Ciberdelitos: responsabilidad de las entidades financieras

Ciberdelitos: responsabilidad de las entidades financieras

La responsabilidad financiera ante los fraudes informáticos

Los servicios financieros han ido evolucionando dentro de un entorno económico cada vez más disruptivo como consecuencia de las innovaciones tecnológicas[1]. En los últimos años, el incremento de la operativa electrónica bancaria, si bien ha mejorado en términos de eficacia los procesos operativos de servicios de pago y, en general, de la operativa bancaria, también ha introducido nuevos riesgos para los usuarios relacionados con la ciberdelincuencia. Los términos phishing, pharming o sniffing, hasta ahora desconocidos para la mayoría de los clientes bancarios, han tomado notoriedad, al sucederse, con cada vez más frecuencia[2], situaciones de suplantación de identidad electrónica con ejecución de transferencias, compras no autorizadas, disposiciones de dinero desde la banca electrónica, o incluso firmas de contratos, sin la autorización de los verdaderos titulares. La ciberdelincuencia ha puesto el foco en el sector bancario con un incremento exponencial de los ataques a sus sistemas informáticos.

Los ciberfraudes más comunes comparten tres características básicas: i) implican la obtención ilícita y oculta de datos sensibles del titular del servicio, ii) utilización de dichos datos para la suplantación electrónica de su identidad y iii) generan un perjuicio económico al usuario o la asunción de obligaciones económicas no autorizadas. Una vez el ciberdelincuente se encuentra en posesión de datos del usuario pueden darse varios supuestos de interacción con la entidad financiera: a) Interacción Directa, en la medida que el delincuente, suplantando al usuario, contacta con la entidad vía correo electrónico solicitando la ejecución de transferencias o, b) Interacción Indirecta, cuando el ciberdelincuente, sin contractar con la entidad, ordena electrónicamente transferencias utilizando la banca electrónica con claves del usuario o firma contratos vía electrónica con claves del usuario.

Acercándonos a supuestos de hecho concretos, la jurisprudencia ha determinado la existencia de responsabilidad del Banco que presta el servicio de pago siempre que no aplique protocolos de seguridad efectivos, en este sentido, la Ilma. Audiencia Provincial de Alicante se pronunciaba a favor de un usuario de servicios de pago en un caso de falsificación de una orden de transferencia al considerar como insuficiente que la entidad hubiese seguido el sistema de autenticación pactado entre las partes, dado que la responsabilidad de la seguridad de dicho sistema recae en el profesional financiero, no el usuario del servicio de pago:  “En consecuencia, es la prestadora de los servicios de pago quien tiene la obligación de facilitar un sistema de banca telemática segura, y no son sus clientes”[3]. Cuando ignore las evidencias de fraude tales como movimientos sospechosos a cuentas extrajeras, órdenes sospechosas en su dicción y/o contenido, cantidades extrañas en función de la operativa del cliente, tal y como ha señalado la Ilma. Audiencia Provincial de Barcelona en sentencia de 7 de marzo de 2013 condenó a Caixa Catalunya por no haber adoptado medidas adecuadas de seguridad, remarcando como constitutivo de responsabilidad ignorar las evidencias de fraude al haberse producido:  i) movimientos inusuales de fondos en la cuenta corriente y ii) transferidos a cuentas sospechosas.

Cuando, ante la denuncia del usuario, se mantiene pasivo sin detener las transferencias o reacciona de forma tardía[4][5], cuando, ante operaciones sospechosas, no realiza comprobaciones eficaces con los usuarios (no contacta con los usuarios o apoderados, o remite correos a la misma dirección de email que ordena las transferencias, es decir, interactúa con el delincuente). Sobre esta cuestión la Sentencia de la Ilma. Audiencia Provincial de Albacete de 23 de febrero de 2012 (Roj: SAP AB 167/2012) ponía de manifiesto que el usuario no debe soportar los defectos o falta de seguridad de un servicio que proporciona la entidad proveedora[6].

El Banco de España ha publicado en su página web lo siguiente sobre las estafas por bizum: “Entre las tretas que utilizan está la del falso comprador. Una persona interesada en un artículo de segundo mano que has puesto en venta te pide el número de móvil para hacerte un bizum en concepto de señal, pero en vez de enviarte el dinero hace uso de la funcionalidad de solicitarlo. Aunque en el mensaje se especifica claramente que es una solicitud, los estafadores saben que con las prisas es probable que no nos fijemos en ello y caigamos en el engaño.En el caso del falso vendedor, que vende cosas muy apetecibles a un precio por debajo del de mercado, te pide que le adelantes el dinero o una parte para hacer el envío, pagas por Bizum, el producto nunca llega y el vendedor desparece con el dinero rápidamente. Otro caso que se ha producido es el de las falsas prestaciones de la seguridad social o ERTEs. Pueden contactarte, bien por SMS o por llamada (vishing), simulando ser un organismo público en relación con una prestación que has de recibir y bajo el pretexto de que se realizará el envío de dinero por Bizum. De nuevo, realmente se está solicitando el dinero en vez de recibirlo. Los organismos oficiales no utilizan este cauce para estos trámites y nunca te solicitarán datos personales”.

En conclusión podría entenderse que las entidades financieras que prestan servicios de pago asumen una responsabilidad de riesgo cuasi objetiva que se traduce en la asunción de una obligación general de restitución de toda disposición de fondos no autorizada por el usuario, salvo en casos de actuación fraudulenta o gravemente negligente de este (medida en el marco de su condición no profesional) que deberá ser acreditada por parte de la entidad financiera.

Sacristán&Rivas Abogados recomienda a todos aquellos que hayan sido víctimas de un ciberfraude, acudir, tan pronto sea posible, a expertos cualificados en la materia para la realización de un estudio del caso concreto y de las posibilidades de defensa, estando este Despacho a su disposición a tales efectos.

Sacristán&Rivas Abogados

 

 

[1] PÉREZ GARCÍA, J.A.: “La regulación de la innovación tecnológica en el mercado financiero: Fintech, Crowdfunding y Bitcoin”, en Diario La Ley, Nº 9132, Sección Doctrina, 5 de febrero de 2018, Wolters Kluwer.

[2] Brunet, J.M.: La Fiscalía denuncia el imparable aumento de los delitos informáticos, Diario. El País de 7 de septiembre de 2020. Puede encontrarse en:

https://elpais.com/espana/2020-09-07/la-fiscalia-denuncia-el-imparable-aumento-de-delitos-informaticos.html

[3] SAP Alicante, Sección 8, nº 107/2018 (Roj: SAP A 632/2018). Falsificación de transferencia (phishing): “8.- La falsedad de la transferencia (es decir, que el ordenante no sea el titular de la cuenta) es un riesgo a cargo del banco porque, en principio, el deudor sólo se libera pagando al verdadero acreedor por lo que, si el banco cumple una orden falsa, habrá de reintegrar en la cuenta correspondientes las cantidades cargadas. Una excepción a esta distribución de riesgos se produce en el caso de que el titular haya creado o elevado el riesgo de falsificación de forma imputable en el caso concreto (STS 15 de julio de 1988). (…)  la entidad financiera no cumplió con los deberes de seguridad frente a los riesgos concretos que podrían derivarse del funcionamiento de su plataforma de banca digital, deberes que no se cumplen con la mera literalidad genérica de los contratos suscritos, ni con la firma o suscripción de los mismos, pues son de índole material y técnico que han de fluir a través de diversos niveles de seguridad que pueden constituir opciones de la entidad pero no frente a sus clientes usuarios del sistema en caso de fallo del mismo pues, en tales casos, constituye objetivamente la omisión de una medida esencial en tanto tienen por objeto garantizar la autenticación de la orden de pago como, por lo demás, se desprende del propio tener del contrato de banca próxima.

En consecuencia, es la prestadora de los servicios de pago quien tiene la obligación de facilitar un sistema de banca telemática segura, y no son sus clientes- (…) (…) En conclusión, resulta evidente que en el caso hubo un incumplimiento contractual del banco al ejecutar una orden de pago sin comprobar su legitimidad, es decir, que provenía efectivamente del titular (o autorizado) de la cuenta, al no disponer de un sistema adecuado de seguridad que previniera tal tipo de órdenes fraudulentas ni adoptar medidas concretas y específicas en el caso cuando toma conocimiento de una situación operativa anormal que debió, cuando menos de forma puntual y excepcional, a verificar cualquiera orden que se diera en relación a las cuentas de la demandante(…)”.

[4] Ibid. SAP de Barcelona Sección 14ª, nº 151/2013 (ROJ SAP B 2625/2013) y SAP Madrid Sección 9ª, nº 178/2015. Roj: SAP M 6240/2015:

[5] La SAP de Zaragoza nº 215/2013, Roj: SAP Z 1027/2013 señalaba: “(…) salvo una tardanza injustificada del usuario de los servicios en comunicar la irregularidad, » en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante le devolverá de inmediato el importe de la operación no autorizada y, en su caso, restablecerá la cuenta de pago en que haya adeudado dicho importe al estado que habría existido de no haberse efectuado la operación de pago no autorizada».

[6] SAP 61/2012 Albacete. Sección 2. Roj: SAP AB 167/2012: En este sentido, (…) No se trata de que actuara con mayor o menor diligencia la entidad recurrente, y que las transferencias parecieran correctas. De lo que se trata es que el usuario del servicio no debe soportar los defectos o falta de seguridad de un servicio que proporciona la entidad proveedora, especialmente obligada a cerciorarse de los elementos de seguridad y que sólo sea accesible el usuario al sistema de pago (art 28), y que en el caso, a la vista del resultado parece claro que el sistema de seguridad no resultó útil o suficiente (…) (…) En definitiva, quien resultó engañado o burlado no fue tanto el titular de la cuenta sino la entidad financiera y proveedora del servicio que tenía su custodia y los medios de seguridad para protegerla (…).