Plaza de Santa María, 2, Mérida       924 38 71 78
Widget Image
logo
mobile-logo
InicioNoticias del díaLa era de las estafas informáticas: responsabilidad del banco depositante

La era de las estafas informáticas: responsabilidad del banco depositante

0
0
219
Noticias del día

La era de las estafas informáticas: responsabilidad del banco depositante

Con la presencia de Internet en nuestra vida cotidiana la posibilidad de que nuestros datos sean capturados por los llamados hackers se ha convertido en una tarea de lo más usual.

En este marco tecnológico, han sido multitud de personas las que se han convertido en víctimas del llamado delito de phising basado en una estafa informática cuya regulación se encuentra plasmada en el art.248.2 de nuestro Código Penal.

Ahora bien, ¿debe responder la entidad bancaria de las cantidades que han sido sustraídas a través del engaño?

En el presente artículo analizaremos el marco normativo sobre la responsabilidad que recae en las entidades financieras cuando algunos de sus clientes es víctima del delito de phising, trayendo a colación como ejemplo de ello, el Caso de Unicaja.

Partiendo de lo anterior, debemos indicar que en el caso de Unicaja, desde la fusión por absorción de Liberbank y Unicaja existen multitud de personas –sin poder cifrar una cantidad exacta dado que siguen apareciendo más afectados todavía- de todo el territorio español que han sido víctimas de un delito de phising, lo que ha provocado la creación de una plataforma en la red social Facebook bajo el nombre de “Plataforma afectados ciberataque a Unicaja Banco”.

Así, la técnica más utilizada por los autores de este tipo de delito consiste en la suplantación del nombre de la entidad Unicaja, por parte del estafador o phisher, llamando incluso con el propio teléfono de dicho banco a los clientes, indicándoles que era necesario frenar una transferencia no autorizada que se estaba realizando, solicitando por ello al cliente las credenciales o el cambio de las mismas que ellos mismos facilitaban o introducían a través de un SMS que recibían en su dispositivo móvil o correo electrónico, donde también se reflejaba el nombre de la entidad. Tras ello, inmediatamente los estafadores realizaban transferencias a cuentas extranjeras, muchas de ellas comenzaban por BE, es decir al país de Bélgica, cuyos importes han variado desde cantidades que rondan los 500,00 € llegando incluso hasta los 12.000 €

En este contexto, muchas de las personas han solicitado a la entidad financiera citada la devolución de dichos importes transferidos de forma no consentida, pues en realidad el consentimiento que pudo prestarse estaba viciado por un engaño suficiente y bastante, negándose la entidad a la devolución de dichos importes u ofreciendo acuerdos extrajudiciales en los que se incluía la renuncia por parte del consumidor a cualquier acción judicial, en los que ofrecían en la mayoría de los casos la devolución del 50 % del importe transferido.

En relación a todo ello, sobre la responsabilidad del banco, debemos mencionar la aplicación de la Ley de Servicios de Pago, antigua Ley 16/2009, de 13 de Noviembre, en lo sucesivo LPS,  en la actualidad  Real Decreto-Ley 19/2018, de 23 de noviembre, tras la transposición al ordenamiento jurídico español de la Directiva (UE) 2015/2366 del Parlamento y del Consejo, de 25 de noviembre, sobre Servicios de Pago en el Mercado Interior, dado que las tarjetas de crédito se tratan de unos medios de pago, estableciéndose en el artículo 43 de la LPS bajo el título “Notificación y rectificación de operaciones de pago no autorizadas o ejecutadas incorrectamente” lo siguiente:

1. El usuario de servicios de pago obtendrá la rectificación por parte del proveedor de servicios de pago de una operación de pago no autorizada o ejecutada incorrectamente únicamente si el usuario de servicios de pago se lo comunica sin demora injustificada, en cuanto tenga conocimiento de cualquiera de dichas operaciones que sea objeto de reclamación, incluso las cubiertas por el artículo 60, y, en todo caso, dentro de un plazo máximo de trece meses contados desde la fecha del adeudo.

Los plazos para la notificación establecidos en el párrafo primero no se aplicarán cuando el proveedor de servicios de pago no le haya proporcionado ni puesto a su disposición la información sobre la operación de pago con arreglo a lo establecido en el título II.

2. Cuando intervenga un proveedor de servicios de iniciación de pagos, el usuario de servicios de pago deberá obtener la rectificación del proveedor de servicios de pago gestor de cuenta en virtud del apartado 1, sin perjuicio de lo dispuesto en el artículo 45.2, y el artículo 60.1.

En este sentido, la mayoría de las víctimas tras interponer la denuncia en la Guardia Civil –requisito indispensable-  remiten sin demora dicha denuncia a la oficina bancaria para proceder a la devolución del importe, cumpliendo con uno de los requisitos que recoge la norma, negándose o no atendiendo tal asunto la mayoría de entidades bancarias aludiendo a la falta de diligencia por parte del cliente al haber introducido o facilitado las claves personales.

Así, en igual sentido, el artículo 45 de la citada Ley titulado “Responsabilidad del proveedor de servicios de pago en caso de operaciones de pago no autorizadas señala que:

1.         Sin perjuicio del artículo 43 de este real decreto-ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada

La fecha de valor del abono en la cuenta de pago del ordenante no será posterior a la fecha de adeudo del importe devuelto.

2. Cuando la operación de pago se inicie a través de un proveedor de servicios de iniciación de pagos, el proveedor de servicios de pago gestor de cuenta devolverá inmediatamente y, en cualquier caso, a más tardar al final del día hábil siguiente, el importe de la operación de pago no autorizada y, en su caso, restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada.

A la vista de la citada normativa, es claro que el banco debe responder en estos casos, siendo así, que de forma ilustrativa traemos dos recientes sentencias donde ha sido condenada la entidad bancaria Unicaja a restituir las cantidades sustraídas a los clientes más los intereses legales. La Sentencia 132/2022 de 16 de febrero de la Sección Primera de la Audiencia Provincial de Cáceres de la cual destacamos la siguiente fundamentación:

La conclusión que obtiene la referida Sentencia, es la de la responsabilidad de la entidad bancaria recurrente frente a su cliente, citando por último la Sentencia de la Audiencia Provincial de Madrid de 25 de noviembre de 2011 , cuando se refiere a que «dado que, no puede olvidarse que el sistema de pago y reintegro mediante la utilización de un sistema electrónico como es de las tarjetas de crédito y débito entraña un riesgo (utilización de microcámaras y reproductores de tarjetas instalados en los cajeros), y la experiencia diaria confirma como son utilizadas fraudulentamente tarjetas que han sido sustraídas o extraviadas, sin que pueda garantizarse una seguridad absoluta en la utilización de tales instrumentos, doctrina que trae como consecuencia que corresponda a la entidad financiera la carga de acreditar que el sistema utilizado es completamente seguro e infalible y que el acceso a sus servicios sólo puede verificarse con el marcado de un número PIN, número que es en sí mismo indescifrable, o dicho de otro modo, que la única forma que tiene el tercero de acceder a tales servicios es visionando previamente el PIN en cualquier forma, y, tal circunstancia no ha sido probada, como tampoco lo ha sido que la posibilidad de conocimiento del número secreto por parte de terceros no autorizados por causas ajenas a la voluntad del titular de la tarjeta es un hecho insólito o extraordinario ni ajeno a la propia dinámica de funcionamiento del sistema; Por tanto, a la entidad bancaria le corresponde asumir los riesgos que conlleva la tarjeta en sí porque ella se lleva los beneficios: comisiones de uso, mantenimiento, recargos, intereses.»

Aplicando estas consideraciones al caso enjuiciado procede establecer también aquí la responsabilidad de la entidad bancaria por los cargos realizados mediante la utilización no consentida de la tarjeta del demandante”

De igual forma se pronuncia la Sentencia del Juzgado de Primera Instancia nº 7 de Gijón, nº 402 de 1 de Diciembre de 2022

En atención a lo anterior, es la entidad bancaria correspondiente quien deberá probar que existía la seguridad suficiente mediante filtros o controles establecidos por el Banco para asegurar que el operador del servicio era el cliente y de haber suministrado o implando todas las medidas necesarias para evitar o frenar la existencia de actuaciones delictivas por terceros ajenos, que en el presente caso se cree que durante la absorción de Unicaja ha podido existir una brecha en la seguridad informática de la entidad lo que ha facilitado la captación de datos de clientes por parte de los phisher, por lo que el incumplimiento en sus deberes genera una responsabilidad contractual por culpa in vigilando, cuya naturaleza es objetiva, derivada del mal funcionamiento de los servicios electrónicas de la banca, siendo así, que además, al ser el cliente consumidor de acuerdo con la Ley General para la defensa de los consumidores aprobada por el Real Decreto Legislativo 1/2007, de 16 de Noviembre, en su art.147 y 148 se establece una responsabilidad a los prestadores de servicios por los daños y perjuicios causados al consumidor y usuario “cuando por su propia naturaleza, o por estar así reglamentariamente establecido, incluyan necesariamente la garantía de niveles determinados de eficacia o seguridad, en condiciones objetivas de determinación, y supongan controles técnicos, profesionales o sistemáticos de calidad, hasta llegar en debidas condiciones al consumidor y usuario”.

Igualmente, debemos indicar que este tipo de responsabilidad bancarias por delito de phising se han establecido jurisprudencialmente ya con anterioridad, como por ejemplo se puede corroborar en la condena al Banco Santander en las sentencias de la Audiencia Provincial de Madrid, Sección 20º de 20 de Mayo de 2022, Recurso nº 945/2021, Resolución nº 184 o Sentencia de la Audiencia Provincial de Valencia, Sección 6º de 13 de Junio de 2022, Recurso nº 932/2021, Resolución nº 254, condena al banco BBVA en Sentencia de la Audiencia Provincial de Madrid de 28 de Febrero de 2022, Recurso nº 35/2021, Resolución nº 74, o la condena al Banco Caixabank en la Sentencia de la Audiencia Provincial de Alicante, Sección 8º de 12 de Marzo de 2018, Recurso nº 622/2017, Resolución nº 107.

Además, debemos resaltar que de acuerdo con el art.46 de la  Ley 7/96, de 15 de enero de Ordenamiento del Comercio Minorista transposición de la Directiva 97/7 CE) y la ley 22/07 de 11 julio (art. 12) de Comercialización a Distancia de Servicios Financieros destinados a Consumidores (transposición de Directiva 2002/65/CE), establecen una protección especial al consumidor frente a la incertidumbre jurídica que produce el desarrollo de Internet y las nuevas tecnologías. Protección que se articula en la inmediata reposición o anulación de los cargos indebidos al titular del elemento o medio de pago utilizado indebida o fraudulentamente, más aún cuando se trata de servicios que por su propia naturaleza o por estar así reglamentariamente establecido, incluyan necesariamente niveles determinados de eficacia o seguridad, en condiciones objetivas de determinación.

De forma concluyente a todo lo anterior, a estos efectos, e invocando el Código de Buena Conducta del sector bancario europeo relativo a los sistemas de pago mediante tarjeta, en especial la Recomendación de la Comisión, de 17 de Noviembre de 1998, 85/590/CEE, de acuerdo con el art.7.1, 7.2. y 7.3., el emisor de la tarjeta, es decir, la entidad bancaria correspondiente deberá responder en estos casos de phising en base a la normativa aplicable y transcrita en consonancia con la jurisprudencia emanada de distintos Juzgados.

Facebooktwitter
Artículos Relacionados
Noticias del día

¿Se puede desgravar el dentista en la

Noticias del día

Alerta por nuevo intento de estafa del

Noticias del día

El Banco de España ha observado "margen de

Noticias del día

Estos son los ocho alimentos que no

Noticia anterior
Noticia siguiente
Sin comentarios

Lo sentimos, el formulario de comentarios está cerrado en este momento.

a

La Unión de Consumidores de Extremadura pretende la mejora de la calidad de vida de los ciudadanos como consumidores y usuarios, la representación y defensa de sus intereses (individuales y colectivos) y el desarrollo de su participación en la vida social..

Conéctate
FACEBOOK
TWITTER

Realizado con el patrocinio del Instituto de Consumo de Extremadura (INCOEX)