Al margen de la estafa comúnmente conocida como “phishing”, proliferan en la red todo tipo de delitos o timos. Son cada vez más habituales aquellos cuyo “modus operandi” consiste en interceptar las comunicaciones electrónicas pre- o postcontractuales de las partes de una relación comercial para modificar los datos de la cuenta bancaria receptora del pago, induciendo a error a la parte compradora o pagadora. El estafador se hace pasar por la parte vendedora desde la misma dirección de correo electrónico, modificando o añadiendo un solo carácter, de forma que resulta casi imperceptible y muy difícil de detectar por quien recibe dicha comunicación.
Sin perjuicio de las acciones frente al estafador, que en la mayoría de casos serán infructuosas al tratarse de sociedades fantasmas, prácticamente inidentificables e ilocalizables, cabe plantearse si existe algún tipo de responsabilidad por parte de la entidad bancaria que recibe y ejecuta la transferencia, es decir del prestador de servicios de pago del beneficiario.
Al no existir relación contractual entre el ordenante de la transferencia y la prestadora de servicios que ejecuta el pago al beneficiario, tal responsabilidad sería, en todo caso, de naturaleza extracontractual.
En el marco comunitario, una primera línea la constituye la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior, traspuesta en nuestro ordenamiento jurídico por el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, que exime de responsabilidad a los proveedores de servicios de pago, por la no ejecución o ejecución defectuosa de una orden de pago cuando el identificador único facilitado por el ordenante es incorrecto.
Por otro lado, el Reglamento (UE) 2015/847 del Parlamento Europeo y del Consejo de 20 de mayo de 2015 relativo a la información que acompaña las transferencias de fondos, impone a los prestadores de servicios de pago una serie de obligaciones en cuanto al control y a la supervisión de los pagos. Así, cabe destacar la obligación de implantar medios eficaces para detectar que las transferencias han sido cumplimentadas con caracteres válidos, como son el nombre del beneficiario y el número de cuenta del beneficiario. Además, en transferencias superiores a 1.000 euros, el beneficiario no puede disponer de la suma hasta que se contraste dicha información.
Por último, el citado Reglamento exige que, en caso de discordancia entre la información mencionada, la entidad de pago rechace la ejecución de la transferencia o se requiera la información complementaria a la entidad ordenante.
En conclusión, la citada regulación impone un marco de control y supervisión muy importante en estos tiempos de comunicación telemática/virtual con el fin de combatir el ciberfraude y el enriquecimiento injusto de ciberestafadores, imponiendo a quienes disponen de los medios para ello las tareas de control y supervisión como medida de protección especial a las víctimas de estos fraudes que, desgraciadamente, se producen cada día con más asiduidad.
