Hoy vamos a hablar de la responsabilidad de los bancos cuando se produce un ciberdelito. Como sabemos, determinadas estafas informáticas engañan a la víctima y a la vez eluden las medidas de seguridad de las entidades bancarias. Este mal funcionamiento de los mecanismos de protección puede derivar en una responsabilidad para las entidades bancarias.

Este tipo de delitos se centran en obtener las credenciales bancarias del usuario a fin de poder realizar operaciones sin su consentimiento o inducirle a pensar que la operación es correcta. Pero en realidad está realizando operaciones equivocadas, enviando el dinero a otra cuenta de destino.

Con independencia del método empleado por el atacante (phishing, fraude al CEO y sus múltiples variantes) la clave de estas operaciones radica en que se producen operaciones no consentidas por el usuario y que las medidas de seguridad de la entidad bancaria no han sido capaces de reaccionar.

2.- ¿Hay responsabilidad del banco cuando se produce un ciberdelito o es responsable la víctima?

Aunque ésta es la primera pregunta que mucha gente se plantea ante estos supuestos, debemos recordar que el “el gran responsable” es el atacante y en general las acciones judiciales siempre deberían ir encaminadas a su localización y enjuiciamiento.

Si bien, siempre debemos tener en cuenta que el ordenamiento jurídico impone a los distintos operadores del mercado financiero una serie de obligaciones, proporcionales al rol que ocupan, que deben cumplir para el buen funcionamiento de este.

De esta forma, a pesar de que el atacante sea un tercero y su conducta sea perseguible y punible, en ocasiones debe analizarse si las acciones del resto de partes afectadas han sido correctas o bien, han podido propiciar, favorecer o permitir el daño.

3.- Responsabilidad de los bancos cuando se produce un ciberdelito

La responsabilidad en este tipo de asuntos y con respecto a las entidades bancarias es de carácter civil.  Que se define como la obligación de toda persona (física o jurídica) de pagar por los daños y perjuicios que cause (directa o indirectamente) en la persona o el patrimonio de otra. 

La responsabilidad civil puede surgir de muchísimas formas y tendrá un tratamiento distinto en función del ámbito o suceso. Así, no se aplican las mismas normas en los accidentes de tráfico o laborales que en negligencias médicas o estafas informáticas.

En el caso que abordamos en el presente artículo, la posible responsabilidad de los bancos cuando se produce un ciberdelito, surge de la obligación que la ley impone a estas entidades de autenticar las operaciones de pago y garantizar así que el cliente ha consentido dicha operación.

Estas obligaciones fueron reforzadas por el Real Decreto-ley 19/2018 el 25 de noviembre de 2018, de servicios de pago y otras medidas urgentes en materia financiera . En todo caso, conviene recordar que no son nuevas y que desde hace tiempo se ha condenado a los bancos a devolver las cantidades sustraídas en supuestos en los que habían desatendido sus obligaciones o no aplicado medidas de seguridad suficientes.

3.1.- ¿Cómo era anteriormente?

En concreto los artículos 30 y 31 de la ya derogada Ley 16/2009, de 13 de noviembre, de servicios de pago determinaba que:

– El proveedor de servicios de pago debe demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico o cualquier otra deficiencia.

– El mero registro de la utilización del instrumento de pago no es bastante para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste actuó de manera fraudulenta o incumplió deliberadamente o por negligencia grave una o varias de sus obligaciones.

– En caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante le devolverá de inmediato el importe de la operación no autorizada y, en su caso, restablecerá en la cuenta de pago en que se haya adeudado dicho importe el estado que habría existido de no haberse efectuado la operación de pago no autorizada.

Es decir, ya desde hace bastantes años se viene imponiendo a las entidades bancarias la obligación de demostrar la autenticación y exactitud de la operación y la obligación de devolver las cantidades si no puede demostrar ese cumplimiento de sus obligaciones.

Destacan por ejemplo las Sentencias de la Audiencia Provincial de Barcelona de 7 de marzo de 2013, la de la Audiencia Provincial de Zaragoza de 14 de mayo de 2013, la de la Audiencia Provincial de Valencia en su Sentencia de 26 de noviembre de 2014, la de Sección 9ª de la Audiencia Provincial de Madrid de 4 de mayo de 2015, la de la Audiencia Provincial de Badajoz, Sección 2ª de 7 de febrero de 2013 y la de la Audiencia Provincial de Albacete de 23 de febrero de 2016, coincidentes todas ellas en que la antigua ley ya establecía un sistema de responsabilidad cuasi objetiva de la entidad proveedora del servicio de pago y que “en este ámbito de la contratación electrónica, el prestador del servicio deberá reembolsar el importe de la sustracción a su cliente con el que tuviera contratado el servicio de pago electrónico en operaciones no autorizadas por éste, presumiéndose la falta de autorización si lo niega”, con las exclusivas salvedades de que el cliente haya actuado con negligencia grave o haya actuado fraudulentamente.

3.2.- ¿Cómo es ahora la legislación en materia de responsabilidad de los bancos cuando se produce un ciberdelito?

Actualmente esta norma ha sido sustituida por el El Real Decreto-Ley 19/2018, de 23 de noviembre, de Servicios de Pago, que incorporó a nuestro ordenamiento interno la Directiva (UE) 2015/2366 del Parlamento y del Consejo, de 25 de noviembre, sobre Servicios de Pago en el Mercado Interior.

Esta nueva norma no hace sino reforzar la necesidad de que las entidades bancarias implementen las medidas de seguridad necesarias para asegurar la identidad del ordenante y la autenticación de la operación, generando un entorno más seguro y fiable para los usuarios, aprovechando las innovaciones tecnológicas producidas en los últimos años, con un marco de responsabilidad cuasi-objetiva para la entidad bancaria.

Así, esta normativa obliga a las entidades bancarias a que las órdenes de pago se realicen mediante una autenticación reforzada. Es decir, la autenticación que ya tradicionalmente se exigía, ahora debe ser doble, mediante el uso de la clave personal y, además un factor biométrico o una clave aleatoria que debe ser enviada al usuario para revalidar la operación.

Además, Reglamente Delegado (UE) 2018/389 establece que los bancos deben disponer de mecanismos de supervisión de las operaciones que les permitan:

• Detectar operaciones de pago no autorizadas o fraudulentas. 

• Poder detectar que los elementos de autenticación (las claves personales) han sido comprometidas o sustraídas.

• Deben detectar señales de infección por programas informáticos maliciosos en el proceso de autenticación. 

• Analizar las pautas o hábitos de consumo de los usuarios a fin de identificar operaciones sospechosas.

• Detectar si los comercios receptores de la operación son seguros.

• Bloquear la operación, en caso de detectar un fraude y ponerse en contacto con el usuario-consumidor.

De esta forma, en caso de una operación fraudulenta, la entidad bancaria deberá demostrar el cumplimiento de todas esas obligaciones y medidas de seguridad.

Aún así, en muchas ocasiones, cuando se produce una estafa informática tipo phishing,  advertiremos que la operación consta autenticada, registrada y contabilizada. El problema es que el cliente no fue quien autorizó la operación de forma expresa, consciente y voluntaria, sino que lo hizo un tercero.

En estos casos debemos recordar que según la Ley de Servicios de Pago, las operaciones de pago sólo se consideran autorizadas cuando el ordenante haya dado su consentimiento y que este consentimiento, al igual que todos en nuestro ordenamiento, no este viciado.

Sirva como ejemplo la Sentencia de la Audiencia Provincial de Alicante de 12 de marzo de 2018 estableció que:

“…la responsabilidad del proveedor de los servicios de banca online es de riesgo y consecuentemente, es por ley que a la entidad corresponde acreditar que la operación ordenada sí fue auténtica y que no estuvo afectada por un fallo técnico o por otra deficiencia como, por ejemplo, por un ataque informático de naturaleza fraudulenta al sistema bancario que hubiera permitido el acceso a las cuentas de sus clientes y disponer ilícitamente, de las mismas ordenando operaciones en detrimento de aquellos…

Las medidas de seguridad no solamente están destinadas a proteger la seguridad de las órdenes de pago emitidas por los clientes sino que su eficacia exonera a las entidades de crédito de sus responsabilidades frente a las órdenes de pago no emitidas por sus clientes de tal forma que el incumplimiento de este específico deber de vigilancia da lugar a una responsabilidad por ”culpa in vigilando” o responsabilidad objetiva por el mal funcionamiento de los servicios de banca electrónica.”.

Además de lo anterior, debemos recordar que la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, establece en su artículo 2.1.a) la condición de sujetos obligados para las entidades de crédito, lo que conlleva un deber legal de cumplir con una serie de obligaciones en materia de prevención de blanqueo de capitales y de financiación del terrorismo que se detallan en dicha Ley y en las disposiciones reglamentarias de desarrollo. 

Entre estas obligaciones, el artículo 17 de la Ley 10/2010, de 28 de abril, establece que los sujetos obligados examinarán con especial atención cualquier hecho u operación, con independencia de su cuantía, que, por su naturaleza, pueda estar relacionado con el blanqueo de capitales o la financiación del terrorismo, reseñando por escrito los resultados del examen.

Así, las entidades bancarias, además de lo dicho, deben examinar con especial atención toda operación o pauta de comportamiento compleja, inusual o sin un propósito económico o lícito aparente, o que presente indicios de simulación o fraude, con el objetivo de evitar que los fondos que tengan su origen en actividades delictivas se canalicen a través del sector bancario. 

De esta forma, las entidades bancarias también desde el punto de vista de esta normativa deben aplicar medidas dirigidas a detectar las operaciones sospechosas antes de que se lleven a cabo, con el objeto de evitar que los fondos de procedencia ilícita se introduzcan en el sistema y en segundo lugar evitar que se realicen futuras operaciones con el mismo patrón.

4.- Responsabilidad del usuario

¿Puede tener responsabilidad el usuario? 

La respuesta es sí, aunque sólo en casos excepcionales. La ley indica que será responsable si actúa de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave (no basta la simple o leve falta de diligencia) una o varias de sus obligaciones.

De esta forma, el usuario/víctima, no tendrá ninguna responsabilidad de la operación en la mayoría de supuestos. Salvo casos en los que por ejemplo habiendo perdido el instrumento de pago y los credenciales no lo comunicara con prontitud.

Conclusiones

1.- El mercado financiero es un sector ampliamente regulado a fin de que sea seguro para los consumidores y usuarios.

2.- Esta legislación impone a las entidades bancarias y proveedores de servicios de pago la obligación de establecer medidas de seguridad suficientes para que los consumidores no realicen operaciones inconsentidas o indebidamente consentidas.

3.- En caso de fraude o estafa online, además de iniciar las correspondientes acciones para localizar y enjuiciar al culpable, en la mayoría de ocasiones puede reclamarse al banco la devolución de los importes.

4.- Aún así, el usuario siempre deberá velar por el cumplimiento de las obligaciones que le son propias y actuar con la diligencia que le es exigible.

La entrada Responsabilidad de las entidades bancarias en los ciberdelitos se publicó primero en Términos y Condiciones.