Introducción
En los últimos años el aumento de denuncias por estafas mediante apps, llamadas y mensajes de texto se han disparado. Basta ver los informes anuales del Ministerio del Interior sobre criminalidad para ver su clara tendencia alcista. Existen numerosas advertencias de distintos organismos sobre la proliferación de distintos tipos de estafas y, por ello, se hace evidente la necesidad de exigir responsabilidades.
Pero, en un escenario tan complejo, donde se exigen distintas aplicaciones para cada plataforma y entidad, ¿qué responsabilidades tienen estas compañías? ¿Se puede reclamar por estafas que han cometido criminales y que deba responder la entidad bancaria?
A esta cuestión vamos a dar respuesta en este artículo.
Marco normativo básico
Para tratar esta cuestión resulta de extrema utilidad el Real Decreto-ley 19/2018, de 23 de noviembre. Se trata de una ley básica en la materia, que venía a cumplir con la Directiva Europea 2015/2366, y regula distintos aspectos variados del sector bancario y servicios de pago.
¿Por qué decimos que es de extrema utilidad? Si usted ha hecho alguna reclamación al banco por una ciberestafa lo entenderá. Busque la respuesta de la entidad y verá que, fácilmente, menciona esta ley en algún momento.
De manera general citan preceptos como el art. 36, o bien el 41, que hablan del consentimiento del usuario para la operación o las obligaciones de éste. Ponen el foco, de manera desgajada, en la responsabilidad del usuario.
Sin embargo, lo que no hacen las entidades bancarias es mencionar la responsabilidad cuasiobjectiva de la entidad. La normativa contempla, en distintos apartados, puestos variados que la generan. Por ejemplo, se reconoce que los usuarios serán responsables en operaciones de pago no autorizadas cuando haya, por su parte, fraude o negligencia grave (art. 46).
Las implicaciones de ello son el giro de responsabilidad, en los casos restantes, para la entidad bancaria. E incluye que es la obligada a acreditar que existían los mecanismos de seguridad, que hay algún incumplimiento grave por parte del usuario, etc.
Se trata de algo que la Directiva 2015/2366 ya imponía en preceptos como el artículo 72. Veamos su contenido:
«Artículo 72
Prueba de la autenticación y ejecución de las operaciones de pago
1. Los Estados miembros exigirán que, cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que esta se ejecutó de manera incorrecta, corresponda al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago.
Si el usuario de servicios de pago inicia la operación de pago a través de un proveedor de servicios de iniciación de pagos, corresponderá a este demostrar que, dentro de su ámbito de competencia, la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable.
2. Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ejecutada, la utilización de un instrumento de pago registrada por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, no bastará necesariamente para demostrar que la operación de pago ha sido autorizada por el ordenante, ni que este ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 69. El proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, aportará pruebas para demostrar que el usuario del servicio de pago ha cometido fraude o negligencia grave.«
A partir de aquí se dibuja un sistema de responsabilidad y delimitación de distintos aspectos que respeta esta idea. Y lo mismo sucede con la normativa española.
Junto a estas precisiones debemos recordar que por normativa, hace años que se empezó a extender el sistema de doble autenticación. Rige en un sinfín de aplicaciones, no necesariamente bancarias, que permiten elevar el grado de seguridad.
Pero bien conocido es que, en el mismo sentido, esto conlleva una responsabilidad para la entidad bancaria respecto a los datos personales. El RDL del 2018 antes citado impone, en su artículo 38, que la entidad bancaria que facilita la aplicación para hacer los pagos:
«b) garantizará que las credenciales de seguridad personalizadas del usuario de servicios de pago no sean accesibles a terceros, con excepción del usuario y del emisor de las credenciales de seguridad personalizadas, y que las transmite a través de canales seguros y eficientes»
El núcleo de este apartado (y la responsabilidad en otros que se reflejan en este mismo precepto) es importante. Reafirma los cimientos de responsabilidad de la entidad: tiene que controlar los datos que custodia. Tanto los que está facultada para guardar, como también controlar el acceso a los mismos con respecto a terceras personas.
Sobre estas bases, y complementando con las distintas figuras que se aplicarán según cada caso particular, se puede exigir el pago de lo sustraído a la entidad bancaria. Hará falta, pues, construir la reclamación según las características de cada caso.
¿Qué dicen los tribunales?
Complementando los ejemplos antes mencionado, que son solo una pequeña parte de lo que puede ser importante en cada reclamación, son útiles algunas consideraciones hechas por nuestros tribunales.
A modo inicial, recordar que distintos tribunales han remarcado la idea de responsabilidad cuasiobjetiva de la entidad que permite realizar pagos con sus aplicaciones (SAP de Madrid, Secc. 14ª, nº 81/2023, de 21 de febrero). Esta misma Audiencia, pero desde la Sección 20 y en su sentencia de 20 de mayo del 2022, reafirmó la idea de que debe acreditarse por la entidad que ha establecido y comunicado los distintos mecanismos que implementa de manera efectiva y real, al usuario.
Se remarca en esta resolución que «dicha actuación diligente no puede considerarse acreditada por la información que se facilita a los clientes a través de su página web» puesto que «lo que requerían (las obligaciones de seguridad) era implementar en el sistema informático el mecanismo tecnológico adecuado para evitarlo; es decir mediante una conducta activa y no simplemente informativa o divulgativa».
Si vamos a tribunales catalanes, la SAP de Tarragona, Secc. 3ª, nº 278/2024, de 9 de mayo, dictó que la carga de la prueba era de la entidad bancaria, y que no sirve cualquier concepto de negligencia para responsabilizar al usuario. A modo complementario, la SAP de Oviedo, Secc. 5ª, nº 236/2023, de 22 de junio, remarcaba que confiar en un SMS con la información del banco, que remite además a una página con la apariencia de la entidad, no supone una negligencia grave del usuario.
Conclusiones: sí se puede reclamar a la entidad (pero debe analizarse caso por caso)
Lo expuesto en los apartados anteriores nos permite afirmar que la normativa sí permite reclamar a la entidad bancaria por el dinero que pueda ser objeto de transferencia mediante fraude. Son ya distintos los tribunales que han aplicado esta normativa en multitud de casos, tanto por fraudes por llamadas, sms como otras vías similares.
Resulta importante, sin embargo, solicitar asesoramiento profesional para poder realizar las reclamaciones. Quien tenga los recursos para hacer los trámites previos puede hacerlo, si bien en la mayoría de casos el grado de tecnicismo de estas reclamaciones, valorar la documental necesaria, etc., puede comportar una dificultad no gestionable por muchos usuarios.
Si ha sido víctima de alguna operación fraudulenta y, más allá de la posible responsabilidad penal contra el autor, quiere iniciar los trámites de reclamación frente a su entidad bancaria o prestadora de servicio de pagos, no dude en contactar con nosotros.