En este orden de razonamientos y ateniéndose a los siguientes considerandos:
(1) Las Memorias de Reclamaciones del Banco de España ponen de manifiesto que desde el año 2019 han aumentado sustancialmente las reclamaciones contra los proveedores de servicios de pago como consecuencia de los delitos de las estafas de phishing sufridas por los usuarios.
(2) Las estadísticas del Ministerio de Interior también son elocuentes. Como se puede observar en ellas, se ha venido produciendo un incremento significativo en el volumen de fraudes informáticos, pasando de 94.792 delitos en el año 2017 a 267.011 delitos informáticos en el año 2021.
(3) Si atendemos a tipo delictual, las estadísticas del Ministerio de Interior son significativas. Las estafas bancarias, con tarjeta e informáticas, han pasado de 28.246 delitos en el año 2017 a 100.461 delitos en el año 2021.
(4) La limitación de los pagos en metálico a 1.000 € (Art. 18 Ley 11/2021, de 9 de julio) y la intención de la Unión Europea de transitar hacia un euro digital (Vid. las publicaciones del Banco Central Europeo), lleva a que todas las transacciones monetarias se realicen a través de medios de pago digitales.
(5) En sus memorias, el Banco de España no sólo advierte del incremento de los fraudes, también de la sofisticación de las estafas. Los delincuentes suplantan la identidad de los bancos creando páginas web fraudulentas indistinguibles de las páginas oficiales. Posteriormente, por medio de técnicas de ingeniería social y programas maliciosos, consiguen engañar a las redes de telefonía, enviando mensajes SMS que el teléfono del usuario identifica como remitidos por el banco. A través de estos mensajes alertan a los usuarios sobre pagos no consentidos o brechas de seguridad en su banca digital, para inducirles a seguir el enlace a la página web fraudulenta, donde el usuario facilita sus claves personales en la convicción de que está accediendo a su banca digital a través de la página web oficial del banco. Los clones de las webs fraudulentas incluso simulan ser páginas seguras (https), de forma que el usuario no tiene forma alguna de saber si está operando con la página oficial del banco o con una fraudulenta.
(6) Una vez que han obtenido las claves del usuario acceden a su banca digital, donde pueden consultar todos los datos personales del usuario. Seguidamente, por medio de programas maliciosos realizan llamadas enmascarando el número de teléfono desde el que llaman, de forma que las redes de telefonía y los teléfonos de los usuarios las identifican como realizada desde el teléfono de atención al cliente del banco. En esas llamadas se hacen pasar por gestores de seguridad del banco y facilitan al cliente datos personales que sólo podría conocer su entidad, como sus números de cuenta, posiciones bancarias… creando la convicción en el usuario de que se trata de una llamada legítima realizada por su banco para ayudarle a cancelar operaciones de pago fraudulentas.
(7) En otras modalidades (SIM-Swapping), después de haber obtenido los datos personales del cliente a través de técnicas de ingeniería social, los delincuentes consiguen duplicar la tarjeta SIM del usuario. Una vez duplicada son los delincuentes quienes reciben las claves de autenticación reforzada (claves OTP, por su acrónimo inglés On Time Pasword) necesarias para autorizar las operaciones.
(8) El 23 de diciembre de 2015 entró en vigor la Directiva 2015/2366, sobre Servicios de Pago en el Mercado Interior (DSP2), cuyos Considerandos (7), (33), (69), (91) y (95)[1] advierte claramente que, ante el incremento de los riesgos de seguridad debido a la mayor complejidad técnica de los pagos y fraudes, es esencial disponer de servicios de pago fiables y seguros, de forma que los usuarios gocen de la debida protección frente a los riesgos inherentes a estos nuevos medios de pago.
(9) La DSP2 introduce como novedad la obligación de que todas las operaciones de acceso a la banca digital y de pago se realicen por medio de una autenticación reforzada de cliente (Art. 97 DSP2).
(10) La DSP2 también obliga a los proveedores de servicios de pago a realizar controles adecuados para gestionar sus riesgos operativos y de seguridad (Art. 96 DSP2).
(11) En desarrollo de estas obligaciones, el Reglamento Delegado 2018/389, de 27 de noviembre de 2017, que complementa la DSP2 en lo relativo a las normas técnicas para la autenticación reforzada de cliente, establece la obligación de realizar un análisis de riesgo en tiempo real basado en el análisis de operaciones y en los elementos que caracterizan al usuario en un contexto de uso normal de las credenciales de seguridad. Ese análisis de riesgo debe tener en cuenta los siguientes factores: (i) importe de las operaciones, (ii) supuestos conocidos de fraude conocidos, (iii) gastos o pautas de comportamiento anormales en el ordenante, (iv) información inusual sobre el dispositivo o programa informático de acceso del ordenante, (v) infecciones por programas informáticos maliciosos en cualquier sesión del procedimiento de autenticación, (vi) supuestos conocidos de fraude en la prestación de servicios de pago, (vii) una ubicación anormal del ordenante, y (viii) una ubicación de alto riesgo del beneficiario.
(12) La Ley de Servicios de Pago[2] (LSP) establece que “en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato (…) restituyendo la cuenta de pago (…) al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada” (Art. 45).
(13) La única excepción a esta norma es que el usuario haya “actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41” (Art. 46), es decir, que haya incumplido la obligación de custodiar las claves personales con “todas las medidas razonables” (Art. 41.a).
(14) Ante un fraude de phishing el usuario debe interponer una denuncia y posteriormente una reclamación ante su entidad bancaria. La entidad tiene un plazo de quince días para resolver la reclamación (Art. 69 LSP).
(15) La práctica general de las entidades es la desestimación de las reclamaciones con el argumento de que el usuario ha incurrido en negligencia grave por haber incumplido la obligación de custodiar sus claves personales, al haberlas cedido al estafador como consecuencia del engaño. Ahora bien ¿Se puede considerar que el usuario ha incurrido en negligencia grave por el hecho de haber sido víctima de una estafa punible de phishing?
(16) Aunque la jurisprudencia no es uniforme, la mayoría de los Tribunales se inclinan por excluir la negligencia grave del usuario.
(17) En mi opinión, hay varios motivos por los que los proveedores de servicios deben, en todos los casos, reintegrar a los usuarios los fondos que les han sustraído.
(18) En primer lugar, es un hecho admitido que el phishing es una práctica delictiva conocida por las entidades bancarias y que el grado de profesionalidad utilizado por los delincuentes hace difícilmente detectable el engaño.
(19) La Sala Penal del Tribunal Supremo tiene declarado que el “phishing” es una estafa informática en la que se integran todos los elementos del tipo penal del Art. 248.2 CP: el ánimo de lucro, la manipulación informática, el acto de disposición y el engaño bastante (STS (Penal), sec. 1ª, nº 379/2019, de 23 de julio de 2019).
(20) Con respecto al “engaño bastante”, la Sala Penal del Tribunal Supremo afirma que “no debe desplazarse indebidamente sobre los perjudicados la responsabilidad de comportamientos en los que la intención de engañar es manifiesta, y el autor ha conseguido su objetivo, lucrándose en perjuicio de su víctima” porque “el engaño no tiene que quedar neutralizado por una diligente actividad de la víctima” (STS (Penal), sec. 1ª, nº 51/2020, de 17 de febrero de 2020).
(21) El phishing es un acto delictivo caracterizado por la intención de engañar mediante la suplantación de identidad de la entidad bancaria. Esa suplantación de identidad supera el “burdo engaño” porque, como dice la SAP Madrid, sec. 9ª, S 04-05-2015, nº 178/2015, rec. 661/2013, en el “phishing se utilizan técnicas de engaño, a través de las cuales el phisher utiliza contra la víctima el propio código de programa del banco o servicio similar, adquiriendo la página Web la verdadera apariencia de la entidad bancaria”.
(22) Por su parte, de los Arts. 1101 y 1104 del Código Civil se infiere que la negligencia grave se equipara a la culpa lata, que “consiste en no proceder ni siquiera con la más elemental diligencia” o en “la más grave falta de diligencia, no hacer lo que todos hacen, no prever lo que todos prevén”.
(23) Se alude a la culpa con previsión o dolo eventual, cuando el incumplimiento no es directamente querido, pero se han previsto los hechos. Se incurren en este tipo de negligencia cuando se omite las precauciones más elementales, dejando de prever lo que el resto de las personas habría previsto.
(24) Por su parte, el Considerando 72 de la DSP2 dice que “A la hora de evaluar la posible negligencia o la negligencia grave del usuario de servicios de pago, deben tomarse en consideración todas las circunstancias. (…) si el concepto de negligencia supone un incumplimiento del deber de diligencia, la negligencia grave tiene que significar algo más que la mera negligencia, lo que entraña una conducta caracterizada por un grado significativo de falta de diligencia. Un ejemplo sería el guardar las credenciales usadas para la autorización de una operación de pago junto al instrumento de pago, en un formato abierto y fácilmente detectable para terceros”.
(25) La SAP de Madrid, Sec. 20ª, nº 184/2022, de fecha 20/5/2022, Rec. 945/2021, afirma que “en la normativa europea antes referida [la negligencia grave] se equipara a la comisión de un fraude” y que “como se indica en la Directiva 2015/2036 la negligencia que le hace responder al cliente, es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que ha sido inducido por un delincuente profesional (…)”.
(26) Este razonamiento guarda relación directa y necesaria con: (a) la doctrina de la Sala Penal de Tribunal Supremo (STS (Penal), sec. 1ª, nº 51/2020, de 17 de febrero de 2020), según la cual no se pude desplazar sobre el perjudicado la responsabilidad de comportamientos en los que la intención de engañar es manifiesta, porque el engaño no tiene que quedar neutralizado con una actividad de diligencia de la víctima y (b) con la finalidad de la Directiva 2015/2366, de Servicios de Pago (DSP2), cuyos considerandos declaran esencial el desarrollo de un mercado único integrado por pagos electrónicos en el que los usuarios gocen de la debida protección frente a los riesgos inherentes a estos nuevos medios de pago.
(27) La negligencia grave debe surgir como consecuencia de la iniciativa del usuario, no como consecuencia de la iniciativa de un delincuente profesional, porque el engaño típico de la estafa excluye la negligencia grave.
(28) Si el phishing está caracterizado por el “engaño bastante”, que es algo más que un burdo engaño, en el que caen multitud de personas, la víctima nunca puede haber actuado con negligencia grave, que es la más grave falta de diligencia, hacer lo que nadie más hace o no prever lo que todos prevén, o como dice el Considerando 72 de la DSP2 “una conducta caracterizada por un grado significativo de falta de diligencia”.
(29) El sólo hecho de que esté sancionado penalmente excluye la negligencia grave y, por tanto, nunca se puede oponer a la víctima de este tipo de delitos su propia negligencia para incumplir la obligación de restitución de los fondos sustraídos.
(30) En caso de “criminalizar” a la víctima por dejarse engañar no sólo se subvierte la finalidad de la norma, sino que, además, se puede llegar al absurdo de descriminalizar estas estafas, porque la declaración de que el cliente actúa con negligencia grave podría excluir el engaño bastante y con ello la rebaja del tipo penal. Por ello, una interpretación errónea del concepto de “negligencia grave” que lleve a penalizar a los clientes por su falta de diligencia por el hecho de haber sido víctimas de una estafa punible, puede llevar al absurdo de proteger a los delincuentes.
(31) En segundo lugar, tanto la SAP de Madrid, Sec. 20ª, nº 184/2022, de fecha 20/5/2022 como la SAP de Badajoz, Sec. 3ª, S. 16-06-2022, nº 159/2022, rec. 233/2022, entre otras, hacen responsable a la entidad bancaria por no haberse dotado de una tecnología antiphishing, porque de haberse dotado de ella habrían detectado las páginas o enlaces fraudulentos, impidiendo su acceso, lo que, de haberse producido, hubiera evitado el resultado.
(32) Dentro de las prestaciones debidas por los proveedores de servicios de pago, como depositarios de los fondos de sus clientes, está la de guardar la cosa con la diligencia de un ordenado empresario (Art. 1766 del Código Civil). Esa responsabilidad les obliga a rastrear la existencia de páginas web que suplanten su identidad y, una vez detectadas, ponerse en contacto con la ICANN para solicitar el bloqueo de la web fraudulenta, cortando el enlace a esa página. De esta forma el enlace del SMS no lleva a ninguna página web, por lo que el phisher no puede hacerse con los datos personales del usuario.
(33) La Sentencia nº 24/2022, de fecha 2/2/2022, dictada por el Juzgado de 1ª Instancia nº 30 de Barcelona, tras analizar las obligaciones de los proveedores de servicios de pago derivadas de la DSP2 y del Reglamento Delegado 2018/389, razona que “la entidad bancaria no puede ampararse en que únicamente fue el actor quien facilitó los datos a un tercero desconocido sin que intermediaria ninguna fallo en el sistema de seguridad del banco. Es cierto que el usuario facilitó los datos de verificación que le exigía la página fraudulenta en su equívoca convicción de que se trataba de la página [del banco] ****, pero esta conducta la desplegó porque existía un engaño bastante materializado o cristalizado en la remisión de un SMS almacenado en el hilo de mensajes auténticos que de forma precedente había recibido de la entidad bancaria y, no sólo ello, sino que, además, una vez que click en el link o enlace le redirigía a una página web que presentaba un formato prácticamente idéntico a la de la demandada".
(34) En tercer lugar, los proveedores de servicios de pago no sólo están obligados a rastrear las páginas web que suplantan su identidad, también están obligados a realizar un análisis de riesgo de las operaciones y a implementar medidas de seguridad acorde a los riesgos presentes.
(35) Como dice la Sentencia de 16 de septiembre de 2022 del Juzgado de 1ª Instancia nº 3 de Santander “los bancos deberían incorporar sus propios “detectores de humo” para anticipar cuando puede estar teniendo lugar una estafa e intervenir”, afirmación que guarda relación con la obligación que impone el Reglamento Delegado 2018/389 de realizar un análisis de riesgos en tiempo real para detectar cuándo una orden de pago es fraudulenta.
(36) La Sentencia nº 88/2023, de 7 de junio de 2023, dictada por el Juzgado de 1ª Instancia nº 7 de Cerdanyola del Vallés, se pronuncia en un sentido análogo cuando razona “11. Siendo Internet una red pública de comunicaciones, la seguridad de las operaciones bancarias precisa de soluciones tecnologías avanzadas a los efectos de garantizar tanto la autenticidad como la integridad y la confidencialidad de los datos. Por estos motivos las entidades prestadoras del servicio de banca online deben dotarse de medidas suficientes que garanticen al usuario la seguridad de las operaciones. Consecuencia derivada de la omisión, insuficiencia o defectuoso funcionamiento de las adoptadas es que han de ser las entidades bancarias las que asuman las consecuencias derivadas de los fallos de seguridad del sistema. (…) 12.-La responsabilidad en estos supuestos no puede atribuirse directamente al supuesto ordenante de la transferencia por entenderse ésta autorizada al haberse realizado de acuerdo con los sistemas de autenticación del banco. Los sistemas de autenticación se establecen por los proveedores de servicios de pago y si un banco no ha sido capaz de limitar el acceso al canal de banca electrónica no puede pretender que el presunto ordenante víctima de esta práctica fraudulenta sea el único responsable, pues es el banco quien tiene responsabilidad respecto del buen funcionamiento y la seguridad del mismo. (…) 13.- Las medidas de seguridad no solamente están destinadas a proteger la seguridad de las órdenes de pago emitidas por los clientes sino que su eficacia exonera a las entidades de crédito de sus responsabilidades frente a las órdenes de pago no emitidas por sus clientes de tal forma que el incumplimiento de este específico deber de vigilancia da lugar a una responsabilidad por " culpa in vigilando" o responsabilidad objetiva por el mal funcionamiento de los servicios de banca electrónica”.
(37) Muchos de los proveedores de servicios de pago han venido usando un sistema de autenticación reforzada basado en sistemas 2FA, esto es, en el envío de claves de un solo uso (OTP) a través de SMS al teléfono móvil del usuario vinculado a la banca digital. Sin embargo, la industria de ciberseguridad recomienda evitar el uso del 2FA porque no acaba siendo del todo seguro.
(38) Como alternativa al sistema 2FA existen métodos de seguridad más robustos, como el acceso a la banca digital mediante llaves de seguridad USO y NFC o el acceso a la banca digital mediante un certificado digital o firma electrónica cualificada.
(39) Desde la Sentencia la SAP de Alicante, Sec. 8ª, nº 107/2018, de 12/3/2018 se viene considerando que la responsabilidad de la Entidad Bancaria es de “naturaleza cuasi-objetiva o de riesgo por razón legal”. Esta declaración se reitera, entre otras, en la SAP de Zaragoza, Sec. 5ª, S. 01-07-2022, nº 804/2022, rec. 1130/2021.
(40) Sin embargo, teniendo en cuenta: (a) el incremento de este tipo de fraudes, cuyas cifras de criminalidad rebasan las de otros sectores de actividades peligrosas; (b) la finalidad de la DSP2, según la cual los usuarios deben gozar de la debida protección frente a los riesgos inherentes a los medios de pago digitales; y (c) que la doctrina jurisprudencial establece que quien tiene las ventajas de un negocio por el que obtiene un lucro, debe soportar los inconvenientes de ese negocio como contraprestación por el lucro obtenido (STS, Sala 1ª, S. 3-6-2006, nº 328/2006, rec. 281/1999), a mi juicio se debería tender hacia un sistema de responsabilidad puramente objetiva.
(41) El Tribunal Supremo tiene declarado que en sectores de actividades peligrosas debe regir una responsabilidad objetiva, en razón al riesgo inherente al servicio prestado, cuyo título
de imputación se fundamenta en la falta de la diligencia debida, que en estos casos debe ser rigurosa, ajustada las circunstancias concurrentes.
(42) Como se explica en la STS (Civil Pleno), S. 15-3-2021, nº 141/2021, rec. 1235/2018 (Caso Uralita), F.D. Cuarto [sic] “En estos supuestos de actividades peligrosas permitidas, por ser socialmente útiles, colisionan los intereses de los terceros de no resultar perjudicados, con el propio y legítimo de los titulares que las gestionan de obtener los mayores rendimientos económicos posibles derivados de su explotación, a veces sometida, aunque no siempre, a un régimen de responsabilidad objetiva bajo aseguramiento obligatorio. Esa desigualdad, en las posiciones de ambas partes, se pone fácilmente de manifiesto por la circunstancia de que mientras los terceros soportan la amenaza eventual de sufrir daños significativos, con la única ventaja de obtener a cambio, en el mejor de los casos, un beneficio meramente difuso, el titular de la actividad, por el contrario, se beneficia de las ganancias generadas de su explotación en su particular provecho. Esta asimetría conduce a la posibilidad de justificar decisiones normativas que, por razones de justicia conmutativa, impongan a quien se aproveche de ese stock de riesgos, las cargas económicas de los perjuicios causados a los terceros ajenos a la misma, con la finalidad de compensar esa especie de daños expropiatorios o de sacrificio. De esta manera, se han utilizado las fórmulas latinas ubi emolumentum, ibi onus (donde está la ganancia está la carga) o cuius commoda, eius incommoda (quien obtiene una ventaja debe padecer los inconvenientes)”.
(43) Dado que el artículo 16 de la LSP obliga a los proveedores de servicios de pago a dotarse de un seguro de responsabilidad civil profesional, es dable declarar la responsabilidad objetiva de los proveedores de servicios de pago en aquéllos casos en los que sus clientes sean víctimas de una estafa de phishing, porque los pagos digitales se trata de un sector de actividad en auge, con constante incremento del índice delictivo, caracterizado por técnicas de engaño basadas en ingeniería social y uso de programas informáticos maliciosos imposibles o difícilmente detectables por los usuarios, en el que el principal beneficiario del uso de este sistema de pagos son los proveedores de estos medios –cuando menos son quienes obtienen el beneficio económico—, mientras que los clientes, que se ven obligados al uso de estos medios de pago –tanto por las restricciones legales al uso de dinero metálico como por el interés de los proveedores de servicios de pago en el uso de estas tecnologías—, sólo obtienen un interés difuso por el ahorro de tiempo en desplazamientos presenciales a la sucursal.
NOTAS:
https://www.ecb.europa.eu/paym/digital_euro/html/index.es.html
Considerandos “(7) En los últimos años, han aumentado los riesgos de seguridad de los pagos electrónicos, debido a la mayor complejidad técnica de estos, el incesante incremento del volumen de pagos electrónicos en todo el mundo y los nuevos tipos de servicios de pago [razón por la que] disponer de servicios de pago fiables y seguros es condición esencial para el buen funcionamiento del mercado de servicios de pago, por lo que los usuarios de esos servicios deben gozar de la debida protección frente a tales riesgos [porque] Los servicios de pago son esenciales para el mantenimiento de actividades económicas y sociales de vital importancia (…). (33) La presente Directiva debe tener por objeto (…) garantizar la seguridad de las operaciones de pago y proteger al cliente de riesgos demostrables de fraude (…). (69) La obligación de preservar la seguridad de las credenciales personalizadas es de extrema importancia para proteger los fondos del usuario de servicios de pago y limitar los riesgos de fraude y el acceso no autorizado a la cuenta de pago (…). (91) Los proveedores de servicios de pago son responsables de las medidas de seguridad (…). (95) La seguridad de los pagos electrónicos es fundamental para garantizar la protección de los usuarios y el desarrollo de un entorno adecuado para el comercio electrónico. Todos los servicios de pago ofrecidos electrónicamente deben prestarse con la adecuada protección, gracias a la adopción de tecnologías que permitan garantizar una autenticación segura del usuario y minimizar el riesgo de fraude (…)”.
6 Real Decreto-Ley 19/2018, de 23 de noviembre, de Servicios de Pago.
7 Albadalejo. Derecho Civil II. Ed. Edisofer, SL. Pág. 179
8 Xavier O´Callaghan. Derecho Civil II. Ed. Revista de Derecho Privado. Pág. 170.
9 SAP de Madrid, Sec. 20ª, nº 184/2022, de fecha 20/5/2022. F.D. Cuarto “la creación y puesta en la red de páginas que clonan las del sitio oficial de las entidades emisoras de instrumentos de pago, el deber de diligencia de la entidad demandada exigía dotarse de la tecnología antiphishing precisa para detectar las páginas clonadas de las oficiales propias y cerrarlas o eliminarlas”
10 SAP de Badajoz, Sec. 3ª, S. 16-06-2022, nº 159/2022. F. D. Primero “(…) así como tampoco que hubiera proveído al demandante de los mecanismos de autenticación y supervisión suficientes (reforzados) para detectar y evitar la utilización fraudulenta de su medio de pago, como puede ser el dotarse de la tecnología antiphishing precisa para detectar las páginas o enlaces fraudulentos, impidiendo su acceso, lo que, de haberse producido, hubieran evitado que el defraudador pudiera hacerse con las credenciales del usuario del instrumento de pago por ella emitido, pues la rotura del enlace haría ya ineficaz cualquier conducta que frente al mismo pudiera observar el usuario receptor”.
11 La ICANN (International Corporation for Assigned Names and Numbers) es la entidad encargada de asignar las direcciones de los protocolos IP y el sistema de nombres de dominio (DNS).
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación