Phising, pharming, smishing, vishing, scam, skimming, backdoor… bajo estos anglicismos (o más bien “nombrajos”) se ocultan sólo algunas de las modalidades de fraudes bancarios cometidos a través de internet.
Estas variantes, que difieren en la forma de materializarse, están unidas por un fin común: obtener información y datos privados de usuarios de banca, con el objetivo de ser utilizados fraudulentamente. A través de ellos, los ciberdelincuentes tratan de usurpar identidades o directamente robar dinero de los usuarios de banca electrónica.
La desbocada incidencia tanto en particulares como en personas jurídicas puede generar no sólo importantes pérdidas patrimoniales en quienes lo sufren, sino también una situación de perplejidad al no saber contra quién reclamar ni cómo hacerlo. Y ello se debe, fundamentalmente, al carácter telemático de los hechos, que permite ocultar la identidad del autor e incluso el mecanismo del fraude.
Ante este desconocimiento, las víctimas de estos delitos primeramente suelen acudir a la comisaría a interponer la correspondiente denuncia. Sin embargo, la dificultad de dar con el autor, enmascarado habitualmente tras un sistema cifrado y encriptado, provoca la imposibilidad de reparar el daño por la vía penal.
Por eso, una vez denunciados los hechos ante la policía y seguido sin éxito el proceso penal previsto para este tipo de acciones, el cauce común suele ser la reclamación en vía civil.
Y entonces surge la pregunta: ¿contra quién se dirige esta reclamación de resarcimiento del daño patrimonial sufrido?
Pues sí. Lo han adivinado. Cómo suele suceder en la última década en España, la demanda judicial se dirige contra las entidades bancarias.
Esta reclamación frente a los bancos se basa en la existencia de una operación no autorizada por parte del proveedor de servicios de pago. Encuentra su fundamento en el artículo 45 del Real Decreto-ley 19/2018, de servicios de pago y otras medidas urgentes en materia financiera, que regula la responsabilidad del proveedor de servicios de pago en caso de operaciones no autorizadas.
Los usuarios, víctimas de cualquier fraude bancario, creen encontrar en esta normativa el mecanismo para eximirse de responsabilidad, aunque hayan actuado negligentemente. Es decir, la víctima trata de poner el foco exclusivamente en la entidad financiera, evitando así entrar al detalle de su propia conducta.
En una primera época, sobre todo a partir del año 2015, este tipo de demandas judiciales contra los bancos solían prosperar fácilmente en los tribunales. Mayoritariamente los jueces entendían que la entidad de crédito debía de responder en base a una especie de responsabilidad objetiva automática. El razonamiento era algo así como que “puesto que el sistema de pago era creado por la entidad bancaria, cualquier incidencia padecida por el usuario de la misma era responsabilidad de aquélla.”
No obstante, desde hace relativamente poco tiempo y tras la inicial “barra libre” jurídica provocada por la novedosa materia, la jurisprudencia está poniendo coto a este desmán. Las reclamaciones judiciales contra los bancos encuentran su principal obstáculo en la limitación de la extensa responsabilidad que se les venía imputando a las entidades crediticias.
Estas limitaciones en la imputación de responsabilidad al banco han sido acogidas entre otras, por la Audiencia Provincial de Barcelona (Sección 16ª, en su Sentencia 249/2022 de 23 de mayo) y la Audiencia Provincial de A Coruña (Sección 3ª, en su Sentencia 398/2022 de fecha 19 de octubre).
Las Salas que, en sus respectivas sentencias fallan a favor la entidad bancaria, destacan la falta de la diligencia mínima exigida al usuario. En base a ello, los tribunales entienden que no es posible responsabilizar a la entidad financiera por unos hechos generados como consecuencia directa de una conducta descuidada de su cliente.
En las citadas sentencias, se pueden encontrar frases tan ilustrativas de lo anteriormente expuesto como: “Es una negligencia grave en la omisión de medidas elementales de precaución, achacable exclusivamente a doña Zulima, sin responsabilidad alguna de "Abanca Corporación Bancaria, S.A.” o “Desde luego puede decirse que los demandantes no actuaron de forma diligente ante el primer correo electrónico que recibieron”.
La nueva doctrina que comienzan a aplicar los Tribunales se basa en la ausencia de responsabilidad de la entidad bancaria cuando el usuario no actúa con una mínima diligencia. La responsabilidad de la entidad financiera demandada no es automática, sino que debe analizarse la conducta del usuario.
Y este juicio de valor sobre la diligencia y la conducta del usuario bancario lleva necesariamente a analizar el perfil del mismo. No requiere la misma dificultad engañar a un ingeniero informático que a una persona sin conocimientos tecnológicos ni financieros.
Esta nueva doctrina ha venido a equilibrar aquella desigual situación que convertía al banco en sospechoso por el mero hecho de ser un prestador de servicios de pagos telemáticos. Desde este punto de vista, podríamos concluir que los tribunales han aplicado un juicio de equidad.
De cualquier forma, esto no significa que las tornas hayan cambiado radicalmente. Situado el concepto de diligencia en el centro del debate, sigue siendo un punto a analizar el cumplimiento de los deberes de la entidad financiera en las operaciones de autorización de los pagos. La Ley de Servicios de Pago sigue obligando a la entidad bancaria a llevar un control diligente a la hora de autorizar determinadas operaciones.
Sin embargo, esta responsabilidad del proveedor de servicios de pago ya no es exclusiva ni excluyente. El usuario tiene que asumir su responsabilidad. Se ha producido un cierto (y necesario) equilibrio en la paridad de fuerzas y, por tanto, ya no es oro todo lo que lucía en las reclamaciones judiciales contra las entidades financieras.
Manuel Pomares Alfosea es socio director de Pomares Abogados y miembro del Foro de Debate Económico Germán Bernácer