Los avances tecnológicos han sido directamente proporcionales a los avances de la delincuencia informática, la llamada ciberdelincuencia. La mayoría de los delitos que se denuncian ya son de esa naturaleza y cada día aparecen nuevas formas de delincuencia que dejan patente que vamos por detrás de la cruda realidad en esta materia. Recientemente, un experto, refiriéndose sobre todo a la modalidad del phishing (donde se recibe un enlace aparentemente de tu entidad bancaria pidiendo datos) nos decía que tarde o pronto «clicaremos», es cuestión de tiempo.
Como ya hemos comentado en otras ocasiones en el Diari de Girona, sorprende, por un lado, la increíble facilidad con la que actúan los ciberdelincuentes, y, por otro lado, sorprende la desgarradora impunibilidad ante la imposibilidad en la mayoría de las ocasiones de identificar, encontrar y detener al delincuente. Hoy, sin embargo, hablaremos de la responsabilidad civil derivada de estos delitos, sobre todo, aunque no únicamente, de la modalidad del phishing.
A nivel normativo debemos remontarnos a la Directiva (UE) 2015/2366 sobre servicios de pago en el mercado interior, que establecía una serie de obligaciones tanto por los usuarios de los servicios de pago como por las entidades bancarias como proveedoras de los mismos y fijaba un régimen de responsabilidad en caso de fraude, que dio lugar al Real Decreto Ley 19/2018 de servicios de pago y medidas urgentes en materia financiera.
En este sentido, por parte del usuario, tenemos que este deberá tomar las medidas razonables para proteger las credenciales de seguridad personalizadas, y en caso de pérdida o robo de las mismas, ponerlo en conocimiento inmediato de la entidad bancaria. Esta, por su parte, deberá adoptar las medidas de seguridad indispensables para asegurar la identidad del ordenante y confirmar la autenticidad de la operación, como es el sistema de doble autenticación. Ya. Pero si, sin embargo, se comete el fraude, ¿quién paga la fiesta?
Con esto nos encontramos una clara evolución de la jurisprudencia, que ha pasado de cierta resistencia a condenar a la entidad bancaria cuando su negligencia no estaba clara o no estaba bien determinada, a una responsabilidad casi objetiva del banco en los casos que no se haya acreditado una negligencia grave por parte del usuario. La explicación de este cambio la podemos encontrar en muchos factores: la necesidad de protección del consumidor frente al alud de estas conductas fraudulentas; la incentivación de las medidas de seguridad que se han visto claramente insuficientes (yo creo que el principal motivo); y también con la misma lógica procesal en cuanto a la carga de la prueba. Me explico.
La generalidad del fraude informático, ha dejado entrever que el sistema de pago no es suficientemente seguro. Es cierto que recibimos constantemente comunicaciones de nuestras entidades bancarias insistiendo en la protección de nuestras credenciales, al no facilitar las mismas y que en cualquier caso se verifique cualquier solicitud con la misma entidad bancaria. Pero es más cierto aún que el alud de intentos de fraude supera al anterior, y la evolución, ingenio y, sobre todo, la facilidad con la que opera el delincuente, han superado la realidad de estas barreras de seguridad.
Hasta ahora, las entidades bancarias quedaban exoneradas de responsabilidad si no se había probado adecuadamente la misma o hubo cierta negligencia por parte del usuario. Ahora esto ha cambiado, y esta nueva realidad se ha visto reflejada en sentencias más modernas por parte de los tribunales, que vienen a recoger que la exoneración de la responsabilidad bancaria por negligencia del usuario requiere que esta sea grave, es decir, no es suficiente cualquier omisión de diligencia por parte del usuario-consumidor, sino que esta debe ser flagrante, en el sentido de que exista una absoluta falta de observancia de las normas más esenciales de evitación del fraude en protección de su propio patrimonio.
Las entidades bancarias, como ya ocurrió con el tema de los gastos y comisiones en hipotecas y otras operaciones, han abusado de su posición de dominio y han trasladado los riesgos al usuario, rechazando sistemáticamente las reclamaciones de los usuarios que habían sufrido un fraude informático. Pero como hemos apuntado, los tribunales (adelantándose y marcando el camino de las futuras reformas normativas que deben aplicarse en esta materia), han ido matizando y restringiendo la interpretación del concepto de «negligencia grave», suavizándolo en protección del usuario, en el sentido de que no cualquier falta de diligencia del mismo puede considerarse como negligencia grave.
Estas sentencias, la mayoría de Audiencias Provinciales, fundamentan la responsabilidad civil de la entidad bancaria en la falta de prueba de la negligencia grave del usuario, y en que no son suficientes los avisos bancarios del phishing, sino que es necesario además que la entidad bancaria adopte las medidas de seguridad que le impidan. Así pues, en los casos de operaciones fraudulentas no ordenadas por el usuario, la entidad bancaria, como proveedora del servicio de pago, tiene una responsabilidad casi objetiva, le corresponderá la prueba del cumplimiento de las medidas de seguridad para evitar el fraude, y solo quedará exonerada si prueba el fraude o la negligencia grave por parte del propio usuario.
Visto, por tanto, el aumento de casos de fraude informático, es importante revisar los protocolos de ciberseguridad de las políticas de Compliance, puesto que la mejor manera de evitar la responsabilidad derivada del fraude, es simplemente evitar el fraude.
Antoni Pérez De-Gregorio y Capella
Cliente Choice Awards 2020 Litigation
Abogado en Rebled Bellvehí Advocats