por los sofisticados sistemas bancarios–, no deja de sorprender la cantidad de supuestos con los que uno se encuentra en los que, a día de hoy, se eluden burdamente los controles de seguridad o no salta ninguna alerta antiblanqueo ante operaciones financieras de lo más extravagantes. Asimismo, sigue siendo común la recepción de correos electrónicos o mensajes de móvil que, haciéndose pasar por entidades bancarias, tratan de obtener las claves de acceso a la banca online.
Lo anterior, sumado a la muy escasa colaboración que –por experiencia y con carácter general– ofrecen las entidades bancarias cuando les es reportado un posible fraude, ahonda en la percepción de que no existe un suficiente interés por proteger a los consumidores y usuarios de los riesgos de la actividad bancaria, así como que no se estarían destinando los suficientes recursos para implementar sistemas de prevención del fraude a la vanguardia.
Por lo expuesto, estando claro el fundamento de la responsabilidad civil de las entidades bancarias ante la oleada de estafas informáticas que experimenta la sociedad, y contando con todas las habilitaciones legales para ello, ha de concluirse que el procedimiento penal constituye una vía adecuada para reclamar a tales entidades bancarias la reparación del eventual daño causado por el delito cometido por un tercero.
De forma subsidiaria, en aquellos supuestos –en la práctica, ciertamente habituales– en los que no sea posible la identificación del autor del delito de estafa informática, resultando imposible dirigir el procedimiento penal frente al mismo, siempre podrá ejercerse la correspondiente acción de responsabilidad civil, de manera directa, contra la entidad bancaria.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación