¿Hay responsabilidad de la entidad bancaria en caso de phishing?
La jurisprudencia señala que sí.
En este artículo analizaremos la ST de la Audiencia Provincial que desestima el recurso interpuesto por la entidad financiera (Barclays) al considerar que hubo un incumplimiento de sus obligaciones tras recibir el aviso de la transferencia fraudulenta por parte de la actora.
Supuesto de hecho
La sentencia versa sobre el fraude informático realizado a través del método conocido como PHISHING o transferencia no autorizada desde la cuenta abierta en la entidad por la perjudicada de 8.400 euros.
El Juzgado de Primera Instancia condenó a la entidad al reintegro del citado importe.
La entidad interpuso recurso de apelación que es desestimado íntegramente por la Audiencia Provincial.
APELACIÓN EN BASE A LOS SIGUIENTES ARGUMENTOS
Todos ellos desestimados:
PRIMERO
Error en la valoración de la prueba. Corresponde a la Sra. xx acreditar el incumplimiento de las obligaciones por parte de Barclays. Infracción del art. 217 LEC.
La demandada, sustenta este motivo en la consideración de que la carga de la prueba del incumplimiento de las obligaciones que corresponde a Barclays en materia de seguridad inherentes a la prestación del servicio de banca electrónica, es de la demandante.
La St. concluye que la responsabilidad del proveedor de los servicios de banca online , en este caso Barclays, es de riesgo y consecuentemente, es por ley que a la entidad corresponde acreditar que la operación ordenada sí fue auténtica y que no estuvo afectada por un fallo técnico o por otra deficiencia como, por ejemplo, por un ataque informático de naturaleza fraudulenta al sistema bancario que hubiera permitido el acceso a las cuentas de sus clientes y disponer ilícitamente, de las mismas ordenando operaciones en detrimento de aquellos.
Se desestima el motivo.
SEGUNDO
Error en la valoración de la prueba. De la inexistencia de incumplimiento contractual. Barclays adoptó las medidas de seguridad necesarias.
La Sra. xx actuó con imprudencia o falta de diligencia al operar mediante su cuenta bancaria on line .
La parte demandada insiste en la existencia de medidas de seguridad aplicadas para evitar fraude informático (recomendaciones al usuario incluidas) como incumplimiento de las obligaciones del usuario, la Sra. xx , de sus obligaciones esencialmente, sobre el uso de las claves en el sistema y sus decisiones ante la web falsa en la que introdujo -desoyendo la recomendación en contrario- más de una coordenada.
La Sentencia analiza cuáles son las obligaciones del prestador y del usuario conforme a la legislación aplicable, el significado jurídico de las órdenes de pago y el marco de responsabilidades que del mismo resulta y la jurisprudencia más señalada al respecto.
Pues bien, tales aspectos pueden concretarse en los puntos que seguidamente numeramos.
1.- La transferencia bancaria es un servicio que forma parte del contrato de servicio de caja entre un proveedor de servicios de pago (el banco) y sus clientes y sirve de medio de pago mediante el débito en la cuenta del ordenante y abono en la del beneficiario, tratándose en suma de un procedimiento financiero de movimiento de la moneda.
Se trata de un medio de pago consistente en una orden dada al banco (banco emisor) por parte de un cliente (ordenante) a fin de que, con cargo a su cuenta, abone un determinado importe en otra cuenta del mismo o distinto banco (banco destinatario) abierta a nombre de un tercero (beneficiario) o del propio ordenante.
2.- La LSP define la orden de pago como » toda instrucción cursada por un ordenante o beneficiario a su proveedor de servicios de pago por la que se solicite la ejecución de una operación de pago»
3.- Desde un punto de vista contractual toda transferencia constituye una forma de ejecución de obligaciones contractuales previamente asumidas, ejecución obligada cuando se dan las condiciones pactadas, de ordinario, que haya provisión de fondos.
Es por ello que se entiende que la orden de transferencia constituye una declaración de voluntad o mandato en virtud del cual el banco asume la realización de transferencias por cuenta del cliente como parte del contrato de servicio de caja.
4.- Dado el carácter negocial de la orden de pago, ésta puede pactarse que tenga lugar en cualquier forma, incluida la electrónica.
En particular, el consentimiento a operaciones de pago por el usuario en el ámbito de la banca electrónica supone que el cliente deba haber firmado un contrato de adhesión a los servicios de banca electrónica.
El consentimiento del ordenante se prestará, según el medio utilizado para prestar dicho consentimiento, mediante, o la firma de la autorización y orden de transferencia correspondiente, o verbalmente a través de la vía telefónica o a través de banca por internet o electrónica.
5.- Tanto en la banca telefónica como por internet, el proveedor de servicios de pago, o lo que es lo mismo, el banco emisor, debe implementar las medidas necesarias para asegurar la autenticación e identidad del ordenante a la hora de prestar su consentimiento.
Por ello y para su ejecución, el banco debe comprobar en todo caso la autenticidad de la orden y, salvo pacto en contrario, que existe saldo suficiente.
6.- De ordinario, para la realización de transferencias ordinarias con cargo a una cuenta vinculada es preciso que el cliente haya de autenticar la operación mediante la introducción de las claves previamente facilitadas por la entidad de crédito con la que contrata, con respecto a las cuales tendrá unos deberes de custodia.
7.- La falsedad de la transferencia (es decir, que el ordenante no sea el titular de la cuenta) es un riesgo a cargo del banco porque, en principio, el deudor sólo se libera pagando al verdadero acreedor por lo que, si el banco cumple una orden falsa, habrá de reintegrar en la cuenta correspondientes las cantidades cargadas. Una excepción a esta distribución de riesgos se produce en el caso de que el titular haya creado o elevado el riesgo de falsificación de forma imputable en el caso concreto
La responsabilidad en estos supuestos no puede atribuirse directamente al supuesto ordenante de la transferencia por entenderse ésta autorizada al haberse realizado de acuerdo con los sistemas de autenticación del banco.
Los sistemas de autenticación se establecen por los proveedores de servicios de pago y si un banco no ha sido capaz de limitar el acceso al canal de banca electrónica no puede pretender que el presunto ordenante víctima de esta práctica fraudulenta sea el único responsable, pues es el banco quien tiene responsabilidad respecto del buen funcionamiento y la seguridad del mismo.
Dispone a tal efecto el art. 25,1º LSP que » Las operaciones de pago se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución. A falta de tal consentimiento la operación de pago se considerará no autorizada».
Por tanto, en el caso de ordenes de pago y transferencias fraudulentas esta disposición supone que si la orden de pago o transferencia emitida por el cliente contiene una manifestación voluntad que actúa como causa del pago al tercero o la remisión de fondos al beneficiario, a «sensu contrario» puede afirmarse que sin dicha declaración de voluntad la operación de pago o transferencia de fondos se considerará no autorizada.
Se desestima este motivo.
TERCERO
Error en la valoración de la prueba. Inexistencia de incumplimiento extracontractual. Barclays actuó con la debida diligencia y puso los medios que se encontraban a su alcance para mitigar el daño sufrido.
La apelante, alega que de la prueba practicada sí ha quedado probado que Barclays no solo actuó con diligencia sino que si no pudo bloquear la transferencia y evitar el perjuicio económico fue, no por falta de indiligencia sino por la negligencia de la Sra. xxx , que no proporcionó toda la información precisa para detectar el fraude tardando cinco días en poner en conocimiento de la entidad la realidad de la transferencia fraudulenta, momento en el que ya no fue posible evitar el perjuicio
Pues bien, lo que plantea la entidad apelante es que hubo indiligencia por la demandante a la hora y contenido de comunicar la incidencia al banco, siendo ello la causa exclusiva de la imposibilidad de llevar a cabo las actuaciones que debía hacer, a pesar de haberse ejecutado, y por tanto que obtuvieran el efecto deseado. En suma, lo que afirma la entidad es que no fue su responsabilidad la pérdida económica padecida por la demandante porque comunicó mal la incidencia inicial y porque en todo caso denunció tardíamente el hecho, careciendo de capacidad de actuación la entidad para evitar ya el daño.
La sentencia, desestima también este motivo alegando que no tratándose de una transferencia inmediata, era además de factible precisa una rápida actuación para intentar cuando menos suspender la disposición del dinero en el banco de destino y evitar, con ello, el resultado dañoso.
Se desestima el motivo.
CUARTO
Error en la valoración de la prueba. Inexistencia de relación de causalidad entre el actuar de Barclays y el daño producido.
El Banco señala que el daño no tiene otra causa que la indiligencia de la demandante que desoyó las recomendaciones de seguridad y que no transmitió a Barclays desde el primer momento, la información necesaria para que actuase en consecuencia.
La St. finaliza, indicando que Barclays sí infringió sus obligaciones, tanto contractuales de implementación del sistema de las medidas de seguridad exigibles para un uso seguro por su cliente, como extracontractuales, al no haber actuado con diligencia tras la denuncia del fraude informático padecido en la cuenta de la cliente al acceder al sistema online terceros no autorizados para operar con aquella, todo lo cual deriva no solo en lo ya expuesto con ocasión del primero de los motivos sobre el alcance de la presunción iuris tantum en materia de carga de la prueba, sino en el alcance de dicha presunción que en caso de concurrencia de la conducta descrita se extiende tanto al dolo o culpa grave como a su incidencia causal en la provocación o agravamiento de la insolvencia, siendo así que en todo caso, y como ha quedado explicitado a lo largo de esta Sentencia, la no acreditación de las necesarias medidas de seguridad, la acreditación de la diligencia de la usuaria, y la inacreditación de la conducta posterior a la denuncia del fraude por el banco, omitiendo las medidas necesarias para evitar, en su caso, la pérdida definitiva del dinero, constituyen los presupuestos que permiten apreciar la realidad de una causalidad adecuada entre la conducta omisiva de la entidad y el resultado dañoso.
Se desestima el motivo.
CONCLUSIONES DEL CRITERIO ESTABLECIDO
La sentencia explica la doctrina jurisprudencial en materia de PHISING, en virtud de la cual la responsabilidad de la titular de la banca online es de naturaleza cuasi-objetiva, derivada de la exigencia a la entidad titular del servicio online de adoptar medidas de seguridad necesarias y renovables ante los distintos modos de fraude informático, de tal modo que salvo que se acredite la negligencia grave por parte del usuario de la banca electrónica, la entidad financiera debe responder del reintegro de los importes obtenidos de forma fraudulenta.
Así pues, la responsabilidad del proveedor de los servicios de banca online, es de riesgo y consecuentemente, le corresponde por ley acreditar que la operación ordenada sí fue auténtica y que no estuvo afectada por un fallo técnico o por otra deficiencia.
En consecuencia, hay responsabilidad bancaria por los defectos de seguridad del sistema que determina la ejecución de órdenes de pago no autorizadas por su cliente, salvo de que el banco acredite la culpa o negligencia de la víctima.
Confirma que es la prestadora de los servicios de pago quien tiene la obligación de facilitar un sistema de banca telemática segura, y no son sus clientes- usuarios los que deben prevenir ni averiguar las modalidades de riesgos que el sistema conlleva, ni prevenir con un asesoramiento experto los mismos, no pudiendo en suma la parte obligada legalmente a ofrecer un modelo de servicio de caja que requiere de un especial nivel de seguridad, objetar que el usuario debía conocer aspectos técnicos tales como identificar una web como falsa -cuando no consta que fuera burda y por tanto, evidente de toda falsedad-, ni que no eran fallos técnicos sino riesgos fraudulentos, determinados comportamientos de la plataforma que, no se olvide, son tan factibles que incluso el contrato de banca directa alude -para eludir responsabilidades el prestador- al riesgo de fallos técnicos, errores, interrupciones, desconexiones, sobrecargas y otras formas de defectos en la conexión.
Y concluye determinando que resulta evidente que en el caso hubo un incumplimiento contractual del banco al ejecutar una orden de pago sin comprobar su legitimidad, es decir, que provenía efectivamente del titular (o autorizado) de la cuenta, al no disponer de un sistema adecuado de seguridad que previniera tal tipo de órdenes fraudulentas ni adoptar medidas concretas y específicas en el caso cuando toma conocimiento de una situación operativa anormal que debió, cuando menos de forma puntual y excepcional, a verificar cualquiera orden que se diera en relación a las cuentas de la demandante.