La ciberdelincuencia y la jurisprudencia civil y penal
En este blog nos hemos referido con frecuencia a la ciberseguridad como uno de los extremos esenciales de la regulación y la supervisión pública y privada de la tecnofinanzas (fintech) (sirva como ejemplo más reciente la entrada del pasado 27 de julio de 2023 sobre el “Código de Buen Gobierno de la Ciberseguridad elaborado del Foro Nacional de Ciberseguridad y difundido por la CNMV”).
En particular, hemos dado cuenta de la jurisprudencia civil y penal sobre la ciberdelincuencia y sobre los fraudes informáticos en el mercado bancario con numerosas Sentencias referidas a diferentes modalidades de fraudes informáticos en los mercados financieros tales como la clonación de tarjeta en comercio o en un banco «pisica» (gato en lengua rumana); al lazo libanés o falsa boca en cajero en que se introduce la tarjeta, skimming o carcasa superpuesta que tiene diferentes variantes; y al phising o el pharming, que consiste en introducirse en un servidor ya sea local o ISP, a través de hackers o a través de virus o spyware en los ordenadores, o keyloogers que registra todas las teclas que el usuario oprime en el teclado para capturar claves, contraseñas; o el hacking o variantes del hijacking o secuestro o modificación de IP, o page, o módem, o browser, etc. (el lector interesado puede ver la entrada del 11 de septiembre de 2018 sobre la “Ciberseguridad institucional: “phishing” del dominio de la CNMV”).
La Sentencia del Juzgado de Primera Instancia e Instrucción número 1 de Moncada de 31 de mayo de 2023
Un tipo de fraude especialmente extendido en la práctica -y, por ende, particularmente peligroso- consiste en la captura de los datos personales y bancarios de un cliente (“phishing”) para realizar cargos fraudulentos en su cuenta bancaria (el lector interesado puede consultar la entrada de este blog de 17 de abril de 2017 sobre “FINTECH, ciberseguridad, manipulaciones de dominios de internet, “pishing” y responsabilidad bancaria: Jurisprudencia civil y penal reciente”).
Por lo anterior, nos parece particularmente interesante dar cuenta de la Sentencia del Juzgado de Primera Instancia e Instrucción número 1 de Moncada de 31 de mayo de 2023 (Procedimiento Ordinario 848/21) en la que el juez considera que la clienta demandante fue víctima de ‘phishing’; que ella no actuó de forma negligente; que el banco demandado no desplego la diligencia exigible y que, por lo tanto, debe ser declarado responsable de los daños sufridos por la clienta en forma de los 5.895 euros más intereses, que perdió tras ser víctima de un fraude conocido como ‘phishing’, en el que fueron cargados pagos en su cuenta bancaria que ella no autorizó.
Una buena prueba de la relevancia de esta Sentencia en la práctica bancaria es la Comunicación del Poder Judicial publicada el lunes 31 de julio de 2023 y titulada “Un juzgado de Moncada condena a un banco a abonar 5.800 euros a una clienta que fue víctima de un fraude. El juez considera que la mujer, víctima de ‘phishing’, no actuó de forma negligente y que la responsabilidad es de la entidad”. Dada la importancia del banco condenado, nos parece relevante destacar que la Comunicación del Poder Judicial acaba constatando que la Sentencia es firme desde el 20 de julio. Lo que implica la falta de interposición del recurso de apelación ante la Audiencia Provincial de Barcelona por el banco condenado y su consiguiente conformidad con el fallo de la Sentencia.
La comentaremos brevemente siguiendo el esquema trifásico que solemos utilizar.
A) Supuesto de hecho
a) La clienta recibió un correo electrónico, que aparentemente procedía de su banco, donde le pedían sus datos personales y las claves de acceso a sus cuentas bancarias.
b) Tras aportarlos, se produjeron los cargos fraudulentos correspondientes a dos compras con tarjeta en una tienda de productos tecnológicos de Barcelona, que la víctima no había realizado ni autorizado.
En concreto el Fundamento de Derecho Segundo de la Sentencia constata que “no existe controversia entre las partes en que los cargos fraudulentos en la cuenta bancaria fueron realizados tras recibir la actora un mensaje de correo electrónico, que aparentemente procedía de la entidad bancaria, en el que solicitaban sus datos personales y claves de acceso. Tras aportar la demandante dichos datos, se habrían producido los cargos fraudulentos a través de dos compras con la tarjeta de débito de laactora en una Apple Store de Barcelona”.
B) Conflicto jurídico
a) La clienta interpuso demanda frente al banco en la que terminaba suplicando que se dictara sentencia en la que se declarase la responsabilidad del banco demandado por incumplimiento del contrato de cuenta bancaria, así como abonase a la actora la cuantía de 5.895 euros por los daños y perjuicios sufridos, con imposición de costas a la parte demandada. La demanda se basaba, esencialmente en la alegación de que la clienta fue víctima del fraude denominado phishing, lo cual llevó a que fueran cargados en su cuenta bancaria pagos por la cuantía que se reclama.
b) El banco demandado alegó esencialmente que los cargos fraudulentos en la cuenta bancaria se habrían realizado por responsabilidad exclusiva de la clienta.
C) Fundamentación de la estimación de la demanda por el Juzgado
En su fallo, la Sentencia estima íntegramente la demanda formulada por la clienta contra el banco; declara la responsabilidad de este último en la incorrecta ejecución de las dos operaciones objeto del procedimiento que fueron realizadas contra la cuenta de la actora; declara que se han producido daños y perjuicios a la actora por importe de 5.895 euros, como resultado de dichas operaciones; y condena al banco demandado a abonar a la actora la cantidad de 5.895 euros, en concepto de daños y perjuicios, más los intereses legales desde la interpelación judicial; además de las costas del procedimiento.
El juez llega al fallo señalado mediante un razonamiento lógicamente claro que podemos estructurar en 4 fases: dos premisas fácticas y dos razonamientos jurídicos:
a) Las dos premisas fácticas afectan a cada una de las partes en conflicto porque:
a.1) En cuanto a la clienta demandante, constata que no autorizó los cargos, ya que el propio banco demandado no cuestiona en su contestación que la demandante fue víctima de una maquinación fraudulenta a través del engaño propio del phishing. En especial, el Fundamento de Derecho Segundo de la Sentencia comentada dice: “Desde esta perspectiva, debemos valorar que la mercantil demandada no ha probado en modo alguno que la actora haya actuado de manera fraudulenta o con negligencia grave. La entidad bancaria se ha limitado a manifestar que la demandante no fue diligente al facilitar sus datos a los autores del engaño delictivo. Sin
embargo, no podemos olvidar que, para trasladar al cliente los efectos del riesgo de estos cargos fraudulentos, la ley no exige la concurrencia de una culpa leve o de tipo medio; al contrario, nuestra legislación indica que la negligencia debe ser grave. Y en este caso no puede calificarse como grave la falta de diligencia de la actora”.
a.2) En cuanto al banco demandado, constata que no proporcionó a la víctima suficientes mecanismos de supervisión ‘antiphishing’, para evitar este fraude “sin que puedan resultar suficientes los avisos de carácter genérico de la web del banco”. En este sentido, el magistrado argumenta -en el Fundamento de Derecho Segundo de la Sentencia comentada- que la legislación no atribuye a los usuarios la responsabilidad en estas operaciones no autorizadas por la falta de medios que tienen para detectar estos fraudes, con los que sí deben contar las entidades bancarias y, en concreto, la Sentencia concluye que los casos de ‘phishing’ responden a “conductas delictivas muy elaboradas, a menudo perpetradas por profesionales del engaño, que simulan con precisión los formatos auténticos, ( …), e inducen a error con cierta facilidad”. Por lo que los bancos deberían diseñar sistemas de control ante movimientos inusuales o cargos que se salgan de lo habitual, como es el caso, ya que en el engaño del que fue víctima la clienta, se produjo una modificación del límite máximo diario establecido en el contrato de la tarjeta de crédito, sin que la entidad comprobara que había sido su clienta la que había ordenado dicha modificación.
b) Los dos razonamientos jurídicos son de tipo legislativo y jurisprudencial porque:
b.1) La legislación aplicable es el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, del que el Fundamento de Derecho Segundo de la Sentencia comentada destaca los preceptos siguientes aplicables para resolver el litigio (el lector interesado en esta normativa puede consultar la nota bibliográfica final de esta entrada):
b.1.1) Su artículo 36.1 que dispone que las operaciones de pago se considerarán autorizadas “cuando el ordenante haya dado el consentimiento para su ejecución” y que, a falta de este consentimiento, “la operación de pago se considerará no autorizada”.
b.1.2) Su artículo 44 que establece una presunción de falta de autorización cuando esta es negada por el usuario.
b.1.3) Sus artículos 45 y 46 de cuya redacción se desprende que, en el caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago deberá devolver al cliente el importe de la misma, salvo que este último haya actuado de manera fraudulenta o con negligencia grave. Si concurriera este último supuesto, el cliente “soportará todas las pérdidas derivadas de operaciones de pago no autorizadas”.
b.1.4) Su artículo 44.3 que, con referencia a la carga de la prueba, dispone que, en estos casos corresponde a la entidad bancaria “probar que el usuario del servicio de pago cometió fraude o negligencia grave”.
b.2) La jurisprudencia aplicable que establece que la anterior legislación aplicable establece en estos supuestos -tal y como verifica el Fundamento de Derecho Segundo de la Sentencia comentada- “una responsabilidad cuasi objetiva para la entidad bancaria, de la que solo puede eximirse si acredita la concurrencia de actuación fraudulenta o culpa grave del cliente (en este sentido, SS. AA. PP. de Badajoz de 7 de febrero de 2013, de Alicante de 12 de marzo de 2018, de Madrid de 13 de enero de 2023 o de La Rioja de 17 de febrero de 2023, entre otras)”. Refiriéndose, en concreto, al phishing, la Sentencia se refiere al diferente nivel de diligencia exigible a los bancos y a su clientela de tal modo que:
b.2.1) El cliente deberá soportar el daño únicamente si el banco acredita una negligencia grave en su proceder, en concreto, en la custodia de sus daos bancarios; Así, el Fundamento de Derecho Segundo de la Sentencia comentada dice: “Las dificultades para la detección del fraude por parte de los usuarios se evidencian ante la multitud de procedimientos penales que se tramitan en nuestros órganos judiciales por estafas de este tipo. Por ello, ha de valorarse que el legislador no ha querido trasladar a los usuarios la carga de atribuirles la responsabilidad por estas operaciones no autorizadas y de exigirles que procedan con un cuidado extremo, ante su carencia de medios para detectar estos fraudes”.
b.2.2) El banco deberá asumir el daño siempre que conste en autos su falta de diligencia exigible, incluso a título de culpa leve conforme al criterio de responsabilidad profesional que deriva del “qui prodest”. En este sentido, el Fundamento de Derecho Segundo de la Sentencia comentada dice: “En cambio, son las entidades bancarias las que se benefician por la introducción de las mejoras tecnológicas y las que deben contar con instrumentos adecuados para la detección de las actuaciones fraudulentas. (…) Como señaló en un caso similar la Sentencia de la Audiencia Provincial de Madrid de 13 de enero de 2023, “no podemos calificar la posible negligencia de la demandante en la conservación de sus claves como grave en ningún caso. Estamos ante un tipo de fraude muy específico del que es fácil ser víctima, sin que ello implique una actuación negligente del cliente, dado lo bien articulada en su ejecución que está esta modalidad de fraude (…). Debemos compartir las reflexiones de la Sentencia de la Audiencia Provincial de la Rioja de 17 de febrero de 2023: “El banco debe actuar con la diligencia exigible, que no es sólo la reglamentariamente prevista sino la adecuada a las circunstancias de personas, lugar y tiempo. Entre estas, cobran especial relevancia datos tales como el perfil del cliente, los movimientos inusuales, los importes dispuestos, la hora en que se hace la operación, etc. (…). Y no basta con medidas genéricas de protección o avisos estereotipados de cuidado, pues tales avisos ostentarían la calificación de «formulas predispuestas», vacías de contenido. No son los clientes los que deben prevenir ni averiguar las modalidades de riesgos que el sistema conlleva, o estar al tanto de los mismos, ni prevenir con su asesoramiento experto dichos riesgos”.
Nota bibliográfica sobre la regulación de los servicios de pago: El lector puede consultar las entradas de este blog de 4 y 5 de diciembre de 2018 sobre el “Impacto del Real Decreto-ley 19/2018 en el mercado de valores” y el “Impacto del Real Decreto-ley 19/2018 en el mercado bancario” y las entradas de 11, 16 y 23 de enero de 2019 sobre los “Servicios de pago (1). Su regulación por el Real Decreto-ley 19/2018. Aspectos generales”; los “Servicios de pago (2). Su regulación por el Real Decreto-ley 19/2018. Estructura del mercado”; y los “Servicios de pago (3). Su regulación por el Real Decreto-ley 19/2018. Funcionamiento del mercado”. Para profundizar en la materia también puede consultar nuestros estudios “La segunda Directiva de servicios de pago” en la Revista de Estabilidad Financiera (Banco de España, Eurosistema) n.º 35, 11/2018, pp. 57-80 / The second payment services Directive” in the Financial Stability Review. Issue n.º 35, pp. 57-78; y “La regulación de los servicios de pago por el Real Decreto-ley 19/2018, de 23 de noviembre. Una visión panorámica”, en la RDBB n.º 155 (2019), pp. 9-36 y “La nueva directiva sobre servicios de pago (DSP 2) y su aplicación desde el 13 de enero de 2018”, en la RDBB N.º 150 (2018), pp. 255 a 260.