Els avenços tecnològics han estat directament proporcionals als avenços de la delinqüència informàtica, l’anomenada ciberdelinqüència. La majoria dels delictes que es denuncien ja són d’aquesta naturalesa i cada dia apareixen noves formes de delinqüència que deixen palès que anem per darrere de la crua realitat en aquesta matèria. Fa poc, un expert, referint-se sobretot a la modalitat del phishing (on es rep un enllaç aparentment de la teva entitat bancària demanant dades) ens deia que tard o aviat «clicarem», és qüestió de temps.
Com ja hem comentat en altres ocasions al Diari de Girona, sobta, d’una banda, la increïble facilitat amb la qual actuen els ciberdelinqüents, i, d’altra banda, sobta la punyent impunibilitat davant la impossibilitat en la majoria de les ocasions d’identificar, trobar i detenir al delinqüent. Avui, això no obstant, parlarem de la responsabilitat civil derivada d’aquests delictes, sobretot encara que no únicament, de la modalitat del phishing.
A nivell normatiu ens hem de remuntar a la Directiva (UE) 2015/2366 sobre serveis de pagament en el mercat interior, que establia una sèrie d’obligacions tant pels usuaris dels serveis de pagament com per les entitats bancàries com a proveïdores dels mateixos i fixava un règim de responsabilitat en cas de frau, que donà lloc al Real Decreto Ley 19/2018 de serveis de pagament i mesures urgents en matèria financera.
En aquest sentit, per part de l’usuari, tenim que aquest haurà de prendre les mesures raonables per protegir les credencials de seguretat personalitzades, i en cas de pèrdua o robatori de les mateixes posar-ho en coneixement immediat de l’entitat bancària. Aquesta, per la seva part, haurà d’adoptar les mesures de seguretat indispensables per assegurar la identitat de l’ordenant i confirmar l’autenticitat de l’operació, com és el sistema de doble autenticació. Ja. Però si, tot i això, es comet el frau, qui paga la festa?
Amb això ens trobem una clara evolució de la jurisprudència, que ha passat de certa resistència a condemnar a l’entitat bancària quan la seva negligència no era clara o no estava ben determinada, a una responsabilitat quasi objectiva del banc en els casos que no s’hagi acreditat una negligència greu per part de l’usuari. L’explicació d’aquest canvi la podem trobar en molts factors: la necessitat de protecció del consumidor davant l’allau d’aquestes conductes fraudulentes; la incentivació de les mesures de seguretat que s’han vist clarament insuficients (jo crec que el motiu principal); i també amb la mateixa lògica processal quant a la càrrega de la prova. M’explico.
La generalitat del frau informàtic, ha deixat entreveure que el sistema de pagament no és prou segur. És cert que rebem constantment comunicacions de les nostres entitats bancàries insistint en la protecció de les nostres credencials, en no facilitar les mateixes i que en tot cas es verifiqui qualsevol sol·licitud amb la mateixa entitat bancària. Però és més cert encara que l’allau d’intents de frau supera l’anterior, i l’evolució, enginy i, sobretot, la facilitat amb la qual opera el delinqüent, han superat la realitat d’aquestes barreres de seguretat.
Fins ara, les entitats bancàries quedaven exonerades de responsabilitat si no s’havia provat adequadament la mateixa o hi havia hagut certa negligència per part de l’usuari. Ara això ha canviat, i aquesta nova realitat s’ha vist reflectida en sentències més modernes per part dels tribunals, que venen a recollir que l’exoneració de la responsabilitat bancària per negligència de l’usuari requereix que aquesta sigui greu, és a dir, no és suficient qualsevol omissió de diligència per part de l’usuari-consumidor, sinó que aquesta ha de ser flagrant, en el sentit de què hi hagi una absoluta falta d’observança de les normes més essencials d’evitació del frau en protecció del seu propi patrimoni.
Les entitats bancàries, com ja va passar amb el tema de les despeses i comissions en hipoteques i altres operacions, han abusat de la seva posició de domini i han traslladat els riscos a l’usuari, rebutjant sistemàticament les reclamacions dels usuaris que havien patit un frau informàtic. Però com hem apuntat, els tribunals (avançant-se i marcant el camí de les futures reformes normatives que han d’aplicar-se en aquesta matèria), han anat matisant i restringint la interpretació del concepte de «negligència greu», suavitzant-lo en protecció de l’usuari, en el sentit de què no qualsevol falta de diligència del mateix pot considerar-se com a negligència greu.
Aquestes sentències, la majoria d’Audiències Provincials, fonamenten la responsabilitat civil de l’entitat bancària en la falta de prova de la negligència greu de l’usuari, i en el fet de què no són suficients els avisos bancaris del phishing, sinó que és necessari a més que l’entitat bancària adopti les mesures de seguretat que l’impedeixin. Així doncs, en els casos d’operacions fraudulentes no ordenades per l’usuari, l’entitat bancària, com a proveïdora del servei de pagament, té una responsabilitat quasi objectiva, li correspondrà la prova del compliment de les mesures de seguretat per evitar el frau, i només quedarà exonerada si prova el frau o la negligència greu per part del mateix usuari.
Vist, per tant, l’augment de casos de frau informàtic, és important revisar els protocols de ciberseguretat de les polítiques de Compliance, ja que la millor manera d’evitar la responsabilitat derivada del frau, és simplement evitar el frau.
Antoni Pérez De-Gregorio i Capella
Client Choice Awards 2020 Litigation
Advocat a Rebled Bellvehí Advocats