Decir que la tecnología ha cambiado la forma que teníamos de relacionarnos es, a estas alturas del siglo XXI, una perogrullada. Al igual que decir que no es oro todo lo que reluce.
El desarrollo tecnológico, si bien ha mejorado nuestra calidad de vida en muchos aspectos también ha sido aprovechado por los ciberdelincuentes para llevar a cabo sofisticadas actuaciones que generan graves perjuicios a empresas y a particulares.
De esta manera la palabra phishing se ha convertido, por desgracia, en un término habitual en nuestras conversaciones. El phishing es una técnica que consiste en el envío de un correo electrónico por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima (red social, banco, institución pública, etc.) con el objetivo de robarle información privada, realizarle un cargo económico o infectar el dispositivo.
Y es que, ¿quién no ha recibido en su teléfono móvil un mensaje de que ha sido imposible realizar la entrega de un paquete instando a clicar sobre un enlace para agendar nueva fecha de entrega?
Más allá de este tipo de comunicaciones con una apariencia más o menos verosímil, lo cierto es que una de las técnicas más frecuentes utilizadas por los ciberdelincuentes -y más difícil de detectar debido a su sofisticación-, es la conocida con la expresión inglesa «Man in the Middle» (hombre en el medio en español).
Mediante esta técnica el ciberdelincuente intercepta las comunicaciones intercambiadas entre dos partes, monitorizando los mensajes y, llegado el momento, manipulando a su antojo los mensajes cruzados.
Una de las tipologías más frecuentes es la del fraude de facturas por correo electrónico. En estos casos la actuación del delincuente se produce cuando, en el contexto del pago de unos servicios, el proveedor remite a su cliente una factura. En este punto, estando las comunicaciones previamente monitorizadas por el delincuente, este envía desde la cuenta de correo electrónico del propio proveedor o desde una con un nombre de dirección muy similar, una factura manipulada, generalmente en relación con el número de cuenta, cambiando la original por otra en la que pretende se haga el pago.
La apariencia de la factura recibida por el cliente hace difícil que pueda apreciarse la manipulación, y una vez que el deudor ha abonado el importe en la nueva cuenta, el delincuente desaparece sin dejar rastro, no detectándose la intrusión hasta pasado un tiempo, cuando el proveedor, al no ver el ingreso en la cuenta que indicó en su factura, contacta con el cliente y descubre lo ocurrido.
Este frecuente supuesto, hace plantearse determinadas cuestiones. En primer lugar, ¿el pago hecho por el deudor tiene carácter liberatorio para él?
En este sentido, para que el pago hecho por el deudor tenga para él carácter liberatorio, es decir, que para que el acreedor no pueda exigirle pagar nuevamente la cantidad abonada, se requieren tres requisitos. En primer lugar y como no podía ser de otra manera, que el pago se haya hecho de manera efectiva; en segundo lugar que el pago se haya efectuado con buena fe, esto es con el convencimiento de que quien paga lo hace al verdadero acreedor; y por último, que el deudor al hacer el pago haya empleado la diligencia debida, es decir, que el error en la cuenta de abono no le sea imputable (por ejemplo, si no es la primera cantidad que abona al citado proveedor, podría comprobarse de manera relativamente fácil que la cuenta a la que se iba a hacer la transferencia es distinta a las anteriores).
Sólo la concurrencia de estos tres requisitos liberará al deudor en su obligación para con el acreedor, en caso contrario, el deudor resultará obligado a efectuar un nuevo pago a su verdadero acreedor, sin perjuicio de poder reclamar a quien efectivamente percibió el dinero, la devolución de lo entregado.
Lamentablemente, en este tipo de supuestos es bastante frecuente que el dinero transferido a la cuenta del ciberdelincuente desaparezca de manera prácticamente inmediata hacia cuentas ubicadas fuera de nuestro país resultando en la práctica infructuosa cualquier acción ejercitada contra el ciberdelincuente.
En este contexto, cabría plantearse la segunda de las cuestiones. ¿Es posible la exigencia a la entidad financiera de algún tipo responsabilidad derivada del incumplimiento de los deberes que le son exigibles en su condición de proveedor de servicios de pago?
Nuestro Tribunal Supremo ha tenido la oportunidad recientemente de pronunciarse en su sentencia número 507/2025 de 27 de marzo sobre la responsabilidad de los proveedores de servicios de pago en este tipo de supuestos de phishing, llegando a la conclusión de que la entidad financiera no está exenta de responsabilidad cuando se constate la concurrencia de circunstancias que pudieran haber influido en la ejecución defectuosa de la operación, bien porque entre el usuario y el proveedor se hubiera estipulado expresamente la exigencia de garantías adicionales, bien porque el proveedor de servicios de pago del ordenante o del beneficiario hubieran aprovechado el error en beneficio propio o bien porque, comunicada sin demora la existencia del error, uno u otro no hubieran adoptado las medidas que imponía la diligencia de un comerciante experto para permitir la retroacción de la operación. No obstante, parece que en las próximas fechas nuestro Alto Tribunal va a dictar dos nuevas sentencias sobre la materia.
Por lo que, hasta conocer el sentido de dichas resoluciones y si las mismas continúan por el camino descrito, deberemos de estar a las vicisitudes del caso concreto para determinar, tanto si el pago hecho de buena fe por el deudor es liberatorio para él, como si cabría la reclamación de algún tipo de responsabilidad a la entidad financiera sobre la base de los deberes que le son exigibles.
