Phising; suplantación de identidad; banca on line; responsabilidad. SAP Alicante 107/2018, de 12 marzo (AC 2018, 818).
La Audiencia Provincial de Alicante desestima el recurso interpuesto por la entidad al considerar que hubo un incumplimiento de sus obligaciones tras recibir el aviso de la transferencia fraudulenta por parte de la actora.
-
Supuesto de hecho
La sentencia versa sobre el fraude informático realizado a través del método conocido como "phising" o transferencia no autorizada desde la cuenta abierta en la entidad por la perjudicada a primeros de octubre de 2009 de 8.400 euros. El Juzgado de Primera Instancia núm. 7 de Alicante condenó a la entidad al reintegro del citado importe. La entidad interpuso recurso de apelación que es desestimado por la Audiencia Provincial de Alicante.
-
Criterio o ratio decidendi
La sentencia explica la doctrina jurisprudencial en materia de phising, en virtud de la cual la responsabilidad de la titular de la banca online es de naturaleza cuasi-objetiva, derivada de la exigencia a la entidad titular del servicio online de adoptar medidas de seguridad necesarias y renovables ante los distintos modos de fraude informático, de tal modo que salvo que se acredite la negligencia grave por parte del usuario de la banca electrónica, la entidad financiera debe responder del reintegro de los importes obtenidos de forma fraudulenta, habiendo puesto de relieve Google que es factible técnicamente la manipulación de la página de banca. Así pues, la responsabilidad del proveedor de los servicios de banca online, es de riesgo y consecuentemente, le corresponde por ley acreditar que la operación ordenada sí fue auténtica y que no estuvo afectada por un fallo técnico o por otra deficiencia. En consecuencia, hay responsabilidad bancaria por los defectos de seguridad del sistema que determina la ejecución de órdenes de pago no autorizadas por su cliente, con la única excepción de que el banco acredite la culpa o negligencia de la víctima.
Confirma que es la prestadora de los servicios de pago quien tiene la obligación de facilitar un sistema de banca telemática segura, y no son sus clientes- usuarios los que deben prevenir ni averiguar las modalidades de riesgos que el sistema conlleva, ni prevenir con un asesoramiento experto los mismos, no pudiendo en suma la parte obligada legalmente a ofrecer un modelo de servicio de caja que requiere de un especial nivel de seguridad, objetar que el usuario debía conocer aspectos técnicos tales como identificar una web como falsa -cuando no consta que fuera burda y por tanto, evidente de toda falsedad-, ni que no eran fallos técnicos sino riesgos fraudulentos, determinados comportamientos de la plataforma que, no se olvide, son tan factibles que incluso el contrato de banca directa alude -para eludir responsabilidades el prestador- al riesgo de fallos técnicos, errores, interrupciones, desconexiones, sobrecargas y otras formas de defectos en la conexión.
Y concluye determinando que resulta evidente que en el caso hubo un incumplimiento contractual del banco al ejecutar una orden de pago sin comprobar su legitimidad, es decir, que provenía efectivamente del titular (o autorizado) de la cuenta, al no disponer de un sistema adecuado de seguridad que previniera tal tipo de órdenes fraudulentas ni adoptar medidas concretas y específicas en el caso cuando toma conocimiento de una situación operativa anormal que debió, cuando menos de forma puntual y excepcional, a verificar cualquiera orden que se diera en relación a las cuentas de la demandante.
-
Documentos relacionados
Normativa considerada
- Arts. 2, 25, 30, 31 y 32 de la Ley de servicios de pago (RCL20092193).
- Arts. 147 y 148 de la Ley de Consumidores y Usuarios (RCL20072164).
- Art. 217 [RCL200034#A.217] de la LEC (RCL 2000, 34).
- SAP Bacelona (Sección 14), sentencia núm. 151/2013, de 7 marzo (JUR2013171665).
Jurisprudencia relacionada