La responsabilidad de los prestadores de servicios de pago en los casos de phishing
- El TJUE reinterpreta el derecho de acceso a los datos personales: También tenemos derecho a conocer la fecha y las razones por las que se han consultado nuestros datos personales - 20 julio, 2023
- La responsabilidad de los prestadores de servicios de pago en los casos de phishing - 21 diciembre, 2022
La práctica de “phishing” analizada en este artículo es aquella dirigida a obtener las claves bancarias de la víctima por parte del delincuente para posteriormente hacer cargos no autorizados con su tarjeta de débito o crédito. Teniendo en cuenta que el dinero robado por los delincuentes es irrecuperable; en la mayoría de casos, las cuestiones que nos asaltan tras esta estafa son ¿Pueden recuperar el dinero las víctimas?, y lo más importante, ¿Quién se lo debe devolver?
La norma que regula los servicios de pago y da respuesta a esta problemática es el Real Decreto-ley 19/2018 de Servicios de pago y otras medidas urgentes en materia financiera (en adelante RDL 19/2018). En su artículo 45 regula la responsabilidad de los proveedores de servicios de pago (o lo que es lo mismo las entidades financieras o bancos) en caso de operaciones no autorizadas por el usuario. Establece que los bancos deberán devolver de inmediato las cantidades objeto de dichas operaciones no autorizadas, salvo que sospeche de la existencia de fraude por parte de la supuesta víctima. Sin embargo, como se verá más adelante la carga de prueba de dicho fraude recae en la propia entidad financiera.
Es decir, la norma obliga a las entidades bancarias a tomar medidas para asegurar la autenticación y seguridad de sus clientes (las credenciales de seguridad deben ser accesibles sólo para el usuario y no para terceros) a la hora de llevar a cabo operaciones bancarias, respondiendo ellas por los efectos de sus sistemas de identificación.
Ahora bien, el usuario también tiene unas obligaciones tal como se dispone en el artículo 41. La primera es que debe utilizar correctamente los instrumentos de pago, tomando las medidas razonables para proteger sus credenciales de seguridad. La segunda es que en caso de de producirse una operación no autorizada debe notificar al banco sin demora desde que tuviera conocimiento de los hechos, teniendo un plazo de 13 meses.
La práctica de las entidades bancarias tras la reclamación de los solicitando el reembolso, suele ser afirmar que el cliente incumplió deliberadamente o por negligencia grave las obligaciones del artículo 41, debiendo este soportar las pérdidas. Sin embargo, como ya hemos apuntado, hay que recordar que en el mismo RDL 19/2018, en el artículo 44, se exige a los proveedores de servicio de pago que sean los que tengan que probar que la víctima actuó con negligencia grave o cometió algún tipo de fraude, o que la operación de pago fue autenticada y que su sistema funcionó correctamente, deberá reembolsar al usuario la cantidad correspondiente a la defraudada.
Surge así el concepto de responsabilidad cuasi-objetiva o responsabilidad por culpa in vigilando de los proveedores de servicio de pago, la cual ha sido esclarecida por nuestros tribunales[1].
A todo esto hay que sumarle que la negligencia de la víctima del phishing, a probar por la entidad bancaria, debe ser considerada “grave”, no bastando una negligencia leve o simple, tal como también se desprende de pronunciamientos de nuestros tribunales[2].
Visto lo exigido por la norma y la jurisprudencia, la pregunta que nos surge es, ¿Se cumple en la práctica? ¿Las víctimas de phishing están recuperando su dinero de mano de los bancos? La respuesta es sí. Solo hay que ver la sentencia más reciente de la Audiencia Provincial de Madrid nº 199/2022, del 8 de abril de 2022, donde se condenó al Banco Santander a reembolsar 5.826, 73 euros al demandante, un cliente que sufrió una estafa phishing, donde las operaciones fueron autenticadas por unos SMS que el demandante alegó que no había recibido. Según el pronunciamiento, el banco incumplió sus deberes contractuales con su cliente ya que: (i) no probó que el cliente hubiera recibido los SMS, y (ii) no le informó al cliente de cómo prestar consentimiento en la realización de operaciones con tarjeta.
En conclusión, consideramos que es importante que las víctimas de phishing conozcan su derecho a recuperar su dinero, sustraído por estafa, de la mano de los proveedores de servicios de pago. Ahora bien, no deben haber caído en actitudes negligentes graves a la hora de proteger sus credenciales bancarias, ni obviamente intentar estafar al propio banco. Mientras siguieran unas conductas medianamente diligentes, el banco deberá devolverles el importe perdido, y si hubiera dudas, tendría que ser el propio banco el que tuviera la carga de prueba de demostrar esta conducta negligente “grave”.
[1] Sentencia nº17/2018, de 12 de marzo, Audiencia Provincial de Alicante. Disponible en: https://www.poderjudicial.es/search/AN/openDocument/9718501a458ca5d7/20180613
[2] Sentencia nº 351/2012 del 18 de septiembre de la Audiencia Provincial de Oviedo. Disponible en: https://www.poderjudicial.es/search/AN/openDocument/b39fd042a2fce878/20121127