¿Tienen las entidades financieras la obligación de responder frente a sus clientes cuando hayan sido víctimas de una operación de pago no autorizada?

Publicado el martes, 19 diciembre 2023

Teresa García, abogada de RSM Spain

Teresa García

Teresa García

El acceso a banca online y su reciente desarrollo ha provocado el aumento de operaciones de pago no autorizadas. Cada vez son más los afectados por las técnicas denominadas “phishing”[1] o “smishing”[2] y con ello, los problemas a los que se enfrentan los usuarios de banca online con sus proveedores de servicios financieros para que procedan a la devolución de las cantidades transferidas sin su consentimiento.

Estas técnicas, cada vez más sofisticadas, suelen partir de un supuesto similar, consistente, en el caso de la técnica “smishing”, en el envío de un sms a los usuarios de banca online desde el mismo número de teléfono que la entidad financiera utiliza para ponerse en contacto con sus clientes, en el que se informa al usuario que se ha vinculado un nuevo dispositivo a los servicios de banca en línea. En dicho mensaje, se solicita al cliente que proceda a su verificación mediante el acceso a un enlace de una página web en la que se le exige que proporcione sus credenciales. Es de reseñar que esta clase de sms, reúne, normalmente, los elementos necesarios para aparentar que se trata de una comunicación auténtica de la entidad financiera, pues el sms se encuentra agrupado en el mismo hilo de mensajes en el que constan los sms recibidos por el proveedor de servicios al usuario y suelen proporcionar un enlace a la página web de especiales similitudes a los de la página oficial de la entidad financiera, por lo que, el cliente, convencido de su autenticidad, accede y proporciona la información solicitada.

Ahora bien, desde el punto de responsabilidad civil y dejando de lado los efectos de la evidente conducta delictiva en la esfera penal, la pregunta que se plantea es si las entidades financieras tienen la obligación de responder ante sus clientes y devolverles los importes sustraídos por un tercero no autorizado cuando dicha operación de pago se ha materializado a través de este tipo de prácticas.

La respuesta a esta pregunta debe ser afirmativa, puesto que de conformidad con el artículo 45 del Real Decreto-ley 19/2018, de 24 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera y el régimen legal sobre la responsabilidad contractual, las entidades financieras tienen la obligación de restituir a sus clientes el importe que le haya sido sustraído como consecuencia de la operación no autorizada de forma inmediata, si estos niegan haber realizado esta transacción.

Esta responsabilidad contractual se fundamenta en la obligación que ostentan los proveedores de servicios de adoptar una serie de medidas de seguridad y dotarse de mecanismos de control que le permitan el buen funcionamiento de los servicios que prestan y detectar operaciones de pago no autorizadas, especialmente aquellas transacciones que se basan en técnicas que son utilizadas con frecuencia como las expuestas en el presente artículo. Entre las medidas de seguridad que se deben adoptar, se incluyen la de detectar las posibles suplantaciones de identidad por terceros no autorizados a través del uso de números de teléfono idénticos a los que utilizan las entidades financieras para ponerse en contacto con sus clientes. Esto supone que, si el usuario de servicios niega haber autorizado una operación de pago ya ejecutada, será la entidad financiera la que deberá demostrar que la operación fue autenticada, registrada con exactitud, contabilizada y que no se vio afectada por una deficiencia de servicio. A esto hay que añadir que esta exigencia de extremar las medidas de seguridad a las entidades es aún más estricta cuando las operaciones de pago se realizan de manera electrónica, pues en ese caso, deberán aplicar una autenticación reforzada a sus clientes.

En este sentido, y a modo de ejemplo, se indica que el mero envío de información a través de correos electrónicos o avisos publicados en las páginas web de las entidades financieras sobre técnicas de operaciones bancarias no autorizadas, no constituye una medida para garantizar la seguridad y control de los servicios de pago; tampoco, el mero registro de una transferencia no autorizada por parte del proveedor de servicios para demostrar que fue autorizada por el ordenante, constituye una excusa válida para eludir su responsabilidad, pues lo contrario, supondría exigir a los usuarios, un alto grado de conocimiento sobre esta materia que un cliente medio no tienen la obligación de disponer.

Ahora bien, ¿Cuándo no tendrían obligación las entidades financieras de proceder a la devolución de las cantidades sustraídas mediante operaciones no autorizadas a los usuarios de servicios? Solo en supuestos en los que se demuestre por parte de la entidad que el cliente obró con negligencia grave.

Para ello, los proveedores de servicios deberán acreditar que el usuario no ha actuado con la diligencia que le resultaba exigible, por lo que, si este ha mantenido en secreto sus credenciales y ha puesto en conocimiento de su banco, de manera inmediata o sin demora injustificada, que ha sido víctima de este tipo de prácticas, no concurriría el requisito para que el banco quedara exonerado de su responsabilidad.

En definitiva, el usuario que se haya visto afectado por este tipo de técnicas no autorizadas podrá solicitar a su proveedor de servicios la devolución del importe sustraído por un tercero, siempre y cuando haya cumplido con sus obligaciones contractuales, haya actuado con la diligencia que le es exigible y la entidad financiera no haya adoptado los mecanismos de seguridad necesarios para detectar que la operación de pago no fue autorizada, correspondiendo la carga de la prueba de todo ello a la entidad financiera.

[1] El Instituto Nacional de Ciberseguridad (INCIBE) define la técnica del phishing como elenvío de un correo electrónico por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima (red social, banco, institución pública, etc.) con el objetivo de robarle información privada, realizarle un cargo económico o infectar el dispositivo. Para ello, adjuntan archivos infectados o enlaces a páginas fraudulentas en el correo electrónico.”

[2] El INCIBE define la técnica del smishing como “el envío de mensajes de texto (SMS) a las víctimas, haciéndose pasar por todo tipo de entidades de confianza, como bancos, empresas públicas de la Administración, tiendas o comercios, familiares o amigos. El objetivo, como siempre, es obtener toda la información personal (usuario y contraseñas, correos, número de teléfono, domicilio…) y bancaria para llevar a cabo nuevos fraudes o hacerse con nuestro dinero.”

 

< Anterior
Reseñas en Google y comentarios en X, las dos herramientas favoritas de los usuarios para poner una queja a una empresa en España
Siguiente >
¿Qué es la negociación Harvard?
Sobre el autor
Redacción

La redacción de Lawyerpress News la componen periodistas de reconocido prestigio y experiencia profesional. Dirigido por Hans A. Böck como Editor y director es una publicación independiente. Nos puede contactar en redaccion@lawyerpress.com y seguirnos en Twitter en @newsjuridicas, LinkedIn, Facebook, Instagram, Threads y Bluesky.

Comenta el articulo