Skip to content

Responsabilidad Civil De La Entidad Bancaria En Estafas Digitales. A Cargo de Judith Martín

AD 106/2022

Responsabilidad Civil De La Entidad Bancaria En Estafas Digitales. Phishing

 

I.- INTRODUCCIÓN.

La digitalización de los servicios bancarios y la creación de pasarelas y plataformas de pago han facilitado enormemente las transacciones bancarias, de tal manera que, a día de hoy, resulta muy cómodo realizar cualquier tipo de transacción a través de nuestras aplicaciones bancarias.

Sin embargo, todo avance siempre trae consigo un inconveniente. En este caso, la proliferación de delitos informáticos, sobre todo, de las estafas digitales. El más común de los delitos de estafa digital es el “phishing”, un tipo de estafa en el que cada vez se utilizan técnicas más depuradas para tratar de evitar el rastreo de los fondos sustraídos y, sobre todo, de los autores del delito.

Pues bien, precisamente por la dificultad de localizar a los responsables de este tipo de delitos, por medio de la trasposición de una Directiva europea (conocida como la Directiva DSP2), nuestra legislación ha creado un sistema de responsabilidad civil en virtud del cual, las entidades bancarias depositarias de las cuentas corrientes de las que se han sustraído los fondos podrán responder civilmente del delito.

II.- PALABRAS CLAVE.

Estafa digital – phishing – delito informático – estafador – servicios bancarios – servicios de pago – fondos – responsabilidad civil – entidad bancaria

III.- DEFINICIÓN DE PHISHING.

El phishing es aquella técnica por la que el estafador, mediante el envío de un sms, un correo electrónico o una llamada, consigue acceder a las claves personales del usuario del servicio digital bancario y realiza una transferencia de fondos no consentida –e incluso desconocida- desde la cuenta corriente o tarjeta de su legítimo titular hasta otra propiedad del estafador, sin dejar un rastro aparente de la ilicitud de dicha disposición para el proveedor del servicio bancario.

De conformidad con el artículo 248.2, a) del Código Penal, definiríamos al phishing como un delito de estafa que consiste en realizar, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro.

Entre las técnicas utilizadas por los estafadores para acceder a las claves personales se encuentran las llamadas a través de las cuales un teleoperador -que dice pertenecer a una compañía de suministros- solicita datos bancarios, un sms de una empresa de mensajería alertando de que nuestro pedido ya está listo para recogerse, mensajes de la que parece ser nuestra entidad bancaria solicitando actualización de nuestros datos e, incluso, mensajes que parecen emitirse por organismos públicos como Hacienda o Seguridad Social.

IV.- RESPONSABILIDAD CIVIL DERIVADA DEL DELITO DE ESTAFA DIGITAL.

Pues bien, dejando al margen la responsabilidad penal en la que incurre el autor de un delito de estafa digital (phishing), en este artículo me centraré en la responsabilidad civil en la que incurre la entidad bancaria en la que la víctima tiene depositados sus fondos y abierta su cuenta bancaria.

Es el Real Decreto-Ley 19/2018, de 25 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (que deroga la anterior Ley 16/2009, de 13 de noviembre, de servicios de pago, con motivo de la trasposición de la Directica (UE) 2015/2366 del Parlamento y del Consejo, de 25 de noviembre, sobre Servicios de Pago en el Mercado Interior –conocida como DSP2-), el que recoge las obligaciones de los proveedores de servicios de pago en aras a garantizar la seguridad del servicio (artículo 42 del RDL).

Por lo tanto, en caso de negligencia por parte de la entidad en el cumplimiento de dichas obligaciones, sobre todo, en aquellos casos en los que no se hayan establecido mecanismos de autenticación reforzada, será responsable de aquellas operaciones que se hayan realizado sin el consentimiento del usuario del servicio de pago y legítimo titular de la cuenta bancaria. Pero, también lo serán, en aquellos casos en los que no hayan incurrido en dolo o culpa.

Se establece así un marco de responsabilidad cuasi-objetiva de los proveedores de servicios de pago, en el que, además, se invierte la carga de la prueba, de tal manera que cuando un usuario niegue haber autorizado una operación de pago ya ejecutada, corresponderá al proveedor del servicio demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia. Es decir, que la entidad tiene que acreditar que se cumplieron con todos los requisitos de autenticación del usuario y que éste insertó sus claves de acceso desde el terminal o herramienta vinculado a su cuenta bancaria o tarjeta, autorizando la operación con el código secreto o cualquier medio proporcionado por el servicio.

En definitiva, el banco o proveedor únicamente podrá exonerarse de tal responsabilidad cuando pueda acreditar que fue el usuario del servicio quien cometió fraude o negligencia grave a la hora de proteger sus datos personales y confidenciales (no pudiéndose considerar como tal haber caído en fraude o engaño a través de un correo o página web aparentemente fiables).

V.- PROCEDIMIENTO.

Para solicitar al proveedor del servicio la devolución de los fondos sustraídos, el usuario deberá comunicar a la entidad la realización de una operación no autorizada en cuanto tenga conocimiento de la misma y, en todo caso, en un plazo máximo de 13 meses desde la fecha en que se produjo el adeudo.

Además, aun cuando la carga de probar le corresponda al proveedor del servicio, resulta aconsejable acompañar a la reclamación dirigida a la entidad la denuncia de la transferencia o pago no autorizado ante las fuerzas y cuerpos de seguridad.

En caso de que el proveedor se niegue a proceder a la devolución de los fondos, alegando que la operación se realizó por negligencia imputable al usuario, se podrá proceder a la interposición de la correspondiente demanda ante la jurisdicción civil, no siendo necesario acudir a un procedimiento penal (en dicho procedimiento, el proveedor o entidad será responsable civil subsidiario).

Judith Martín Sánchez

3 de octubre de 2022


Autora: Judith Martín Sánchez

Abogada colegiada en el Ilustre Colegio de Abogados de Valladolid.

He formado parte del equipo de Monclús & Busto Landín, Abogados durante aproximadamente dos años, y actualmente soy abogada colaboradora del despacho Vicente & Matanza, Abogados y Asesores, radicados ambos en Valladolid.

Mi dedicación profesional se centra principalmente en el Derecho bancario, Consumidores y Usuarios y en el Derecho de Familia.

Twitter: @JudithMartinSa1

LinkedIn: linkedin.com/in/Judith-martín-sánchez-59018a152

 

Deja un comentario

A %d blogueros les gusta esto: