En los últimos años, y a medida que se ha generalizado el uso de las nuevas tecnologías de comunicación, como internet, para la realización de operaciones comerciales comunes y para la verificación de pagos (banca on line), también se ha venido produciendo un incremento exponencial de los fraudes que se cometen aprovechando las posibles brechas de seguridad que dichas tecnologías pueden presentar, de tal manera que términos como “phishing”, "smishing” o “ransomware”, que se refieren a distintas modalidades de fraude o sabotaje ”informático”, ya nos resultan incluso familiares en el lenguaje cotidiano.
Una de estas prácticas fraudulentas que más extendida se encuentra es la estafa informática que se comete mediante la captación de datos bancarios induciendo a error a la víctima (legítimo titular de tales datos: por ejemplo, un usuario bancario) mediante la argucia de enviarle correos electrónicos (técnica conocida como "phishing") o mensajes SMS (técnica denominada "smishing") en los que el defraudador se hace pasar por la entidad bancaria para conseguir que los clientes proporcionen sus datos de carácter personal y claves bancarias, datos que luego serán usados para acceder ilegítimamente a las cuentas bancarias y apropiarse de los fondos allí depositados.
Dicha práctica constituye un delito de estafa que está castigado en el artículo 249 del Código Penal con pena de prisión de seis meses a tres años y que, de ser declarado en sentencia condenatoria, conllevará también que el autor de la infracción haya de indemnizar a la víctima (persona estafada) en el importe defraudado, respondiendo subsidiariamente de esto último la proveedora del servicio de pago (por ejemplo, la entidad bancaria en la que está abierta la cuenta bancaria cuyos fondos fueron defraudados) (en este sentido, Sentencia del Tribunal Supremo -Sala 1ª, de lo Penal- nº 49/2020, de 12 de febrero de 2020; recurso nº 10.169/2019; Ponente: Excma. Sra. Dña. Ana Mª Ferrer García).
Ahora bien, con independencia y al margen de que se tramite o no un procedimiento penal por delito de estafa, ¿está obligado el banco a devolverme el importe de una supuesta operación de pago que no he autorizado y que se debió a un fraude informático? Pues la respuesta, en la generalidad de los supuestos, es que sí.
Para intentar explicar lo anterior debemos partir de que los servicios de operativa on line que actualmente ofrecen las entidades bancarias a sus clientes presentan, como hemos dicho, algunos riesgos derivados de la posibilidad de suplantación de la identidad de quien contrata con la entidad para la realización de operaciones sin la autorización del auténtico contratante, debiendo ser el banco que oferta tales servicios el responsable de poner en práctica un sistema seguro que conjure tales riesgos, de manera que las consecuencias negativas de los fallos en el mismo no deberán ser trasladadas al cliente, salvo en los casos de actuaciones dolosas o gravemente negligentes por parte de este último.
En este sentido, el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, regula, en sus artículos 43 y siguientes, una serie de medidas y obligaciones, para las entidades financieras y para los usuarios, en orden a las operaciones de pago no autorizadas o ejecutadas incorrectamente.
Así, el artículo 43.1 del aludido Real Decreto-ley 19/2018 dispone que “El usuario de servicios de pago obtendrá la rectificación por parte del proveedor de servicios de pago de una operación de pago no autorizada o ejecutada incorrectamente únicamente si el usuario de servicios de pago se lo comunica sin demora injustificada, en cuanto tenga conocimiento de cualquiera de dichas operaciones que sea objeto de reclamación […] y, en todo caso, dentro de un plazo máximo de trece meses contados desde la fecha del adeudo”.
El artículo 45.1 del mismo Real Decreto-ley establece que “Sin perjuicio del artículo 43 de este real decreto-ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada”.
Y el artículo 46.1 del repetido Real Decreto-ley prevé que “El ordenante soportará todas las pérdidas derivadas de operaciones de pago no autorizadas si el ordenante ha incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41”.
De los anteriores preceptos se desprende que en el supuesto de que un usuario detecte que se ha realizado una operación de pago no autorizada ni ejecutada por él (por ejemplo, un movimiento no ordenado en su cuenta bancaria), deberá comunicar inmediatamente tal incidencia a la entidad bancaria, y ésta tiene la obligación de devolverle al cliente el importe de la operación no autorizada, siempre y cuando, obviamente, no estemos ante un supuesto en el que ha sido el propio cliente (usuario bancario) el que ha actuado fraudulentamente o el que ha generado la situación por haber obrado con negligencia grave al hacer uso del instrumento de pago y/o sin adoptar las mínimas cautelas que a cualquier ciudadano medio le resultan exigibles al servirse de tales instrumentos (por ejemplo, al usar la banca on line o una tarjeta de crédito).
En este sentido, la Sentencia de la Audiencia Provincial de Oviedo (Sección 4ª) nº 142/2024, de 21 de marzo de 2024 (recurso nº 89/2024; Ponente: Excmo. Sr. D. Francisco Tuero Aller) vino a confirmar la condena a una entidad bancaria a abonarle a un cliente el importe que le había sido detraído de su cuenta bancaria como consecuencia de un fraude del que había sido víctima a través de internet, estimando que había concurrido un incumplimiento contractual por parte del banco al no haber comprobado la autorización de la orden de pago y al no haber dispuesto de un adecuado sistema de seguridad que previniera este tipo de órdenes fraudulentas.
Dicha sentencia argumenta, en su Fundamento de Derecho Tercero, que “Fuera de esos supuestos -ausencia de comunicación en tiempo de las operaciones, actuación fraudulenta del usuario, o negligencia grave- la proveedora del servicio está obligada a realizar la rectificación del cargo (art. 43.1) y devolución del importe (art. 45.1), bajo la premisa de que, ante la negación por el usuario de haber autorizado la operación o la afirmación de que la misma fue realizada de manera incorrecta, corresponde a aquélla (art. 44.1º) ‘demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado...’, al igual que tiene la carga de acreditar (art. 44.3º) ‘que el usuario del servicio de pago cometió fraude o negligencia grave’, sin que, a la par, el registro de la utilización del instrumento por el proveedor baste por sí solo y necesariamente para demostrar que ‘la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones...’ (art. 44.2º)”.
En definitiva, a la hora de utilizar internet para realizar operaciones de pago debemos actuar con diligencia y adoptar las cautelas y recomendaciones que la propia entidad financiera suele poner en conocimiento de sus clientes; y, si detectamos que se ha efectuado, en un producto bancario nuestro, una operación que no hemos autorizado, habremos de comunicárselo inmediatamente a la entidad financiera a fin de que nos reintegre el importe de tal operación; y todo ello sin perjuicio de que, de existir indicios de que hemos sido víctima de un fraude informático, procedamos a efectuar la correspondiente denuncia ante las autoridades policiales y judiciales competentes a fin de que se depuren las responsabilidades a que haya lugar.