Cada vez son más los pronunciamientos judiciales que determinan la falta de diligencia de las entidades bancarias en cuanto a su responsabilidad de garantizar la seguridad de las transacciones digitales de sus clientes, imponiéndoles consecuentemente la restitución de considerables sumas de dinero.
Phising y transferencias no autorizadas
Una de las técnicas más empleadas por los ciberdelincuentes es el phising, que es definido como una modalidad específica de fraude informático que se vale de las deficiencias de seguridad del sistema informático de una entidad y trae consecuencia del uso de las redes telemáticas. El objetivo de los ataques de phishing, según la Agencia Española de Protección de Datos, es la obtención de forma engañosa y fraudulenta de los códigos de usuarios y contraseñas de clientes de Banca Electrónica, al objeto de realizar transferencias no autorizadas.
Deberes del usuario del servicio electrónico
El marco legislativo aplicable a la presente materia se encuentra en el RDL 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, que impone ciertos deberes para el cliente usuario de la banca online. En primer lugar, debe tomar las medidas razonables a fin de proteger sus credenciales de seguridad y por otro lado; en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, ha de notificar a la entidad proveedora de servicios de pago sin demora indebida en cuanto tenga conocimiento de ello.
¿Cómo se determina la responsabilidad del banco?
De acuerdo con la doctrina jurisprudencial en materia de phising, la responsabilidad de la entidad bancaria es de naturaleza cuasi-objetiva, es decir, se presume que el titular de la tarjeta no ha autorizado la operación. Por tanto, es el banco titular del servicio online el que asume la carga de probar que cuenta con las medidas de seguridad necesarias y actualizadas ante los distintos modos de fraude informático, en modo tal que salvo que se acredite la negligencia grave por parte del usuario de la banca electrónica, la entidad financiera debe responder del reintegro de los importes obtenidos de forma fraudulenta (Sentencia Núm. 107/2018, de 12 de marzo de la Audiencia Provincial de Alicante).
Negligencia grave
A efectos ilustrativos, no se considera negligencia grave la de la cliente que, tras recibir un correo electrónico simulado de un servicio de mensajería, accede a una página que simulaba ser la de su entidad bancaria, pero cuyo dominio pertenecía realmente a un tercero, en la que introdujo sus datos bancarios utilizados posteriormente por el tercero para realizar pagos a través de la instalación de una aplicación (Sentencia Núm. 539/2021, de 21 de diciembre, de la Audiencia Provincial de Pontevedra)
Engaño suficiente
En este sentido, los bancos encuentran cierta dificultad probatoria para acreditar que ha sido el cliente el que ha actuado con negligencia grave, ya que nos encontramos ante fraudes susceptibles de engañar a un elevado número de víctimas. Por otro lado, la carga de la prueba recae en la entidad bancaria, precisamente por la imposibilidad del cliente de valorar las deficiencias del sistema informático del banco que le es completamente ajeno (Sentencia Núm. 215/2013, de 14 de mayo de la Audiencia Provincial de Zaragoza)
Restitución de las pérdidas sufridas
La entidad bancaria habrá de devolver las cantidades sustraídas por razón de operaciones no autorizadas y en su caso, restituirá la cuenta de pago al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada. Por ello, salvo actuación fraudulenta, incumplimiento deliberado o negligencia grave del cliente, la responsabilidad será del proveedor del servicio de pago.
