Últimos pronunciamientos judiciales en materia de Phishing: Condena a las entidades bancarias a restituir las cantidades defraudadas
El “pishshing” se está convirtiendo en una de las modalidades de estafa más habituales en los últimos tiempos, y por ello es importante saber cuáles son los instrumentos de defensa que tenemos los particulares para defendernos en caso de ser víctimas y cuál es la responsabilidad que tienen las entidades bancarias frente a este nuevo tipo de delito informático.
Pero, ¿qué dicen los jueces sobre la responsabilidad de dichas entidades frente a sus clientes?, ¿son las entidades bancarias responsables del resarcimiento de los fondos sustraídos por los estafadores?, ¿pueden estas entidades exigir la devolución de las cantidades estafadas a los responsables del delito?
Estas y otras preguntas están empezando a ser resueltas por los tribunales españoles en los cada vez más numerosos procedimientos tramitados por los particulares afectados por phising frente a sus entidades bancarias al amparo de la Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (en adelante, Ley Servicios de Pago), en virtud de la cual se impone a los proveedores de servicios de la obligación de devolver a los particulares el importe de las operaciones no autorizadas salvo que expresamente acrediten que “el usuario del servicio de pago cometió fraude o negligencia grave” (art. 44.3 Ley Servicios de Pago).
Leer: «La nulidad del crédito solicitado mediante el delito de “phishing”«
Al respecto, los Juzgados y Tribunales están pronunciándose en el sentido de considerar responsables a las entidades bancarias por las ejecuciones de pago no autorizadas, imponiéndoles la obligación de resarcir a los clientes por los perjuicios sufridos como consecuencia del acceso ilegítimo a sus usuarios bancarios virtuales.
Una de las Sentencias más recientes es dictada el pasado 25 de enero de 2022 por el Juzgado de Primera Instancia e Instrucción nº 2 de Redondela (Pontevedra) -apelada sin que, a la presente fecha, haya recaído Sentencia al respecto-, en la cual se condena a la entidad BBVA a reintegrar al perjudicado la cantidad defraudada mediante la técnica de suplantación de identidad. El elemento fáctico determinante para la condena en este caso a BBVA fue la imposibilidad de esta de demostrar que la operación fraudulenta se hubiera realizado desde la dirección IP habitual del cliente pues, tal y como se afirma en la Sentencia, la entidad bancaria debe tener un gran nivel de diligencia y cuidado cuando la transacción se produce desde una IP (representación numérica del punto de Internet donde está conectado un dispositivo) que no es la que corresponde al cliente habitualmente ya que esta circunstancia es una clara señal para que salten las alarmas de la entidad bancaria antes de aceptar el movimiento bancario.
Se basa el Juzgador para dictar su resolución en la dicción literal del art. 44 de la Ley de Servicios de Pago que impone una inversión legal de la carga de la prueba, debiendo ser la entidad bancaria quien demuestre “que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago”. Asimismo, el perjudicado aportó a la causa los pantallazos de los mensajes fraudulentos recibidos, quedando acreditado que la página que le solicitaba las claves bancarias era exactamente igual a la página oficial de esta entidad bancaria, desmintiendo con ello cualquier atisbo de negligencia por el particular.
Puede Interesarte: «Smishing, estafa informática por SMS«
En similares términos se ha pronunciado la Ilma. Audiencia Provincial de Pontevedra en su Sentencia nº 539/2021, de 21 de diciembre de 2021, por la que se revoca la Sentencia dictada en primera instancia y se condena a ABANCA a reintegrar a la víctima de un delito de phising las cantidades sustraídas pues, según se afirma, el banco no habría conseguido acreditar el cumplimiento de las obligaciones de diligencia exigibles tanto para la autentificación de las operaciones de pago como para disponer de la tecnología antiphishing precisa para detectar las páginas clonadas de las oficiales propias y cerrarlas o eliminarlas. Correlativamente, aprecia el tribunal que no puede atribuirse negligencia al usuario que introduce sus claves de acceso en una página idéntica a la oficial de la entidad bancaria, ni siquiera cuando el mensaje contenga pequeños indicadores de su origen fraudulento tales como faltas de ortografía o falta de concreción de la operación auténtica a la que supuestamente se refiere, pues según afirma el tribunal con acierto:
“En el phising se usan técnicas de ingeniería social para ganarse la confianza del usuario del instrumento de pago y aprovecharse de los sesgos cognitivos en la toma de decisiones, lo que, en el caso se habría concretado en la simulación del envío a nombre de una entidad de confianza para la usuaria (Correos y Telégrafos), y en el aprovechamiento del sesgo de confirmación por el cual se tiende a favorecer la información que confirma las opiniones que ya se tenían o que resulta consistente con los hechos ya conocidos”.
La Ilma. Audiencia Provincial de Madrid se ha pronunciado igualmente en su Sentencia nº 74/2022, de 28 de febrero de 2022, condenando a BBVA al amparo de la Ley de Servicios de Pago a restituir a una sociedad mercantil las cantidades defraudadas por la vía del conocido como “fraude del CEO” que, según se afirma por el tribunal, consiste en un tipo de fraude que mezcla técnicas de ingeniería social y phishing para conseguir que un trabajador o empleado con acceso a las claves bancarias de la empresa (normalmente, de pequeñas dimensiones y con relación cercana entre los empleados) crea que su jefe o superior le ha pedido hacer una transferencia, envío de dinero o pago de algún tipo o, en su caso, que le pedido los datos bancarios de la empresa. Se afirma en este caso por la Audiencia Provincial que, atendida la naturaleza cuasi objetiva de la responsabilidad impuesta por la Ley de Servicios de Pago, únicamente la prueba de una “culpa grave” del ordenante podrá exonerar al banco de su obligación de restituir las cantidades defraudadas.
Puede Interesarte: «Estafas digitales: Responsabilidad del banco por Phishing«
María Olivares Sánchez
Departamento Derecho Mercantil
05/05/2022
