El blog jurídico de Sepín

Responsabilidad del Banco en Fraudes de Phishing

Escrito por Marta López Valverde | 16 de octubre de 2024 - 06:15

La AP de Asturias, en una reciente sentencia de 28 de mayo del 2024 (SP/SENT/1231248) realiza un interesante análisis sobre la responsabilidad de las entidades bancarias cuando sus clientes son víctimas de la estafa conocida como "phising", que suele consistir en un enlace incluido en un email o SMS, que redirige a una página web fraudulenta para que introduzca su número de tarjeta de crédito, DNI, la contraseña de acceso a la banca online, etc.

En este caso, los hechos vienen de una clienta de una entidad bancaria que recibió un SMS al teléfono móvil, supuestamente emitido por el Banco, advirtiéndole de que se había detectado un acceso inusual a su cuenta “on line” por lo que era necesario que verificase sus datos. La clienta, sin sospechar que al seguir las instrucciones era redirigida a una "página espejo", proporcionó sus claves habituales de seguridad como la OTP (One Time Password) o contraseña de un solo uso, y a los pocos minutos se realizaron dos transferencias por importe global de 4.690 €. que no ha sido recuperado.

Se presenta demanda pues se considera que la responsabilidad por la orden de pago no consentida recaía en el Banco, ya que cliente no fue cómplice del fraude y no se condujo con negligencia grave. El Banco considera que no tiene responsabilidad pues cumplió con sus estrictos protocolos de seguridad frente a la inaceptable negligencia del cliente, que fue quien proporcionó al defraudador las claves y la contraseña de un solo uso que confirmó la operación.

La AP de Oviedo acude a los arts. 44 a 46 R.D. Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (SP/LEG/25166), que regulan la responsabilidad del proveedor de servicios de pago por la ejecución de operaciones no autorizada.

Mediante dicha normativa se establece en primer lugar que la carga de la prueba es del proveedor que debe demostrar que el usuario del servicio cometió fraude o negligencia grave. En segundo lugar, que se devolverá el importe salvo cuando el proveedor tenga motivos razonables para sospechar de fraude y comunique dichos motivos por escrito al Banco de España, y en tercer lugar que el ordenante podrá quedar obligado a soportar, hasta un máximo de 50 euros, las pérdidas derivadas de operaciones de pago no autorizadas resultantes de la utilización de un instrumento de pago extraviado, sustraído o apropiado indebidamente por un tercero, salvo que:

a) no le resultara posible detectar la pérdida, la sustracción o la apropiación indebida de un instrumento de pago antes de un pago, salvo cuando el propio ordenante haya actuado fraudulentamente, o
 
b) la pérdida se debiera a la acción o inacción de empleados o de cualquier agente, sucursal o entidad de un proveedor de servicios de pago al que se hayan externalizado actividades.
 
Además, se recuerda que según diversas resoluciones hay un criterio mayoritario sobre el sistema de responsabilidad de la entidad o proveedor de pagos, que se establece como "cuasiobjetiva" y que se basa en que:
 
1) se debe cumplir el deber de diligencia en la garantía de operaciones de pago implementando todos los mecanismos y controles de autenticación necesarios, incluido dotarse de tecnología "antiphising".
 
2) Solo puede liberarse si prueba que la orden de pago no se vio afectada por "un fallo técnico u otra deficiencia del servicio prestado por dicho proveedor", o que el cliente ha actuado fraudulentamente o con negligencia grave a la hora de aplicar los medios razonables de protección de que haya sido provisto o cuando no haya comunicado a la entidad el pago no autorizado en cuanto tenga conocimiento de este.
 
Y, por último, se analiza si se incurrió en la "negligencia grave", y se dice que esta debe reservarse para supuestos donde la conducta de la víctima roza lo inexcusable, como falta o retraso en la comunicación de la estafa, o casos de imitaciones burdas y groseras, o requerimientos ilógicos o absurdos para obtener las claves de la víctima conforme a su formación y conocimientos. En el caso de la resolución se trató de un escenario construido para inducir a una equivocación en la que era fácil caer si no se disponía de conocimientos avanzados en informática, por lo que no se ha probado que el demandante incurriera en negligencia grave.
 
Por lo que se desestima el recurso y se traslada al proveedor del servicio de pago la responsabilidad por la operación de pago no autorizada por el usuario.
 
Responsabilidad civil de los bancos frente al phishing
 
Ver post completo