nº 1.003 - 30 de enero de 2024
El ‘phishing’, la banca online y la protección al usuario en España
Alejandro Falero de Rato. Socio director del área de litigación y arbitraje de EJASO
La responsabilidad de implementar y mantener sistemas de seguridad eficaces no recae solo en la entidad bancaria
El marco normativo y la jurisprudencia en España proporcionan una protección significativa al usuario en el ámbito de la banca online
En la era de la digitalización financiera, los clientes de la banca se enfrentan a una creciente dependencia de la banca online, acompañada por riesgos significativos como el fraude y el acceso no autorizado a sus cuentas.
Uno de los fraudes más conocidos es el phishing, que consiste en el envío de comunicaciones que parecen provenir de fuentes fiables, como bancos o empresas conocidas, pero que en realidad son falsas. El objetivo de este tipo de fraudes es persuadir u obtener del destinatario datos personales, financieros o de seguridad, como contraseñas o números de tarjetas de crédito, etc. y, a través de los mismos, entre otras, acceder a las cuentas bancarias personales realizando operaciones sin el conocimiento ni consentimiento del usuario. Es decir, realizar operaciones de pago no autorizadas.
Por desgracia, el phishing no es el único tipo de fraude existente. Sin ánimo de ser exhaustivos, podríamos citar otras muchas forma de fraude online, como por ejemplo: el Malware (software malicioso diseñado para infiltrarse en un sistema informático sin el consentimiento del usuario); los ataques de Man-in-the-Middle o MitM, que ocurren cuando un atacante intercepta la comunicación entre dos partes (por ejemplo, entre un usuario y su banco); el keylogging (uso de un software o hardware especializado para registrar las pulsaciones del teclado de un usuario); o el skimming (técnica que implica el uso de dispositivos instalados en cajeros automáticos o terminales de pago para capturar información de tarjetas bancarias).
¿Cuál es la normativa aplicable a operaciones bancarias realizadas sin autorización?
Con relación a la normativa aplicable, el Real Decreto-ley 19/2018 y la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, también conocida como PSD2 (Payment Services Directive 2), constituyen la columna vertebral de la legislación que protege a los consumidores en la banca online. Estas leyes no solo establecen requerimientos de seguridad, sino que también otorgan derechos específicos a los consumidores, como la rápida respuesta a operaciones de pago no autorizadas y la transparencia en la información.
En concreto, y a los efectos de este artículo, nos centraremos en el Capítulo II del citado Real Decreto-ley 19/2018, donde su artículo 31 –Responsabilidad en Operaciones de Pago No Autorizadas–, establece que, en caso de operaciones de pago no autorizadas, el proveedor del servicio de pago (usualmente el banco) debe reembolsar al usuario la cantidad de la operación inmediatamente. Artículo que igualmente impone a la entidad bancaria la carga de probar las causas que le eximen de responsabilidad, en este caso, la existencia de fraude o negligencia grave por parte del usuario.
Como veremos más adelante, la piedra angular de este tipo de fraudes y las responsabilidades de las partes pivota esencialmente sobre la existencia de una autorización de la operación, y más concretamente una autorización válida.
Al hilo de lo anterior, resultan especialmente relevantes los artículos 45 y 46 del Real Decreto-ley 19/2018, los cuales abordan la responsabilidad de las partes en casos de operaciones de pago no autorizadas, tanto para los proveedores de servicios de pago como para los ordenantes (usuarios o clientes).
Así, en el artículo 45 –Responsabilidad del Proveedor de Servicios de Pago en Caso de Operaciones de Pago No Autorizadas–, se establece la obligación del proveedor de servicios de pago del ordenante (el banco del cliente) de devolver inmediatamente el importe de la operación no autorizada, a más tardar al final del día hábil siguiente a su detección o notificación. Por su parte, el artículo 46 –Responsabilidad del Ordenante en Caso de Operaciones de Pago No Autorizadas–, señala que el cliente queda exento de responsabilidad si las operaciones no autorizadas se realizan de forma no presencial usando solo los datos impresos en el instrumento de pago y si no ha habido fraude o negligencia grave por su parte.
Responsabilidad cuasi objetiva y causas de exoneración de la responsabilidad
Dentro del marco normativo antes mencionado, resulta imperativo que las entidades bancarias implementen sistemas técnicos avanzados y seguros para verificar las operaciones de pago. Estos sistemas, según lo estipulado en los artículos 19 a 22 del Real Decreto-Ley mencionado, deben ser eficaces en prevenir operaciones no autorizadas y fraudes.
Por consiguiente, para el caso de que la verificación se realice mediante medios técnicos (lo que es habitual con el uso de la banca online) y conforme a la anterior normativa, es responsabilidad de la entidad bancaria asegurarse de que estos medios sean adecuados y seguros, evitando así errores en su ejecución. Por ello, en situaciones donde los sistemas presenten defectos de seguridad o resulten insuficientes, de conformidad con la anterior normativa, la entidad deberá asumir la responsabilidad por los daños ocasionados a los clientes, ya que habría sido la propia entidad la que habría empleado medios ineficientes para su obligación de verificación.
En este contexto, de conformidad con los citados artículos 31, 45 y 46, la responsabilidad del banco es cuasi objetiva, excluyéndose únicamente en casos de dolo o culpa grave imputable al consumidor. Por tanto, la exoneración de responsabilidad no puede basarse simplemente en el empleo de un sistema que cumpla con los estándares mínimos de seguridad; se requiere, más bien, evidencia de un actuar doloso o gravemente negligente por parte del usuario de los servicios de pago, entendiendo por tal, (i) en cuanto al dolo, una intención deliberada por parte del usuario de cometer un acto fraudulento; y (ii) en cuanto al actuar gravemente negligente, una falta grave de cuidado o diligencia en el manejo de los instrumentos de pago o en la protección de los datos de acceso. La negligencia grave va más allá de un simple descuido o un error; implica una omisión significativa de las medidas de seguridad básicas que cualquier usuario razonable debería observar. Por ejemplo, podría incluir compartir voluntariamente información de acceso con terceros, escribir y dejar expuesta una contraseña o no informar de inmediato sobre la pérdida o el robo de un instrumento de pago.
Cabe destacar que los mecanismos de pago, ya sea a través de tarjetas o la banca online, no solo son desarrollados por la entidad financiera mediante sus aplicaciones y software, sino que también se promueve su uso entre los clientes y usuarios bancarios, beneficiando a la entidad con la ampliación de estos servicios online y la consiguiente reducción de costes de atención al cliente. Por lo tanto, es esencial que las entidades implementen todas las medidas de seguridad necesarias para prevenir fraudes, incluyendo la protección contra la suplantación de identidad y, en casos de fraude externo como las estafas informáticas, lo razonable es exigir al usuario que mantenga un nivel adecuado de seguridad en sus dispositivos como, por ejemplo, la utilización de antivirus.
Llegamos a la conclusión de que la responsabilidad de implementar y mantener sistemas de seguridad eficaces no recae solo en la entidad bancaria en virtud de la normativa, sino también debido a su posición en un sector que evoluciona constantemente. Si las entidades bancarias, dotadas de los medios técnicos necesarios para la verificación de la identidad del cliente, delegaran en el cliente los riesgos asociados a fallos del sistema o su inadecuada adaptación a las técnicas defraudatorias modernas, se produciría no solo una injusticia flagrante, sino también un impacto económico y técnico negativo, manifestándose en el estancamiento de las medidas de seguridad.
Es evidente que, si la entidad bancaria, poseedora de los medios técnicos de seguridad y con la capacidad de mejorar el sistema, se limitase a cumplir solo con un estándar mínimo y no asumiera responsabilidades por fallos subsiguientes, la consecuencia inevitable será un desfase del sistema y un deterioro en la seguridad de los usuarios de los sistemas de banca electrónica. Esta situación, así lo entiende la anterior normativa, sólo puede prevenirse otorgando a las entidades bancarias una responsabilidad activa en la protección de la seguridad de las operaciones y en la mejora continua de sus sistemas de verificación y seguridad, lo cual logra asignándoles responsabilidad en los casos en que estos sistemas fallen o se demuestren ineficientes.
¿Qué ha dicho la Justicia? Audiencia Provincial de Ourense, Sección 1ª, Sentencia 369/2023 de 9 jun. 2023
Lo anteriormente expuesto viene siendo refrendado por nuestros Juzgados y Tribunales, pudiendo citar, entre otras, sentencias como la de la Audiencia Provincial de Ourense, Sección 1ª, Sentencia 369/2023 de 9 jun. 2023. El fallo señala literalmente que «el papel de la entidad bancaria pasa por autorizar la operación y efectuar el pago; y en este punto cobra un papel primordial su labor de verificar la identidad del ordenante de la operación, esto es, asegurarse de que quien manda realizar el pago es realmente quien está autorizado para ello…».
Esta sentencia, aplicando la normativa antes referida, establece la importancia de la verificación de identidad por parte de las entidades bancarias, enfatizando su responsabilidad en asegurarse de que las operaciones son efectuadas por los titulares legítimos de las cuentas. De hecho, como también señala la Sentencia de la Audiencia Provincial de Alicante, Sección 8ª, Sentencia 47/2018, de 12 de marzo de 2018, «La falsedad de la transferencia (es decir, que el ordenante no sea el titular de la cuenta) es un riesgo a cargo del banco porque, en principio, el deudor sólo se libera pagando al verdadero acreedor…».
Es decir, es obligación del banco verificar la autenticidad de las órdenes de transferencia, atribuyéndole la responsabilidad en caso de ejecutar órdenes de pago falsas, pudiendo citar en este mismo sentido la sentencia de la Audiencia Provincial de Pontevedra, Sección 1ª, sentencia 113/2021, de 7 de abril de 2021, cuando señala que «se establece una especie de presunción de culpa o de responsabilidad cuasi objetiva de la entidad bancaria. Esta presunción de responsabilidad tan solo se destruye cuando se demuestre por el banco que hubo una actuación dolosa o constitutiva de imprudencia grave por parte del cliente…».
Como refiere la anterior sentencia, nos encontramos ante una responsabilidad cuasi objetiva para las entidades bancarias en casos de operaciones no autorizadas, enfatizando esta última sentencia lo señalado en los artículos 31 y 46 del tantas veces referido Real Decreto-Ley, en concreto, que esta responsabilidad sólo se excluye ante la demostración de dolo o culpa grave por parte del cliente.
En conclusión, el análisis de la normativa y jurisprudencia en relación con el phishing y otros tipos de fraude en la banca online en España revela un marco legal dirigido a la protección del usuario (no necesariamente consumidor). En este contexto, las responsabilidades del banco y del usuario en caso de operaciones de pago no autorizadas se delinean claramente. La entidad financiera tiene la obligación principal de implementar y mantener sistemas técnicos avanzados y seguros para verificar las operaciones de pago. Por ello, en el caso de operaciones no autorizadas, la responsabilidad del banco es cuasi objetiva, tal como se refleja en las sentencias judiciales citadas. Esta responsabilidad se extiende a asegurar que las operaciones son efectuadas por los titulares legítimos de las cuentas y a responder por los daños ocasionados a los clientes debido a fallos en sus sistemas de seguridad.
Asimismo, la responsabilidad del banco sólo puede ser excluida en casos donde se demuestre dolo o negligencia grave por parte del cliente. Esta posición se ve reforzada tanto por lo dispuesto en el artículo 31 del Real Decreto-ley 19/2018 como por la jurisprudencia, pesando sobre la entidad bancaria la carga de probar la existencia de fraude o negligencia por parte del cliente.
En este sentido, aunque los usuarios tienen ciertas responsabilidades en la custodia de sus datos de acceso y en el uso seguro de los servicios bancarios online, la normativa les ofrece una protección considerable. De acuerdo con el artículo 46 del Real Decreto-ley 19/2018, el cliente generalmente queda exento de responsabilidad en operaciones no autorizadas realizadas sin su conocimiento, especialmente en transacciones no presenciales, a menos que haya habido fraude o negligencia grave por su parte.
Por otra parte, de conformidad con la normativa citada, las entidades bancarias no solo deben cumplir con los estándares mínimos de seguridad, sino también asumir un rol activo en la mejora continua de sus sistemas de verificación y seguridad. Esto es crucial para prevenir el estancamiento de las medidas de seguridad y para proteger adecuadamente a los consumidores en un sector en constante evolución.
En resumen, el marco normativo y la jurisprudencia en España proporcionan una protección significativa al usuario en el ámbito de la banca online, asignando la responsabilidad principal a las entidades bancarias en la prevención y gestión de operaciones de pago no autorizadas, mientras se ofrece una considerable protección al usuario frente a fraudes y errores en los servicios bancarios online. ■