La SAP Madrid, sección 11.ª del 28-2-2022 (SP/SENT/1172667) analiza el fraude del CEO y la responsabilidad del BBVA por realizar transferencias no autorizadas desde una cuenta corriente (cc) de UNÍSONO SOLUCIONES DE NEGOCIO, S.A (UNISONO) a un banco de China, que lo solicitara una administrativa de la mercantil era algo tan absolutamente irregular, que el banco debió tomar inmediatas medidas para detectarlo; Pero no hizo nada. Se trata de un tipo de estafa por la que un empleado, recibe un correo, supuestamente de su jefe, CEO, presidente o director en el que le pide ayuda para realizar una operación financiera confidencial y urgente, normalmente transferencias o para acceder a datos bancarios.
UNISONO, tenía una póliza de cc con BBVA, pero se enteró de las 2 transferencias por una llamada de BANKIA, donde también tenía abierta línea de crédito, informando de que se habían ordenado con destino a China por 303.234,44 € y 379.043,05 €; UNISONO constata que se enviaron ambas desde su cc en BBVA, por la citada administrativa de la sociedad no autorizada para dar orden alguna en nombre de esta, la cuenta de destino, estaba en el banco DBS BANK HONG KONG LIMITED, y su supuesta titular la Weihui Group Limited. BBVA no detectó que era un fraude y además incumplió normativa de prevención de blanqueo de capitales.
UNISONO considera consciente al BBVA de la absoluta irregularidad de que su administrativa, ordenase pagos cuando, además, una empleada del banco advirtió de que esas operaciones las ordenaba persona no apoderada ni autorizada. Pero BBVA accedió y autorizó la orden.
Nunca se había registrado una operación de tal magnitud entre UNISONO y BBVA y la extrañeza del procedimiento era patente: órdenes fraudulentas de un mail nunca recibido; sin copiar a nadie de la empresa y sin que UNISONO hubiera hecho jamás pagos a China y, menos a Hong Kong, un paraíso fiscal.
BBVA contesta que mucho antes informó a la directora financiera y otros empleados de UNISONO de esta estafa y que la mercantil le solicitó firmar autorizaciones para tramitar órdenes de pago por mail o fax y ellos le advirtieron del peligro de esa operativa.
Insiste en que en los emails se adjuntaban documento con firma manuscrita de la presidenta de la sociedad, persona facultada, pero en una imagen escaneada y superpuesta, que según BBVA era indetectable pues solo debía cotejar las firma tal y como aparecieran en los documentos; que era usual que se enviaran órdenes de transferencia por mail y transacciones internacionales de elevado importe y que no es responsable del fallo del sistema informático ni de su vulnerabilidad; que fue diligente tratando de recuperar los fondos y no incumplió la Ley 10/2010, de prevención del blanqueo de capitales y financiación del terrorismo (SP/LEG/6277) pues solo lo obliga a conocer el origen de los fondos y comprobó que eran de la apelante.
La sentencia del Juzgado de 1ª Instancia Madrid desestimó la demanda de UNISONO, al considerar que aun con diligencia cualificada, la dirección de email de la orden de transferencia era del buzón corporativo, la firmaba una empleada, que solía remitir ordenes de transferencia y la presidenta de la actora y que la operación se reflejó ese día en la cc de UNISONO sin que esta reaccionara. Aplica la regla de prohibición de regreso: no cabe imputar el daño a quien activó el curso causal que inicia o conduce al daño y también la doctrina del factor notorio para no apreciar incumplimiento de normativa de blanqueo.
UNISONO denuncia que su administrativa no estaba entre los facultados para ordenar pagos, traspasos o transferencias y que, los de cuantía elevada se hacían solo entre empresas del Grupo. BBVA no confirmó las operaciones con la empresa sino solo con la administrativa a quien llamó a su móvil personal, siendo lo pactado que para confirmar se debía llamar a persona distinta a la que enviaba el email.
Destaca que en el fraude del CEO el engaño se da sobre apoderado o autorizado, y en este caso, se produce con su administrativa sin poder para disponer del dinero de UNISONO, sin que el banco cotejara la firma de la presidenta falsificada con un burdo copia pega, además de infringir el art 18 de la Ley 10/2010 que le obligaba a analizar toda operación que pudiera vincularse al blanqueo de capitales como movimientos con origen o destino en paraísos fiscales.
¿Cabe transacción entre cliente y banco en derivados financieros complejos?
La póliza de crédito en cuenta corriente (cc)
La póliza entre BBVA y UNISONO definía operaciones y proveedores de pago; transferencia y recogía que solo los acreditados podían actuar como ordenantes de transferencias; las operaciones de pago se consideraban autorizadas cuando los acreditados consentían conforme al contrato.
En el contrato el único acreditado y único que podía dar órdenes de pago era UNISONO, no una administrativa. La cláusula de comunicación al banco de operaciones de pago no autorizadas o de ejecución incorrecta prevé que, el acreditado debe comunicarlas en máximo 13 meses desde adeudo o abono en cc y que BBVA devolverá a los acreditados ordenantes el importe de las operaciones no autorizadas. Los acreditados no responden de pérdidas por esas operaciones, salvo negligencia grave, fraude o incumplimiento deliberado de sus obligaciones. A efectos de prueba, y esto es muy relevante y contralegem, el banco impone que los acreditados que nieguen haber autorizado operación de pago ejecutada o aleguen, que se hizo incorrectamente, demuestren al banco que la operación no fue correctamente autentificada y/o autorizada de acuerdo con las instrucciones de este.
El pacto infringe la normativa, la carga de la prueba es del banco, que debe acreditar que cumplió sus obligaciones, art 30, Ley 16/2009 de Servicios de pago, LSP, (SP/LEG/5734) hoy derogada, cuando un cliente niegue haber autorizado operación de pago o alegue que se ejecutó incorrectamente, su proveedor de servicios de pago demostrará que la operación fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por fallo técnico u otra deficiencia.
Ambas partes coinciden en que están ante un caso de "fraude del CEO", que mezcla ingeniería social y phishing para conseguir que personas con acceso a cuentas de una empresa piensen que su jefe le encarga hacer envíos de dinero o darle datos bancarios de la empresa. Se realiza por mail, whatsApp etc, utilizando direcciones de correo con nombres similares, los ciberdelincuentes hacen clickar el enlace y ya pueden colocar malware, o seguir con la transferencia del supuesto CEO.
La SAP Mdrid Sección 14ª, 21-12-2017 (SP/SENT/944583) trata un caso similar, el Santander recibió un mail desde el correo personal del demandante dándole instrucciones para transferir 50.120 euros a una cuenta cuyo beneficiario era el Banco HSBA de Singapur; beneficiario, cuenta y factura completamente desconocidos para el demandante, la resolución concluye, como ya hemos apuntado, que, al no concurrir fraude, incumplimiento o negligencia grave del ordenante (art 32), responde el banco.
Esta responsabilidad por ofrecer servicios de pago es cuasi-objetiva, pues solo la exonera la culpa grave del ordenante. La SAP Alicante Sección, 8.ª de 12-3-2018 (SP/SENT/958620), clarifica aún más el tema de la carga de la prueba, en un caso de responsabilidad de Barclays. La implementación de medidas de seguridad adecuadas, suficientes, eficientes y al nivel del riesgo de ataques informáticos en red bancaria online es del banco.
El art 217 LEC, sobre disponibilidad y facilidad probatoria prevé que en relaciones contractuales o no, el perjudicado probará la culpa del causante del daño, pero si una norma legal impone al demandado acreditar que hizo todo lo exigible para prevenir el daño o hay inversión probatoria por su disponibilidad y facilidad, se le puede imputar la culpa del daño por sus especiales características y por una máxima de experiencia, se materializa un riesgo creado por impericia o negligencia.
Este acceso a la prueba y la facilidad probatoria es el criterio de atribución de responsabilidad más razonable, la seguridad y debida reserva de la red es exigible a quienes permiten operaciones bancarias con soluciones tecnológicas avanzadas. Como prevé la LSP, posterior a los hechos analizados, siguiendo el art 52 de la Directiva 2015/2366 (SP/LEG/19052) Sobre Servicios de Pago en Mercado Interior que derogó la que anteriormente transpuesta, Directiva 2007/64, (SP/LEG/6786) los Estados exigirán que, cuando el cliente niega haber autorizado operación de pago o alegue incorrecta ejecución, el proveedor demostrará que autenticó, registró con exactitud y contabilizó la operación, sin que esta fuera afectada por por fallo técnico u otra deficiencia. La responsabilidad de Barclays es de riesgo y debió, acreditar estos extremos.
La falsedad de la transferencia es un riesgo del banco; el deudor sólo se libera pagando al verdadero acreedor y si el banco cumple una orden falsa, debe reintegrarle las cantidades. Los servicios virtuales de los bancos por móviles o internet, red pública, exigen soluciones tecnologías avanzadas para garantizar autenticidad, integridad y confidencialidad de datos. Los bancos que prestan servicios de banca online deben tener medidas de seguridad suficientes. Su omisión, insuficiencia o defectuoso funcionamiento implica que asuman las consecuencias. No cabe imputar la responsabilidad al supuesto ordenante de la transferencia solo por realizarla conforme a los sistemas de autenticación del banco, y si este es incapaz de limitar el acceso a banca electrónica no puede pretender que la víctima sea el responsable.
La SAP Zaragoza Sección, 4. ª de 14-5-2013 (SP/SENT/723972) condenó a Barclays a reembolsar a un cliente víctima de phishing, al considerar conforme a la LSP que, salvo tardanza injustificada del cliente en comunicar irregularidad de operaciones, el banco debía devolverá inmediatamente el importe de la operación no autorizada y restablecer la cuenta de pago a su estado anterior.
La Magistrada ponente añade a todos estos razonamientos el "riesgo operacional", que debe asumir el banco como garante, para evitar fraudes y el deber de buenas prácticas, gestión de riesgos y defensa frente a fraudes que incluye el principio "conoce a tu Cliente", que presupone que los bancos deben conocer el tipo de operaciones que sus clientes realizan e identificar los fraudes.
La Juzgadora de instancia no interpretó adecuadamente la LSP, los arts 30 y 32 determinan la responsabilidad de BBVA a pesar de que afirmase tener un modelo seguro de banca online, del que no aportó prueba ni hizo constar medidas de actuación y respuesta anti-fraude. Además, aprecia mala praxis bancaria por ejecutar la transferencia solicitada por persona no autorizada, una administrativa sin ninguna facultad para ordenar pagos y quien dijo que lo hizo porque creyó que la presidenta del Grupo se lo pedía en confianza y secreto.
Siendo iguales las transferencias BBVA solo hizo la 1.ª, en la 2.ª se apercibió de que se incumplía el protocolo acordado y reconoció que la operativa era ilegal.
Los demás mails revelan que la empleada del banco era consciente de que no se actuaba conforme a la ley ni al contrato, pero, en iguales condiciones, autorizó la 1.ª transferencia, y dijo que no la retrocedió, aunque era igual que la 2.ª, luego no verificó las solicitudes. Grave incumplimiento contractual: ejecutar orden de pago sin comprobar legitimidad, carecer de sistemas de seguridad anti-fraude y no tomar medidas ante una operativa tan patentemente anormal.
No exime la responsabilidad incluir avisos en web sobre actuación segura en plataformas, meras fórmulas predispuestas, sin contenido y contradichas por los hechos. La advertencia estándar sobre "fraude del CEO", fue una mera comunicación proforma que no respetó ni cumplió el propio banco, que obvió que UNISONO jamás había operado en China y que revela un grave descontrol y desprecio del protocolo.
La firma de la presidenta era claramente falsa, un corta y pega apreciable a simple vista, que el banco ni cotejó, ni examinó pudiendo apreciar su falsedad, ni se percató, por negligencia, de que el procedimiento era totalmente inhabitual al permitirse solo email o fax como excepción y poniendo en copia, direcciones de correo del banco, gerente y responsable.
Y continuando este irregular e inexplicable comportamiento no devolvió inmediatamente el importe de la operación, señalando en instancia que primero quería averiguar la causa de la estafa, cuestión penal totalmente ajena pues lo que se está enjuiciando es la aceptación de transferencias por no autorizados y los incumplimientos del protocolo.
BBVA incumplió disponiendo indebidamente de 303.234,44 euros: se le condena dejar sin efecto cualquier cargo en cc de UNISONO en recuperación de cantidades, intereses y comisiones vinculadas. También, abonará intereses de esa cantidad desde fecha de demanda, incrementados en 2 puntos desde esta sentencia. Se imponen costas de instancia.