El titular de tarjetas de crédito o de servicios de banca electrónica es el primer responsable de la custodia de sus claves y, por lo tanto, debe adoptar cuantas medidas de seguridad resulten oportunas a fin de evitar robos, fraudes o suplantaciones. Se trata de una expresión concreta de los deberes de autotutela de los propios intereses que, como tal, no debería generar discrepancia. Pero la genera. Y por eso es interesante la resolución adoptada por la Audiencia Provincial de Madrid (Secc. 20), en su Sentencia 249/2022, de 1 de julio.
El supuesto enjuiciado era el siguiente: una señora fue víctima del hurto de una mochila en la que llevaba, entre otros bienes, una tarjeta de crédito; tras poner la correspondiente denuncia, acudió a su entidad bancaria, informó de lo sucedido y tramitó el cambio de tarjeta, así como el cambio de claves y coordenadas de acceso a los servicios de banca electrónica; pero prácticamente un año después de todo ello, constató que alguien había efectuado distintas sustracciones de dinero de sus cuentas, a través precisamente de los servicios de banca digital. Tras reclamar a la entidad bancaria la devolución de los importes defraudados, la señora interpuso demanda solicitando que se condenara a la entidad a tal devolución, sobre la base de un incumplimiento contractual, al entender que no contaba con unas medidas de seguridad suficientes y adecuadas.
La Audiencia Provincial desestimó esta pretensión, por considerar que la entidad había adoptado todas las medidas oportunas de seguridad -que no se acreditó que hubieran fallado- y, también, por apreciar que una falta de diligencia de la propia interesada era la explicación de lo sucedido, ya que la obtención de sus claves de banca electrónica “únicamente pudo haberse debido al descuido o ausencia de adopción de las medidas que razonablemente le eran exigibles al usuario a fin de proteger debidamente los elementos de seguridad personalizados, máxime si previamente había sido objeto de sustracción de idénticos instrumentos de pago, a los que sustituyeron las tarjetas y claves nuevas, mediante las cuales se realizaron las operaciones”. Ciertamente, la entidad bancaria cumplía con todos los estándares de seguridad exigibles para el acceso a sus servicios de banca electrónica, con un sistema de triple verificación de identidad: clave personal, tarjeta de coordenadas y código PIN a través del teléfono móvil que el usuario tuviera designado. Pero ninguno de esos mecanismos resultaba efectivo si, por un “descuido” de la interesada, cualquier tercero podía sortearlos.
Cabe destacar que la casuística es elevada en este tipo de situaciones, debiendo distinguirse entre aquéllas en las que se aprecia negligencia del titular de los medios de pago y aquellas otras en las que, aun siendo dicho titular totalmente diligente, es víctima de fraudes sofisticados, a través de los cuales se sortean las medidas de seguridad de la entidad bancaria. La Audiencia cita algún ejemplo de lo primero (“el guardar las credenciales usadas para la autorización de una operación de pago junto al instrumento de pago, en un formato abierto y fácilmente detectable para terceros”) y recuerda también, respecto a lo segundo, que ya ha declarado responsables a entidades bancarias “en supuestos en los que la utilización ilícita de datos bancarios obtenidos mediante sistemas fraudulentos, como el denominado phishing y otros”. El criterio para ello es fácil de comprender: cuando la obtención de claves se ha hecho mediante phishing, el ataque revela carencias de seguridad en el sistema; por el contrario, cuando se ha conseguido por descuido del titular, resulta consecuencia directa de su falta de diligencia.
Pero la distinción entre unos y otros supuestos no siempre resulta sencilla. Buena muestra de ello es que, en este caso, la Audiencia revocó una Sentencia inicialmente favorable a las pretensiones de la titular de la tarjeta (Sentencia 232/2021, de 13 de septiembre, del Juzgado de Primera Instancia Nº 26 de Madrid).
En dicha resolución, no se entendía acreditado “que las operaciones de pago fueran autorizadas por la demandante” y se consideraba, además, que la entidad bancaria debió adoptar alguna medida específica ante “detracciones en su cuenta por unas cantidades anómalas impropias e injustificadas”. Sin embargo, cabe objetar a lo primero que, formalmente, las operaciones sí fueron autorizadas por la titular de la tarjeta o, por lo menos, dicha autorización se hizo con todos sus medios de identificación (incluyendo su número de teléfono móvil). Asimismo, respecto al carácter más o menos extraño que pudieran tener las operaciones, conviene recordar que la entidad bancaria no supervisa ni corrige los actos de sus clientes. Algo que sería contrario a las normas de privacidad más evidentes y que representaría sin duda, para los interesados, una fuente constante de trabas e inconvenientes.
La Sentencia de la Audiencia Provincial de Madrid recuerda algo que se debe tener muy presente: la seguridad empieza por uno mismo. Es evidente que las entidades bancarias tienen unos deberes de custodia y unas obligaciones claras en materia de seguridad. Pero esas medidas de seguridad sólo funcionan si los propios interesados aplican la mayor diligencia a la hora de proteger sus datos y sus claves personales de acceso.
