Las estafas informáticas del Siglo XXI se lasdenomina como “phising”. Dichas estafas siguen siendo las estafas convencionales, en las que el estafador (phiser) valiéndose de engaños mediante mecanismos tecnológicos comete una estafa a un tercero. Según el Sistema Estadístico de Criminalidad (SEC) enel año 2021 ocurrieron más de 305.000 delitos de phising, una cantidad muy elevada y que supone un incremento del 6,1% respecto al año anterior.
Teniendo en cuenta estos datos resulta preciso analizar que es este delito y como se lleva a la práctica para desembocar en las recientes sentencias que nos arrojan un poco de luz sobre la responsabilidad que pueda llegar a tener el banco y si resulta procedente que este devuelva la
cantidad sustraída al cliente estafado.
De forma introductoria, por lo que se refiere al delito de phising se debe de indicar que el origen del término proviene del inglés «fishing», es decir, del verbo pescar, lo que sería una alusión al cebo que los delincuentes ponen a los usuarios de la red a la espera de que «muerdan el anzuelo». En cuanto a su localización y su tipificación hay que indicar que es un tipo de estafa informática que se
encuentra regulado en el artículo 248.2 del Código Penal.
Este delito consiste en la realización de ataques, mediante diversos malware con el objetivo de robar las credenciales de usuarios de banca electrónica para posteriores transacciones fraudulentas. No obstante, la conducta habitual del ''phishing'' es lograr la confianza del usuario para que este ceda sus datos sin saber que ha sido engañado, para así sustraer el patrimonio del estafado. En la práctica este delito se realiza de la siguiente manera; el usuario recibe un correo electrónico o un SMS aparentemente de su entidad bancaria indicándose al estafado que se ha cancelado la cuenta y que se requiere que aporte sus datos para poder ser reactivada. En el momento en el que el perjudicado pincha sobre el enlace que aparece en el email o en el SMS, este le dirige a una cuenta .biz que es un clon de la página del banco, en la cual el estafado sin tener conocimiento de la sustracción de datos a la que se va a ver sometido, introduce sus credenciales.
A partir de ahí el phisher ya tiene la clave personal para acceder a la banca online del cliente; con la posibilidad de realizar cambios; no obstante, todas esas operaciones deben ser autorizadas por el cliente a través de la clave de autenticación reforzada, que no se la ha facilitado al phisher. Sin embargo, en muchos casos, sólo con la clave personal de acceso a la banca on-line el phisher consigue hacer las operaciones sin introducir las claves de autenticación reforzada.
Pero, no todas las veces la estafa informática se realiza a través de SMS o correos electrónicos, sino también a través de llamadas telefónicas; mediante las que los estafadores clonaban los números de teléfono de las entidades bancarias y llamaban a los clientes simulando ser el banco y alertando a los clientes, mediante técnicas de engaño como que se habían encontrado movimientos fraudulentos en su cuenta y que era preciso que les proporcionaran las calves bancarias para poder frenar esa suplantación.
Esta metodología descrita es la que utilizaba una organización criminal, ya desarticulada por las fuerzas y cuerpos de seguridad del Estado, aunque se cree que pueden existir varias bandas criminales, que consiguió acceder a los datos de los clientes cuando se produjo la fusión por absorción entre Unicaja y Liberbank y clonar los número de teléfono de la entidad para realizar contactos engañosos y estafar a los clientes. Esta estafa ha dejado, solo en la Comunidad Autónoma de Cantabria, la cifra de 3 millones de euros estafados y un total de 400 perjudicados, existiendo perjudicados en todo el territorio español.
La referida estafa ha creado una importante plataforma de afectados que están reclamando al banco las cantidades sustraídas. Unicaja está aceptando las culpas e indemnizando entre un 50% y 80% del capital estafado al cliente, con la condición de renunciar a cualquier acción judicial en el futuro, lo que desde mi punto de vista consiste una verdadera cláusula abusiva que redunda de manera significativa en la desprotección del consumidor frente a una entidad que tendría que proteger el dinero depositado por el usuario a través de un contrato y de una relación de confianza. Sin embargo, en este tipo de casos no siempre se llegan a acuerdos extrajudiciales y la mayoría de las veces los clientes tienen que ir a juicio para que el Tribunal le dé la razón frente a la negativa de los bancos.
Para ello, para ilustrar aún más esta problemática resulta preciso traer a colación una sentencia de la Audiencia Provincial de Cáceres número 132/2022 del 16 de febrero de 2022, en la que el Tribunal condena a Liberbank al reintegro de la cantidad de 5593,29€ a un cliente que fue estafado por la brecha de seguridad ocurrida en la fusión que antes indicaba.
No obstante, la parte demandada (Liberbank) recurrió la condena deprimera instancia alegando su exoneración de responsabilidad debido a que las cantidades estafadas por la banda criminal habían sido autenticadas, registradas y contabilizadas de forma correcta y documentalmente demostrada, por lo que el supuesto fraude y/o suplantación de la identidad del titular de los contratos bancarios no le sería atribuible, añadiendo además que el usuario no actuó con diligencia en los medios de pago; instando en este sentido que el banco no tenía responsabilidad al respecto. Cabe destacar que Liberbank alegó ante el Tribunal que la parte perjudicada había realizado operaciones desde una red wifi abierta, a lo que el Tribunal alegó que en los contratos reguladores
del pago por medios telemáticos no se prohíbe la realización de operaciones de pago a través de este tipo de redes.
Una de las cuestiones fundamentales de esta sentencia es que el Tribunal recuerda a la parte demanda es que a la hora de promover el recurso la carga procesal recae sobre la entidad financiera, alegando que es a ella a quien corresponde acreditar la falta de diligencia del usuario, sin apelar a meras conjeturas, no demostradas, como sería la utilización de una red wifi-abierta, o la facilitación de las credenciales a un tercero. Con relación a esta sentencia cabe argumentar, de la misma manera que hace el Tribunal en la sentencia analizada; si el banco es el quien potencia la
utilización de las distintas aplicaciones y softwares, debe de tomar todas las medidas necesarias para evitar fraudes, incluida la suplantación de identidad.
En otro orden el Tribunal indica que si la estafa informática es externa solo se le puede obligar al usuario a que el dispositivo que utilice para las transacciones u operaciones tenga un mantenimiento de seguridad que pudiera evitar este tipo de fraudes. Teniendo en cuenta que nuestros smartphones vienen con sistemas de seguridad integrados, no es necesario instalar o adquirir un sistema novedoso. En consecuencia, el Tribunal indica que el perjudicado o cliente goza de la condición de consumidor y que por tanto tiene una protección reforzada.
Cuestión de vital importancia, en este tipo de casos y en referencia la carga procesal son la figura del consentimiento y la figura del engaño bastante.
En primer lugar los bancos indican que ellos deben de quedar exonerados de toda responsabilidad porque el cliente u ordenante presentó su consentimiento a la hora de facilitar los datos a un tercero; alegando lo que establece el artículo 36 de la Ley de Servicios de Pago: “solo se consideraran autorizadas aquellas operaciones en las que el ordenante no haya dado su consentimiento”, pero al amparo del artículo 45 de la LSP indica que el banco está obligado a devolver el importe de la operación; si no habido consentimiento por parte del cliente. Pero, ¿el cliente no está siendo engañado y presentando su consentimiento en base a un engaño bastante? Debemos de extraer la idea nuclear de que la voluntad en este sentido se encuentra viciada porque esta ha sido movida por un engaño ya que el perjudicado no sabía que le facilitaba las claves a un tercero, sino que pensaba que se las estaba facilitando al banco. No obstante, el banco puede argumentar que el usuario actuó de forma negligente (con negligencia grave) a la hora de conservar las claves de seguridad. Los bancos también suelen alegar para defenderse y probar que la culpa fue del cliente cuando indican que este incumple la obligación de
custodia que le facilita el banco, lo que sería una actuaciónnegligente por parte del cliente en la conservación de sus datos personales (usuario,clave de acceso personal, contraseñas…).. Lo que al amparo del artículo 44 de la ley de servicios de pago “el banco sólo queda exento dela obligación de devolver los fondos si prueba que el cliente actuó con negligencia grave” Pero, resulta evidente precisar que, si te llamancon el número de teléfono de la entidad bancaria, el usuario caerá en la trampa de que está hablando con el banco y facilitará a los estafadores las credenciales. Ahora bien, el consentimiento como hemos indicado en el apartado anterior queda viciado por un engaño bastante, la doctrina señala en estos casos que los delitos de estafa requieren de un engaño bastante que queda integrada “por una serie de maquinaciones insidiosas a través de las cuales el agente se atribuye poder, influencia o cualidades supuestas, o aparenta la posesión de bienes o crédito, o se vale de cualquier otro tipo de artimaña que tenga la suficiente entidad para que en las relaciones sociales o comerciales pase por persona solvente o cumplidora de sus compromisos, como estímulo para provocar el traspaso patrimonial defraudatorio, en sentido subjetivo como suficiente para viciar el consentimiento del sujeto pasivo (SSTS 11169/99)”
En este tipo de delitos el engaño bastante queda probado debido a que,como hacia referencia anteriormente, el cliente no puede percatarse de que una llamada con el número de teléfono del banco sea de un estafador y mucho menos que los datos, que facilita el cliente, se los esté dando a un tercero que le estafará.
Una vez introducido el tipo delictivo y haber explicado en que consiste esta práctica, podemos concluir con el análisis del marco normativo y jurisprudencial resulta preciso destacar que nuestra doctrina es unánime a la hora deconsiderar que el banco debe restituir las cantidades sustraídas mediante el phising por un tercero en tanto que como depositaria de los fondos tiene la obligación legal de conservar y devolver el dinero depositado. No obstante, cabe resaltar la posibilidad de que al banco se le pueda exonerar de dicha obligación cuando pudiera acreditar que el cliente ha actuado fraudulentamente o con negligencia grave a la hora de proteger sus datos personales y confidenciales, cabe decir en este sentido que la doctrina no considera como negligencia o culpa haber caído en el fraude de un correo o página web aparentemente verídicos. Por lo que podemos indicar que los Tribunales dan la razón al cliente frente al banco y por lo tanto deja la puerta abierta a que el estafado, en el caso de que no exista negligencia reclame al banco la devolución de todos los importes sustraídos por el estafador, más los intereses devengados.
Ante todo, lo dicho anteriormente, y tras analizar la sentencia de la estafa producida en la fusión
de Unicaja y Liberbank, resulta preciso para concluir con el presente artículo entender cómo se construye el marco normativo mediante el cual se adjudica la responsabilidad del banco ante estas estafas.
Con la entrada en vigor del Real Decreto-Ley 19/2018, de 23 de noviembre, de Servicios de Pago, que transpuso al ordenamiento interno la Directiva(UE) 2015/2366 del Parlamento y del Consejo Europeo. Este nuevo marco normativo europeo tiene por finalidad generar un entorno más seguro y fiable para los usuarios, aprovechando las innovaciones tecnológicas producidas en los últimos años, buscando darles protección por medio de un marco de responsabilidad de la Entidad Bancaria; donde se indica que el banco debe de asumir con las obligaciones pactadas en el contrato e imponer las medidas de seguridad pertinentes para asegurar la identidad del ordenante y autenticar la operación; impone también la obligación al proveedor de que las órdenes de pago se realicen mediante una autenticación reforzada (Arts. 97 y 98), es decir; que la operación esté validada con la clave personal y, además, con un factor biométrico, por ejemplo la huella dactilar, o una clave aleatoria generada en cada operación, que debe ser enviada al usuario para revalidar la operación.
Estas obligaciones o autenticaciones que impone la directiva tienen una finalidad concreta; que dichos datos sean única y exclusivamente conocidos por el cliente, que estén en su posesión y que sean inherentes, como por ejemplo la huella dactilar.
No obstante, la responsabilidad de incumplimiento po rparte del banco también se deduce del Reglamento delegado (UE) 2018/389 disposición que establece que los bancos deben disponer de mecanismos de supervisión de las operaciones que les permitan detectar operaciones de pago no autorizadas o fraudulentas. Esta normativa le confiere la legitimidad y obligación al banco para bloquear la operación y ponerse en contacto con el usuario-consumidor, para verificar que sea él quien realmente la esté realizando.
Dicho esto, si el cliente sufre una sustracción decapital en su cuenta bancaria y el banco no cumple con lo acordado en la Ley de Servicios de Pago y en el contrato suscrito entre el cliente y el banco, este último está realizando un incumplimientocontractual, con este me refiero a que; si en el momento en el que el banco no envía un SMS de aviso por cada operación que se reciba (no es el SMS con la clave de autenticación reforzada, sino un SMS en el que se avisa al usuario que se ha ejecutado una compra), con lo que el usuario no se percata que están haciendo varias compras y no puede cancelar la tarjeta para limitar las pérdidas de la continuidad de la estafa. También, es preciso recordar que el banco será responsable en el momento en el que no permite que se realicen compras por encima del límite de la tarjeta; debido a que en el contrato se suelen limitar las compras a una cantidad máxima; por lo tanto, si el banco permite que se efectúen compras por encima de ese importe está incumpliendo el límite que él mismo ha estipulado en el contrato.
En lo respectivo a si estos delitos dejan rastro; es necesario indicar que en algunos supuestos sí que es preciso encontrar el origen y la procedencia de estas estafas como es el caso de la banda organizada que realizó la estafa a los usuarios de Unicaja y Liberbank, o como la que recientemente la banda que ha sido desarticulada en el mes de noviembre de 2022 en Madrid y Barcelona, que se ha saldado con la detención de 6 estafadores y la interceptación de 12 millones de euros. En este último caso, los estafadores no realizaban la estafa mediante SMS, emails o llamadas sino con la creación de un clon de la página web de la entidad financiera con la promesa de la contratación de productos deinversión (renta variable, futuros y criptomonedas) y la contratación de productos de financiación. No obstante, no siempre se puede localizar al tercero ni identificado, pero, aunque no se encuentre al estafador la responsabilidad sigue recayendo sobre el banco.
En definitiva, se trata de que el juez valore el tipo de estafa, si tiene entidad suficiente para considerarse que lleva un engaño bastante (o si por el contrario es un burdo engaño) y si puede considerarse que el cliente actuó con negligencia grave cuando fue víctima de un engaño bastante.
También tiene que valorar si las medidas de seguridad del banco son suficientes para prevenir este tipo de fraudes, porque si no lo son el banco ha incumplido sus obligaciones legales y, por ese motivo, se ha podido producir la estafa y las propias órdenes de pago no autorizadas. La cuestión primordial consiste en la relación de confianza y comercial existente entre el banco y el cliente, en este caso, si el cliente deposita su dinero en el banco es porque este confía en que el banco va a proteger el dinero del usuario. Es más, dada la obligación de presentar una cuenta bancaria para poder percibir la nómina y dado que los bancos tratan de que el cliente realice sus operaciones mediante las aplicaciones o web de la entidad, estos deben de aumentar la vigilancia sobre las operaciones que se realicen.
Y ello, es así porque el banco teniendo todos los recursos que tiene no puede estar alegando continuamente que el cliente es el responsable debido a que como se aludía en la sentencia que anteriormente hemos realizado, al usuario en tanto consumidor debe de ser protegido con mayor empeño.
Autoría: Said Ofkir, Secretario General de Jóvenes Juristas (en funciones)