La situación de crisis provocada por el COVID-19, junto con la creciente digitalización de los servicios, ha provocado un aumento en las compras y servicios contratados por medios informáticos. Ello ha causado en consecuencia un incremento significativo de la comisión de delitos de estafa informática (“phishing”), destacando especialmente la nueva modalidad conocida como “smishing”, consistente en el artificio informático por el cual un tercero estafa por mansaje de texto (SMS) o correo electrónico.

Qué es el smishing

El smishing es una estafa informática, según la ha definido la jurisprudencia, que se trata de una modalidad de phishing consistente en el envío masivo de correos electrónicos o SMS a particulares y empresas en los que un tercero, haciéndose pasar por una entidad legítima (v. gr. red social, entidad bancaria, institución pública, etc.) facilita por mensaje un enlace fraudulento por el cual el usuario es redireccionado a una página web falsa donde se le requiere que introduzca datos confidenciales, descargue un archivo malicioso o realice una transferencia bancaria.

El problema de ello surge cuando el usuario, confiando en la oficialidad que reviste la página web a la que es redireccionado, facilita sus datos bancarios a fin de tramitar un pago que tiene pendiente o, siguiendo las indicaciones del enlace fraudulento, instala una aplicación móvil con el que el tercero estafador (smisher) consigue el control remoto del dispositivo, de forma que dicho estafador termina obteniendo los datos bancarios con los que sustraer el activo patrimonial del usuario.

Leer: «Estafas digitales: Pago de facturas al defraudador que simula ser un proveedor real«

Responsabilidad del banco frente a la estafa “smishing”

 La estafa informática en todas sus modalidades está expresamente penada en el artículo 248.2 del Código Penal y según lo describe la Audiencia Provincial de Madrid (sec. 1ª) en su Sentencia de 2 de junio de 2020 (nº rec. 431/2020), suele desarrollarse en tres fases:

“una primera, de descubrimiento de las claves y contraseñas por alguno de los métodos antes mencionados; una segunda, de acceso a las cuentas y la realización de transferencias de activos; y una tercera, que es la que interesa en el seno de este procedimiento, que consiste en el apoderamiento efectivo de los activos y en el desarrollo de una sistema que impida su localización. Este último procedimiento consiste, normalmente, en el envío al extranjero de los activos, con frecuencia a países del este de Europa, mediante sistemas de envío postal tipo Western Union o Money Gram que por operar con códigos alfanuméricos hacen harto difícil el rastreo del dinero”.

No obstante, el orden penal no es la única vía posible para recuperar las cantidades que han sido antijurídicamente sustraídas ya que el reciente Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (en adelante, RDL 19/2018), por el que se derogó la Ley de Servicios de pago de 2009, establece en su artículo 45 la posibilidad de reclamar a la entidad bancaria que autorizó la operación las cantidades antijurídicamente sustraídas. Para ello, tienen que concurrir los siguientes requisitos:

1. La falta de consentimiento de la víctima sobre las operaciones de pago y, de haberlo prestado, tiene que haber mediado engaño o manipulación.
2. La falta de negligencia grave o ánimo de fraude por parte del afectado. Además, si la entidad bancaria sospechara que existe ánimo defraudatorio por parte del afectado, deberá ponerlo de manifiesto por escrito al Banco de España.
3. La comunicación previa a la entidad bancaria por parte del afectado de las operaciones no autorizadas o ejecutadas incorrectamente en el plazo de tres meses desde la fecha de su realización.

Asimismo, el mencionado RDL 19/2018 no hace distinciones en cuanto a la responsabilidad de los bancos frente a las diferentes modalidades de estafa informática, pudiendo entenderse por tanto que los requisitos anteriores son igualmente aplicables a la modalidad de estafa “smishing”.

Puede Interesarte: «Estafas digitales: Responsabilidad del banco por Phishing«

La jurisprudencia actual en casos de “smishing”

A pesar de la actualidad del asunto, ya hay sentencias que hablan de la responsabilidad de las entidades bancarias cuando el engaño viene por enlaces facilitados por vía email o SMS. Entre otras, cabe mencionar la Sentencia de la Audiencia Provincial de Ciudad Real, de 20 de mayo de 2021 (nº rec. 528/2019), en la cual se establece que la entidad bancaria debe emplear mayor cuidado cuando la orden de transferencia tiene su origen en un enlace obtenido por vía email o fax dado el riesgo inherente que conllevan dichas formas de comunicación, debiendo la entidad bancaria comprobar la veracidad de dicha orden, máxime si se trata de importes muy altos, operaciones poco habituales en el usuario o de solicitudes realizadas desde el extranjero.

Cabe citar igualmente la reciente Sentencia nº 289/2021 de la Audiencia Provincial de Sevilla, de 30 de julio de 2021 (nº rec. 8540/2019), en la que en los mismos términos indicados anteriormente se ha condenado a la entidad bancaria a devolver parte de los fondos antijurídicamente sustraídos y ello por considerar que ésta tiene un deber de diligencia reforzado, exigible a un “comercial experto”, no pudiéndose considerar como negligencia o culpa haber caído en el fraude de un correo o página web aparentemente verídicos.

Conclusiones

Los Tribunales y Juzgados españoles están considerando que las entidades bancarias tienen una responsabilidad cuasi objetiva en relación a la ejecución de órdenes de pago no autorizadas, siendo condenadas a restituir las cantidades objeto de la estafa informática sea cual sea su modalidad. Eso sí, no debe haber mediado por parte del afectado negligencia grave o ánimo defraudatorio, teniendo en todo caso la entidad bancaria que acreditar la mala praxis del supuesto estafado.

Nerea Ortiz de Zárate Beitia
Departamento Derecho Mercantil

17/02/2022