Un banco obligado a pagar lo estafado a su cliente víctima de un phising. ¿Cuándo la entidad es responsable?

Los magistrados entienden, que no existe negligencia grave del cliente que introdujo los datos de su tarjeta en un sitio web suplantado al sitio oficial de la entidad bancaria emisora, aun constando en el correo electrónico recibido faltas de ortografía, ya que el banco no tenía implementada técnicas anti-phising.


La Audiencia Provincial de Pontevedra revoca la sentencia de primera instancia, en la que consideraba la actuación negligente e imputable al cliente y, finalmente, condena al banco al abono de los más de cuatro mil euros estafados. Los magistrados observan incumplimiento en los deberes de diligencia de la entidad, ya que la misma no disponía de mecanismo anti-phising, que pudieran haber detectado la configuración del servicio de pago en un número de teléfono distinto al registrado por el cliente.  

Textualmente se puede leer en la sentencia que: «Los SMS que la entidad demandada envió a la señora Sara comunicándole el código que había de utilizar para instalar su tarjeta en la aplicación de pago Samsung Pay, y el que le envío después de su activación no proporcionaban información sobre el número del terminal telefónico en el que se había solicitado y después activado la citada aplicación de pago. Tal omisión supone un incumplimiento de los deberes de diligencia en la prevención del fraude mediante phising, pues no podía la entidad desconocer que frecuentemente mediante aquella el tercero defraudador utiliza los datos de la tarjeta para activarla en una aplicación de pago de la que tiene dominio, por lo que debiendo conocer que el teléfono desde el que se le había solicitado la activación no se encontraría entre los que hubiera registrado su nombre la señora Sara en su ficha de cliente, la comunicación del número de terminal telefónico devenía exigible para que aquélla pudiera conocer que era un tercero quien podría disponer de los datos de la tarjeta mediante la aplicación de pago que se activaría«.

«Habrá de ser, en consecuencia, la entidad demandada como proveedora de los servicios de pago usados de manera fraudulenta por un tercero logrando con ello acceder a la cuenta bancaria de la demandante quien haya de responder las pérdidas sufridas por esta con tales operaciones«.

Por lo que el tribunal indica que: «En tales circunstancias no cabe observar negligencia grave en el acto de la señora Sara introduciendo la clave de activación de la obligación de pago en la página que simulaba ser de Abanca, pues para que pudiera ponderarse su error (explicó que había entendido que los mensajes se referían al pago que realizaba con su propio teléfono móvil que era de la marca Samsung) como inexcusable le faltaba el dato del número de teléfono en el que la aplicación se activaría, con el que podría haber conocido que el pago no se realizaría mediante el teléfono propio sino mediante el de un tercero«.

Y para responder a la pregunta: ¿cuándo la entidad bancaria es responsable?

En primer lugar, vamos a acudir al Código Civil y concretamente a su artículo 1.902, que nos dice: «El que por acción u omisión causa daño a otro, interviniendo culpa o negligencia, está obligado a reparar el daño causado«. 


En segundo lugar, haremos alusión a la normativa aplicable, en este caso el Reglamento Delegado (UE) 2018/389 de la Comisión de 27 de noviembre de 2017, por el que se complementa la Directiva (UE) 2015/2366, del Parlamento Europeo y del Consejo, en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes, la cual se encuentra en vigor desde el día 14 de septiembre de 2019.

Y aquí vemos como en su artículo 2, habla de los requisitos generales de autenticación, en la que nos dice que «los proveedores de servicios de pago dispondrán de mecanismos de supervisión de las operaciones que les permitan detectar operaciones de pago no autorizadas o fraudulentas a efectos de la aplicación de las medidas de seguridad». Y que «Dichos mecanismos se basarán en el análisis de las operaciones de pago teniendo en cuenta los elementos que caractericen al usuario de servicios de pago en el contexto de un uso normal de las credenciales de seguridad personalizadas». 

Por otro lado, el RDL 19/2018, de servicios de pago, nos indica en su artículo 46 las responsabilidad del ordenante en caso de operaciones de pago no autorizadas y que «El ordenante soportará todas las pérdidas derivadas de operaciones de pago no autorizadas si el ordenante ha incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41″.

En conclusión, el tribunal entiende que hay una relación causal entre el comportamiento negligente del banco por la falta de controles anti-phising, así como la verificación de que el número del teléfono donde se quiere configurar en nuevo servicio de pago no consta registrado a nombre del cliente, esto unido a la falta de información al cliente del número donde se estaba configurando el servicio, detalle, que entienden los magistrados que hubiese puesto en sobre aviso a la víctima de que el servicio de pago se estaba configurando en un terminal ajeno. Son hechos suficientes para acreditar la existencia de nexo causal entre acción u omisión y daño. Por lo que finalmente se estima la petición subsidiaria de responsabilidad extracontractual de la entidad bancaria.

En definitiva entendemos que cada caso necesita su estudio personalizado, con el fin de poder acreditar la culpa de la entidad bancaria por falta de diligencia y la ausencia de negligencia grave del cliente.


Contacto: info[arroba] tecnogados.com

Profesional con perfil jurídico e investigador tecnológico. #PruebaTecnologica #CadenaDeCustodia @fernandez_jcar @tecnogados

Related Posts