Las entidades bancarias están obligadas a contar con sistemas de control ante movimientos inusuales de las cuentas de sus clientes o ante cargos que se salgan de lo habitual y no basta con medidas genéricas de protección o avisos estereotipados de cuidado, pues tales avisos tienen la calificación de "formulas predispuestas", vacías de contenido, según establece el Juzgado de Primera Instancia e Instrucción número 1 de Moncada (Valencia), en sentencia de 31 de mayo de 2023.
El ponente, el juez Bosch Grau, concluye que "no son los clientes los que deben prevenir ni averiguar las modalidades de riesgos que el sistema conlleva, como el phishing, o estar al tanto de lo mismos, ni prevenir con su asesoramiento experto estos riesgos".
Valora que en estos supuestos de phishing estamos ante conductas delictivas muy elaboradas, a menudo perpetradas por profesionales del engaño, que simulan con precisión los formatos auténticos de las entidades bancarias e inducen a error con cierta facilidad.
Las dificultades para detectar el fraude por los usuarios se evidencian ante la multitud de procedimientos penales que se tramitan por estafas de este tipo. Por ello, estima el juez que ha de valorarse que el legislador no ha querido trasladar a los usuarios la carga de atribuirles la responsabilidad por estas operaciones no autorizadas y de exigirles que procedan con un cuidado extremo, ante su carencia de medios para detectar estos fraudes.
En cambio -razona-, son las entidades bancarias las que se benefician por la introducción de las mejoras tecnológicas y las que deben contar con instrumentos adecuados para la detección de las actuaciones fraudulentas.
En consecuencia, la ley ha optado por un sistema de responsabilidad cuasi objetiva, que atribuye a las entidades bancarias el deber de restitución ante operaciones no aceptadas, con la excepción de conductas de los usuarios que sean maliciosas o gravemente negligentes.
Falta de autorización
El juez valora que en estos casos no resulta controvertido que la actora no autorizó los referidos cargos, pues la mercantil demandada no cuestiona en su contestación que la demandante fue víctima de una maquinación fraudulenta a través del engaño propio del phishing. La entidad bancaria argumentaba en su defensa que actuó correctamente en el ejercicio de la prestación de los servicios de pago.
Por el contrario, determina el juez que "la jurisprudencia, la legislación aplicable establece en estos supuestos una responsabilidad cuasi objetiva para la entidad bancaria, de la que solo puede eximirse si acredita la concurrencia de actuación fraudulenta o culpa grave del cliente".
En este sentido cita las sentencias de las Audiencias Provinciales de Badajoz de 7 de febrero de 2013, de Alicante de 12 de marzo de 2018, de Madrid de 13 de enero de 2023 y de La Rioja de 17 de febrero de 2023, entre otras.
Dicha interpretación se desprende de lo establecido en el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, el cual indica en su artículo 36-1 que las operaciones de pago se considerarán autorizadas "cuando el ordenante haya dado el consentimiento para su ejecución".
También indica este precepto que, a falta de este consentimiento, "la operación de pago se considerará no autorizada". Además, el artículo 44 establece una presunción de falta de autorización cuando es negada por el usuario.
Relacionados
- El BOE publica el Acuerdo por el que los teletrabajadores transfronterizos se rigen por la ley de Seguridad Social del país de su empresa
- Los jueces no pueden cambiar la incapacidad permanente por teletrabajo
- Un simple relato del trabajador es prueba suficiente para declarar el accidente laboral in itinere
- La Agencia Tributaria endurece las obligaciones de la empresa para probar el uso en la actividad y privado de los vehículos
