Analizamos en este artículo un supuesto que está siendo objeto de defensa por parte de nuestro despacho debido al elevado número de fraudes cometidos por internet frente a empresas en las últimas fechas, según el cual el infractor engaña al defraudado para que emita una transferencia por vía bancaria bajo la creencia de estar pagando una factura a un proveedor.
Estudiaremos la posibilidad de reclamar a las entidades bancarias de devolución de los importes defraudados cuando no sea posible identificar al infractor.
La operativa delictiva es la siguiente: los infractores infectan el servidor de una empresa accediendo a sus datos de facturas y clientes. A continuación envían las facturas reales a la empresa a quien corresponde su pago, desde una cuenta de correo simulada y facilitando una cuenta bancaria donde realizar el pago que en realidad no pertenece al proveedor sino al defraudador. La empresa objeto de fraude abona el importe de esa factura real en la cuenta bancaria del defraudador bajo la creencia de estar pagándosela a su proveedor.
Sin duda estamos ante la comisión de un delito de estafa que permite iniciar acciones penales frente al delincuente. Sin embargo, en ocasiones es complejo obtener la identidad del defraudador y conseguir recuperar los importes abonados mediante engaño. Es por ello que vamos a estudiar a continuación la posibilidad de reclamar la devolución de las cantidades a la entidad bancaria que operó la transferencia. Veremos cómo esta responsabilidad puede determinarse cuando las entidades bancarias no colaboran suficientemente con la empresa defraudada facilitando la identificación del titular de la cuenta bancaria donde se realizó el pago ilícito. Se comprende que el banco no puede servir de obstáculo y favorecer al infractor.
[fusion_highlight color=»rgba(0,144,142,0.3)» rounded=»no» class=»» id=»»]Puede interesarte: «Estafas digitales: Responsabilidad del banco por Phishing«
En primer lugar explicaremos cómo la responsabilidad de las entidades bancarias en supuestos como el contemplado no operan en todo caso. En segundo lugar comentaremos fórmulas para provocar la declaración de responsabilidad cuando las entidades bancarias no facilitan la información solicitada.
Responsabilidad de las entidades bancarias en la estafa cometida
La Ley de Servicios de Pago (RDL 19/2018) determina que la entidad bancaria no será responsable cuando la transferencia se haya realizado al número de cuenta identificado por parte del usuario (art. 59.1), incluso cuando no coincida el beneficiario indicado en la transferencia con el verdadero titular de la cuenta (art. 59.3).
Artículo 59 Identificadores únicos incorrectos
1. Cuando una orden de pago se ejecute de acuerdo con el identificador único, se considerará correctamente ejecutada en relación con el beneficiario especificado en dicho identificador.
2. Si el identificador único facilitado por el usuario de servicios de pago es incorrecto, el proveedor no será responsable, con arreglo al artículo 60, de la no ejecución o de la ejecución defectuosa de la operación de pago.
No obstante, el proveedor de servicios de pago del ordenante se esforzará razonablemente por recuperar los fondos de la operación de pago. El proveedor de servicios de pago del beneficiario cooperará en estos esfuerzos también comunicando al proveedor de servicios de pago del ordenante toda la información pertinente para el cobro de los fondos.
En caso de que no sea posible recobrar los fondos con arreglo al párrafo primero, el proveedor de servicios de pago del ordenante facilitará al ordenante, previa solicitud por escrito, toda la información de que disponga que sea pertinente para que el ordenante interponga una reclamación legal a fin de recuperar los fondos.
De haberse convenido así en el contrato marco, el proveedor podrá cobrar gastos al usuario del servicio de pago por la recuperación de los fondos.
3. Cuando el usuario de servicios de pago facilitara información adicional a la requerida por su proveedor para la correcta iniciación o ejecución de las órdenes de pago, el proveedor de servicios de pago únicamente será responsable, a los efectos de su correcta realización, de la ejecución de operaciones de pago de acuerdo con el identificador único facilitado por el usuario de servicios de pago.
En términos bancarios se conoce como “identificador único” al IBAN, así lo describe el art. 3 de esa misma ley y el propio Banco de España en su web.
Jurisprudencia
Se ha pronunciado con este mismo criterio la jurisprudencia. La sentencia de la Audiencia Provincial de Zaragoza de 25 marzo de 2019 estudiaba un asunto idéntico al analizado en este caso, donde el usuario recriminaba a la entidad bancaria su actuación negligente por no comprobar que el titular de la cuenta bancaria no coincidía con el beneficiario de la misma. La sentencia resolvía considerando que la transferencia se efectuó de acuerdo con el identificador único (IBAN), quedando exonerada de responsabilidad:
“En nuestro caso, de conformidad con el citado precepto, convenimos que la orden de pago se ejecutó de acuerdo con el identificador único (IBAN). De conformidad con el número 3 del citado precepto, el proveedor de los servicios de pago únicamente es responsable de la ejecución de operaciones conformes con el identificar único, aunque se facilite información adicional.”
Esta tesis viene reforzada por la Memoria de Reclamaciones del Banco de España de 2016, en cuya página 250 refiere, a propósito del artículo 44 LSP vigente en aquella fecha (La anterior LSP recogía en su art. 44 texto equivalente al del art. 59 del RDL 19/2018) que:
«en el Expediente NUM002 no se apreció mala práctica bancaria por el abono de una transferencia por la Agencia Tributaria que se abonó en la cuenta correspondiente al identificador único que el ordenante había indicado, aunque el beneficiario de aquélla no se correspondiera con el titular de la cuenta«.
Dice la página 254 de la Memoria:
«Por lo que respecta a los errores cometidos en la ejecución de órdenes de pago iniciadas por el ordenante, la LSP establece, en su artículo 45.1, el régimen de responsabilidad aplicable: cuando una orden de pago se efectúe de acuerdo con el identificador único (IBAN) consignado por el ordenante, se considerará correctamente ejecutada. Hasta el 1 de febrero de 2016, adicionalmente, podía ser requerido el BIC, código que identifica a la entidad del beneficiario de la transferencia. Es importante recordar en este punto que la transferencia se dirige a un número de IBAN de forma automática, sin ulterior comprobación por los proveedores de servicios de pago, ni del ordenante, ni del beneficiario. Igualmente, conviene recordar que los demás datos consignados en la orden de transferencia (entre ellos, el concepto consignado en esta) son mensajes destinados al beneficiario de los fondos, y no a la entidad. Por lo tanto, si el ordenante pretende hacer imputación de pago o cursar alguna instrucción para la entidad beneficiaria sobre los fondos transferidos, deberá remitir a dicha entidad comunicación ajena a la misma orden de transferencia y fuera del canal automático de compensación interbancario, por correo físico, electrónico o presencialmente, no sirviendo como instrucción el dato consignado en el campo «concepto» de la transferencia a estos efectos«.
Sobre la base de esta normativa, la interpretación que de ella se efectúa en la Memoria del Banco de España y la jurisprudencia localizada concluimos que difícilmente podría obtenerse un fallo estimatorio en una reclamación judicial frente a la entidad bancaria interviniente.
Puede interesarte: «Tipos de obras protegibles como propiedad intelectual«
Responsabilidad de las entidades bancarias por denegación de información
Según veíamos en el epígrafe precedente el proveedor de los servicios de pago viene obligado a cooperar con el usuario cuando la identificación del número de cuenta bancaria es incorrecta o no coincide con la titularidad de quien debiera ser el verdadero beneficiario.
Concretamente el art. 59.2 LSP anteriormente reproducido señala que la entidad bancaria debería facilitar al ordenante toda la información de que disponga para facilitar la reclamación legal que corresponda:
El proveedor de servicios de pago del beneficiario cooperará en estos esfuerzos también comunicando al proveedor de servicios de pago del ordenante toda la información pertinente para el cobro de los fondos.
En caso de que no sea posible recobrar los fondos con arreglo al párrafo primero, el proveedor de servicios de pago del ordenante facilitará al ordenante, previa solicitud por escrito, toda la información de que disponga que sea pertinente para que el ordenante interponga una reclamación legal a fin de recuperar los fondos.
Toda reclamación legal requiere identificación del deudor o infractor, de modo que interpretamos esta disposición como una excepción al régimen general de protección de datos que ampara a la entidad bancaria para no facilitar datos de titulares de cuentas.
Siguiendo lo establecido en el citado art. 59.2 LSP, la entidad bancaria que no facilite la identificación del beneficiario en una orden de transferencia incorrecta podría incurrir en responsabilidad frente al ordenante, en la medida que su comportamiento estaría suponiendo un obstáculo para efectuar la reclamación legal que corresponda.
Por tanto recomendamos preparar un escrito dirigido al banco requiriendo toda la información que obre en su poder sobre el responsable del fraude, apercibiendo de responsabilidad en caso de atender la solicitud. En caso de negativa por parte de la entidad bancaria cabría determinar su responsabilidad por incumplimiento de una disposición legal, abriendo la vía de reclamarle la devolución de las cantidades defraudadas.
Conclusiones
- No existen, en nuestra opinión, fundamentos legales y jurisprudenciales para reclamar la devolución de las cantidades a las entidades bancarias proveedores del servicio, aunque el número de cuenta y beneficiarios indicados en la orden de pago no coincidan. No sería en este caso aplicable la interpretación que hace nuestra doctrina más autorizada sobre otros asuntos de “phishing” donde la ley permite responsabilizar al banco cuando es el defraudador quien intercepta las claves bancarias de la víctima y accede a sus cuentas para emitir órdenes de pago.
- Las entidades bancarias proveedoras del servicio podrían incurrir en responsabilidad si no facilitasen la información que obre en su poder para poder identificar al titular de la cuenta beneficiario de la orden de pago.
- Recomendamos requerir a la entidad bancaria el envío de esa información suficiente para identificar al responsable de la estafa cometida, apercibiendo de su responsabilidad en caso de no atender el requerimiento.
- Aunque en este estudio analizábamos únicamente la responsabilidad del banco frente a este tipo de transferencias bancarias realizadas bajo engaño, no cabe duda que cabe la posibilidad de estudiar la responsabilidad del proveedor cuyos datos fueron incautados por el defraudador.
Puede interesarte: «Cibercriminalidad y abuso en la investigación criminal«
José Luis Casajuana Ortiz
Socio de J. L. Casajuana y responsable del área internacional
07/09/2020