El aumento del uso de las tecnologías y la facilidad de acceso a las mismas a lo largo de los últimos años han propiciado el incremento de los delitos de estafa bancaria, comúnmente denominados como “phishing”, consistentes en que terceros a través de medios tecnológicos consiguen engañar a la víctima para que facilite sus datos personales y bancarios. En el presente artículo, analizaremos el cada vez más común subtipo de estafa “vishing”.
¿Qué es el vishing?
El vishing nace de la combinación de las palabras “phishing” y “voz” y se trata de una estafa realizada por llamada telefónica en la que un tercero, haciéndose pasar por trabajador de una entidad bancaria, institución pública o compañía telefónica, persuade a la víctima y consigue de la misma datos personales o bancarios con los que poder realizar operaciones no autorizadas ni consentidas por el afectado.
¿Qué es una operación no autorizada o consentida?
El artículo 1.265 del Código Civil prevé que “Será nulo el consentimiento prestado por error, violencia, intimidación o dolo”.
En atención al citado precepto, cualquier operación bancaria que haya sido realizada como consecuencia de un engaño telefónico no se puede considerar autorizada por el usuario ya que el consentimiento sobre el movimiento se ha prestado como consecuencia de un error y, por tanto, se encuentra viciado, debiendo considerarse nulo.
Este planteamiento lo encontramos recogido en la reciente Sentencia de la Audiencia Provincial de Cantabria, Sec. 2ª, nº 500/2023, del 10 de octubre de 2023, nº rec. 58/2022, donde confirma que “una operación no autorizada por el titular de la cuenta corriente” ocurre cuando el mismo “ve sustraído sus datos y claves de una manera fraudulenta, a través de medios técnicos.”
Responsabilidad civil de las entidades bancarias
El principal problema de estos delitos es que, con carácter general, resulta muy difícil identificar y localizar a los presuntos estafadores, lo que dificulta enormemente que la víctima recupere las cantidades que le han sido sustraídas.
No obstante, y como mencionábamos en artículos anteriores, el Real Decreto- Ley 19/2018 del 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera prevé que las entidades bancarias deben devolver a los usuarios las cantidades que les han sido extraídas de sus cuentas cuando las operaciones no han sido autorizadas ni consentidas.
Según la mencionada Ley y su normativa de desarrollo, las entidades bancarias tienen una responsabilidad cuasi-objetiva para con los datos de sus clientes así como con sus fondos depositados. Únicamente quedarán exoneradas de tal obligación legal en los casos de fuerza mayor o cuando el cliente cometa fraude o negligencia grave, que en todo caso tendrá la carga de probar.
En cuanto a lo que se consideraría negligencia grave, la jurisprudencia es muy restrictiva, entendiendo que:
“la negligencia que le hace responder al cliente, es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que ha sido inducido por un delincuente profesional (…)” (Audiencia Provincial de Madrid, Sec. 20ª, en su Sentencia nº 184/2022, de 20 de mayo de 2022, nº rec. 945/2021).
Asimismo, el artículo 43 del mencionado Real Decreto-Ley condiciona la obligación de la devolución de las cantidades a que el usuario notifique a la entidad bancaria de la supuesta estafa tan pronto como sea consciente de haber sido víctima del engaño telefónico.
Jurisprudencia actual en torno al “vishing”
Entre todas, cabe destacar la reciente Sentencia de la Audiencia Provincial de Pontevedra, Sec. 3ª, nº 623/2022, del 1 de diciembre de 2022, nº rec. 375/2022, que condena a la entidad bancaria a devolver el dinero al consumidor afectado por una llamada telefónica, supuestamente, realizada de parte del Servicio de Atención al Cliente de su entidad bancaria en el que le alertaban que desde su cuenta se estaba realizando una transferencia de 10.000 euros, que podía anular si facilitaba los códigos que recibiría por mensaje de texto.
No obstante, lo cierto es que tal cesión de credenciales permitió que el presunto estafador sustrajera desde la cuenta de la víctima una cantidad total de 4.890 € mediante transferencia a una entidad bancaria de Lituania, lo que el Tribunal entendió que tuvo lugar debido a un engaño suficiente y no a una acción directa del demandante.
Por otro lado, la Audiencia Provincial de Madrid, Sec. 20ª, en su Sentencia nº 184/2022, de 20 de mayo de 2022, hace responsable a las entidades bancarias por no haberse dotado de una tecnología antiphishing, ya que las considera obligadas a adoptar las medidas de seguridad y supervisión necesarias para detectar las operaciones fraudulentas en sus prestaciones de servicios de pago. Según la mencionada sentencia, son las entidades bancarias quienes deben adoptar una actitud activa para la implantación de estas medidas y no limitarse únicamente a ponerlas a disposición del usuario.
Asimismo, apunta a este respecto la Sentencia de la Audiencia Provincial de Navarra, nº 223/2023, del 9 de marzo de 2023, nº rec. 1465/2022 que:
“(…) al proveedor del servicio de pago le compete la responsabilidad respecto del buen funcionamiento y la seguridad del mismo y es obligación esencial de las entidades prestadoras del servicio de banca on line el dotarse de medidas suficientes que garanticen al usuario la seguridad de las operaciones por lo que, en el supuesto de insuficiencia o mal funcionamiento de las adoptadas, deben ser las entidades bancarias las que asuman las consecuencias derivadas de los fallos de seguridad del sistema.”
Conclusión
Tanto la normativa como la jurisprudencia referida están de acuerdo en que las entidades bancarias tienen la obligación cuasi-objetiva de restituir las cantidades que le han sido defraudadas al usuario afectado por la estafa “vishing” a menos que este último haya cometido fraude o negligencia grave, cuya existencia deberá probar en todo caso la entidad bancaria.
