El avance y ventajas que ha supuesto la implantación y uso, ya generalizado, de la banca electrónica son indudables. No obstante, existen multitud de técnicas que permiten a ciberdelincuentes sortear las medidas de seguridad y disponer del dinero del usuario fraudulentamente. Desgraciadamente, cada vez nos son más familiares los anglicismos por los que se conocen estas técnicas: mediante SIM Swaping se obtiene de forma fraudulenta un duplicado de la tarjeta SIM accediendo a los SMS de validación de operaciones bancarias; con ataques de Remote Desktop Protocol se consigue acceder al “escritorio” de un dispositivo, pudiendo ver la pantalla de un dispositivo en remoto e incluso operarla; el Phishing simula una web (o mail, o mensaje…) del banco engañando al usuario para que introduzca sus claves; el Skimming es la reproducción o clonación de tarjetas bancarias para su uso fraudulento; y un largo etcétera. La lista es larga, sus integrantes están en constante innovación, y a ella se añaden nuevas técnicas cada vez más sofisticadas.
Si se resulta víctima de alguno de estos fraudes, la vía frente a los ciberdelincuentes, penal o civil, es habitualmente compleja, pues la actividad fraudulenta online es complicada de rastrear. Y en su caso, nos solemos encontrar con circunstancias que dificultan el procedimiento, como que los responsables se encuentren en otros países, muchas veces fuera de la Unión Europea, por ejemplo. Es por tanto incierto tratar de recuperar el dinero por esta vía.
Por ello, debemos contemplar la reclamación frente a la entidad bancaria por su responsabilidad ante operaciones no autorizadas por el cliente. Actualmente, dicha responsabilidad se prevé en el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, artículos 42 y siguientes, siendo transposición de normativa de la Unión.
Se establece un sistema de responsabilidad cuasi objetiva de la entidad proveedora del servicio de pago -como lo ha tildado la jurisprudencia-, pues se presume la falta de autorización si el usuario lo niega, con inversión de la carga probatoria. Se dispone que el “usuario de servicios de pago” (diremos ‘cliente’ para mayor comodidad) obtendrá la rectificación por parte del “proveedor de servicios de pago” (diremos ‘banco’) de una operación de pago no autorizada o ejecutada incorrectamente si el cliente se lo comunica sin demora injustificada en cuanto tenga conocimiento.
Corresponde al banco demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio. Asimismo, le corresponderá probar que el cliente cometió fraude o negligencia grave. Es en este punto donde suele encontrarse el quid de la cuestión en este tipo de reclamaciones. Generalmente, la entidad bancaria trata de excluir su responsabilidad alegando que la operación se realizó cumpliendo los requisitos de autenticación reforzada, siendo debidamente registrada y contabilizada, de modo que –en la dialéctica del banco– la operación sólo se explica con que el cliente haya cedido sus claves a terceros de manera fraudulenta o negligente.
El propio Real Decreto-ley refiere que el registro por el banco no bastará para demostrar que la operación de pago fue autorizada por el cliente, ni que éste ha actuado de manera fraudulenta o por negligencia grave. El sistema de autentificación de doble factor o autenticación reforzada no cabe duda de que es una medida de seguridad que reduce el riesgo, pero en ningún caso lo mitiga, y por ello, que una operación se haya realizado con esta medida, no asegura de manera incuestionable que la operación haya sido autorizada por el cliente o que este haya actuado negligentemente.
La negligencia debe ser grave. La Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior, apunta en este sentido que “si el concepto de negligencia supone un incumplimiento del deber de diligencia, la negligencia grave tiene que significar algo más que la mera negligencia, lo que entraña una conducta caracterizada por un grado significativo de falta de diligencia”.
El banco debe asumir una labor de vigilancia extrema, profesionalizada y mayor que la exigible a la persona media, suponiendo su incumplimiento una suerte de “culpa in vigilando”. La existencia de técnicas para sortear las medidas de seguridad de la banca electrónica suplantando la identidad de los usuarios obteniendo sus claves operativas es un riesgo inherente a un sistema de banca por internet diseñado por la propia entidad, que se publicita como seguro y fiable –que supone un ahorro de costes, materiales y humanos– lo que implica el deber de soportarlo.
Esa labor de vigilancia no se satisface con la mera cumplimentación de recomendaciones genéricas. A este respecto el Reglamento Delegado (UE) 2018/389 de la Comisión Europea, de 27 de noviembre de 2017, al establecer los requisitos generales de autenticación, en su artículo 2, dispone que los proveedores de servicios de pago dispondrán de mecanismos de supervisión de las operaciones que les permitan detectar operaciones de pago no autorizadas o fraudulentas que se basarán en el análisis de las operaciones que caractericen el uso normal del usuario, teniendo en cuenta elementos como el importe de cada operación de pago, el modus operandi en los supuestos de fraude más conocidos, el dispositivo habitual del usuario, etc.
Partiendo de dichas premisas, en caso de que se ejecute una operación de pago no autorizada, el banco debe devolver al cliente el importe de la operación, restituyendo la cuenta en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación en cuestión. Existen reiteradas sentencias de Audiencias Provinciales que respaldan la responsabilidad de las entidades bancarias con obligación de restituir los importes dispuestos fraudulentamente; mencionamos algunas:
- SAP de Cádiz, Sección 2ª, nº 474/2023, de 23 de noviembre.
- SAP de Santander, Sección 2ª, nº 500/2023, de 10 de octubre.
- AP de Ourense, Sección 1ª, nº 369/2023, de 9 de junio.
- AP de A Coruña, Sección, nº 6ª, nº 86/2022, de 29 de marzo.
- SAP de Pontevedra, Sección 6ª, nº 113/2021, de 7 de abril.
- SAP de Badajoz, Sección 2ª, nº 205/2020, de 11 de marzo.