Los jueces se ponen de parte de las víctimas de ‘phishing’ bancario
La única forma que tienen las entidades de eludir su responsabilidad es demostrar que el fraude fue fruto de una negligencia grave del cliente
El número de clientes de banca digital en España aumentó un 44% sólo entre 2018 y 2020, según el Índice Global de Banca Digital 2021, elaborado por N26. Una tendencia que se ha acelerado durante la pandemia por el incremento exponencial de las compras online y el uso de los medios de pago electrónicos, así como por el cierre masivo de las oficinas de las entidades bancarias. La cara b de la digitalización de la operativa bancaria es el inevitable aumento de los fraudes, por los que cada vez más víctimas acuden a los tribunales para que la entidad bancaria se haga responsable. Y es que los bancos, como garantes y depositarios de los fondos de sus clientes, deben responder por las brechas de seguridad en sus sistemas.
Un cargo fraudulento es aquel que se ordena por un tercero que ha accedido a los datos bancarios del titular de la cuenta bancaria (números de cuentas, número de tarjeta, pin, DNI...) mediante duplicado, clonación de las tarjetas o phishing. Lo que no es lo mismo, precisa la abogada Elena Novel, que un cargo no autorizado, el cual se produce cuando el usuario proporciona a un tercero, por ejemplo a un comercio online, voluntariamente y sin engaño los datos de sus cuentas o tarjetas para realizar una transacción, pero la cuantía es superior a la acordada. Sólo si se trata de un cargo fraudulento será la entidad bancaria, como proveedor de servicios de pago, la que deberá reponer el dinero sustraído, salvo que demuestre que hubo negligencia grave por parte del titular de la cuenta.
A este respecto, Patricia Suárez, presidenta de Asufin, señala que la ley de servicios de pago obliga al proveedor a cumplir con las medidas de seguridad necesarias para asegurar la identidad del cliente y la autenticación de las operaciones. Así, la ley impone al banco una responsabilidad cuasi objetiva siempre que la víctima no haya dado autorización real a la transferencia del dinero. “La responsabilidad se imputa de forma directa al banco con independencia de si ha incurrido en culpa o dolo, quedando exonerado únicamente en los casos de fuerza mayor o culpa exclusiva del perjudicado”, explica la abogada Rosana Pérez. A pesar de ello, los abogados consultados sostienen que en la mayoría de las ocasiones los bancos rechazan su responsabilidad y no devuelven lo sustraído. “La negativa por sistema”, confirma Iñigo Serrano, socio fundador de Sello Legal. Según describe Serrano, las entidades se limitan a afirmar que la operación fue autorizada y no dan más información sobre su trazabilidad.
Lo habitual, señala Miguel de Prada, director del departamento jurídico de dPG Legal, es que los bancos desestimen las reclamaciones argumentando que los clientes perjudicados son culpables por no proteger sus claves personales. Tras esta negativa, De Prada reconoce que hasta ahora pocos afectados acudían a la vía judicial para demandar a las entidades. “Al haber poca o ninguna jurisprudencia al respecto, el miedo a perder el juicio y a la condena en costas desincentivaba a las víctimas a demandar a los bancos y daban por perdido el dinero”, observa.
Jurisprudencia
Sin embargo, esta realidad está cambiando y el motivo es que, como indica Pérez, la reciente jurisprudencia es prácticamente unánime a la hora de considerar que el banco debe restituir las cantidades sustraídas por un tercero, ya que como depositario de los fondos tiene la obligación legal de conservar y devolver el dinero guardado.
De hecho, la única forma para que el banco evite el reembolso es demostrar que el titular de la cuenta afectado cometió una negligencia grave. Un concepto, que como aclara la abogada Olalla Carballo, es susceptible de interpretación por parte de los tribunales. “Hay resoluciones que apreciaban negligencia grave en el cliente si los mensajes o correos electrónicos del phisher contenían alguna falta de ortografía”, comenta Carballo. No obstante, la abogada añade que actualmente en estos supuestos, aunque se reconozca que la víctima ha cometido un descuido, no se califica como grave y no se dispensa al banco de su responsabilidad. Así ocurrió en un caso resuelto por la Audiencia Provincial de Pontevedra en diciembre de 2021 en el que se condenó al banco a devolver los 4.000 euros estafados.
Asimismo, una reciente sentencia de la Audiencia Provincial de Madrid ha definido la negligencia grave del cliente como “una conducta caracterizada por un grado significativo de falta de diligencia, que surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que ha sido inducido por un delincuente profesional”. Por tanto, De Prada concluye que no se le puede atribuir falta de diligencia grave a una víctima de estafa, ya que facilita sus claves personales a un tercero como consecuencia de manipulaciones.
En este sentido Serrano añade que, a la hora de calificar la gravedad de la falta de diligencia, no es lo mismo una persona de 80 años sin manejo de los medios electrónicos que una persona joven habituada a realizar compras por internet. “Lo más probable es que la jurisprudencia acabe moldeando un criterio como el que tienen para las cláusulas abusivas: consumidor medio, normalmente informado, razonablemente atento y perspicaz”, prevé. Novel insiste en que no importa el modo en el que se cometa el fraude, si es phishing o una clonación de tarjeta, ya que la responsabilidad de los bancos se fijará en función de si ha existido culpa o negligencia grave por parte del afectado y de que la entidad pueda probarlo.
