Alicia Visitación, magistrada del Juzgado de Primera Instancia 89 de Madrid y juez de refuerzo del Juzgado 104 Financiero de la capital de España, junto con Eugenio Ribón, decano del ICAM y presidente de la Asociación Española de Derecho de Consumo (AEDC), analizaron la problemática emergente del phishing y las estafas informáticas en nuestro país en el VI Congreso de Derecho de Consumo, organizado por AEDC, Sepin y la propia Sección de Consumo del ICAM, moderados por Damián Vázquez, abogado y vocal de la Junta Directiva de AEDC.
Para Ribón, “la problemática de las estafas informáticas es mayor que la de las cláusulas suelo. Según la Asociación Hipotecaria Española, se detectaron 800.000 hipotecas con dichas cláusulas. En phishing, solo el pasado año Interior detectó cerca de 427.000 estafas. Si lo proyectamos al plazo de prescripción de la acción, que es de cinco años, estaríamos hablando de 2,5 millones de víctimas de estas prácticas. Son asuntos directamente relacionados con los consumidores que necesitan una reparación urgente tras esa acción de phishing, en cantidades realmente importantes frente a los 1.500 euros de las cláusulas abusivas como reclamación habitual”.
A juicio de este experto, pese a que hay una jurisprudencia consolidada, “el banco, ante este tipo de situaciones, no se hace cargo de nada y tenemos que acudir a la vía judicial. Del total de ciberdelincuencia en 2023 (472.000 delitos), hay 427.000 que corresponden a fraudes informáticos bancarios, el 89 % del total. Por comunidades autónomas, Madrid, Cataluña, Andalucía y Comunidad Valenciana son las más afectadas por esta lacra. De las modalidades delictivas, todas van con la pesca de datos: phishing, pharming, scam, troyano o fraude del CEO, entre la docena de fraudes existentes. La más gravosa es la llamada man in the middle, donde se intercepta una factura de un proveedor de tal forma que el dinero va a parar a otra cuenta distinta de esa empresa”.
En su opinión, “las entidades financieras no se han adaptado al mundo digital en cuanto a la protección del patrimonio de terceros. En el mundo físico, las medidas han sido muy contundentes para custodiar ese dinero. En este entorno online han desarrollado sus aplicaciones de banca electrónica, que les han ahorrado bastantes costes en sus negocios, pero las medidas de seguridad son mejorables. En el caso del man in the middle, el banco debería incorporar medidas adicionales para evitar este tipo de situaciones irregulares y verificar la identidad del ordenante de esa factura para evitar estos fraudes. Es previsible que la evolución de la jurisprudencia vaya en esa dirección”.
Eugenio Ribón aprovechó la presencia de Ana Caballero, presidenta del Consejo de Consumidores y Usuarios (CCU), en este Congreso, para pedirle públicamente que “interceda ante la Asociación Española de la Banca (AEB), a fin de que las entidades del sector tomen conciencia de la necesidad de desarrollar más medidas preventivas para evitar esta práctica del man in the middle, que ha crecido de forma notable estos últimos meses. Se trata de que en su deber de diligencia antepongan los intereses del cliente a los propios, siguiendo la sentencia del Tribunal Supremo de 1989 del Bonus Argentaria”.
Para el presidente de la AEDC, “podemos encontrarnos con cláusulas abusivas en estos contratos bancarios. La comunicación del usuario se hace a la entidad bancaria sobre ese fraude desde que lo percibe, no desde que se produce. Sobre las cláusulas de exoneración del banco, estas deben quedar fuera, como dice la sentencia 792/2009 del Tribunal Supremo. Además, la iniciativa del banco de incluir al cliente en un fichero de morosos por ese fraude es indebida, lo cual nos da pie a otro litigio distinto por el daño al honor, refrendado en la doctrina del Constitucional y del Supremo sobre esta cuestión”.
En cuanto a la forma de reclamar por ese fraude, Ribón comentó que “la reclamación previa no es del todo necesaria, aunque si se interpone, es garantía de que, si ganamos el asunto, tendremos la condena en costas que señala el artículo 395 del Código Civil. Sobre el plazo entre dicha reclamación y la interposición de la demanda, la Ley de Enjuiciamiento Civil no señala nada, aunque el Tribunal Supremo, en dos sentencias de marzo y junio de 2021, reprochó la interposición rápida. Sin embargo, el texto refundido de la Ley General de Consumidores y Usuarios obliga a contestar en el plazo de un mes esa reclamación”.
También indicó la necesidad de documentar esa estafa en la demanda que se interponga ante los juzgados de primera instancia: “Las únicas sentencias que aporten las partes deben tener claramente carácter vinculante. La demanda debe reflejar el carácter anómalo de las operaciones. La propia entidad financiera, cuando se firma el contrato, se compromete a ese análisis de riesgos, que en alguna situación incumple. En cuanto a las costas, cree que debería valorarse por parte de los jueces la mala fe y temeridad de las entidades financieras, sobre todo en casos en los que se reclama menos de 2.000 euros. Los intereses legales se devengan desde el momento en que se generó este hecho causante”.
Los jueces recriminan a las entidades financieras
En su intervención, la magistrada Visitación analizó la responsabilidad cuasiobjetiva de la entidad bancaria en casos de phishing, y al mismo tiempo, otras situaciones —las menos— en las que quedan exoneradas de cualquier culpa en situaciones en las que el consumidor ha sufrido pérdidas importantes en sus cuentas corrientes. Según explicó a los asistentes al VI Congreso, “la normativa señala que el riesgo cae en la entidad bancaria, ya que son las que plantean esta forma de negocio online con la proliferación de apps y banca online”.
En cuanto a la normativa, explicó que está vigente la Ley 16/2009, de 13 de noviembre, que traspone la directiva 2007/64/CE. Posteriormente, con la aparición de innovaciones tecnológicas, se aprobó la directiva 2015/2366, que fue transpuesta en nuestro país a través del RD 19/2018, de 23 de noviembre, sobre servicios de pago. En esta norma, el artículo 45 indica que la entidad bancaria deberá reintegrar a la mayor brevedad ese dinero robado; en el artículo 36 se señala que si no hay autorización de las operaciones, no hay consentimiento; y en el artículo 41b se indica que, en caso de sustracción, deberá ponerse en conocimiento sin demora de esa entidad bancaria.
Por último, comentó que “el artículo 42 recoge las obligaciones del prestador de servicios. La primera, que esas credenciales de uso solo son para el consumidor; debe existir un medio gratuito para hacer la notificación del artículo 41b en caso de extravío o robo. Estas condiciones están en relación con el RD Legislativo 1/2007, de 16 de noviembre, donde se dice que esos prestadores de servicios responderán de esos daños y perjuicios, salvo que puedan probar que actuaron con diligencia. Por su parte, el artículo 44 del citado RD 19/2018 señala que la entidad financiera tendrá que probar que el consumidor cometió ese fraude”.
Para esta jurista, “uno de los artículos que más se utiliza en los tribunales es el artículo 46, que habla de operaciones no autorizadas por el ordenante. El usuario solo responde en casos de extravíos, salvo en situaciones en las que interviniera un empleado de una entidad. También si se demuestra que la negligencia grave fue suya. Sin embargo, queda exento ante operaciones de pago que no son presenciales. Si no hay autenticación reforzada, solo responderá el cliente si hay actividad fraudulenta. En el caso de que tras denunciar dicha operación se hagan otras, el consumidor no responderá por ellas”.
Esta magistrada habló del artículo 36 del RD 19/2018, señalando que, en el caso de que no haya consentimiento, la operación no se da por autorizada: “La sentencia de la Audiencia Provincial de Valencia, de 8 de abril de 2019, lo define como operación autorizada con autenticación, y adopta los medios necesarios para que realmente se sepa que nosotros firmamos el contrato. Junto a ello, las causas de exoneración de la entidad incluyen la falta de comunicación con la entidad financiera, que el consumidor actúe de forma fraudulenta, o que incumpla las obligaciones ya vistas del artículo 41 de este RD Ley de 2018”.
En cuanto al plazo para ejercitar esa acción ante los tribunales, comentó que “es de cinco años, según la normativa vigente. La sentencia de la Audiencia Provincial de Logroño 253/24, de 30 de mayo, habla de la presunción de veracidad de la reclamación, aunque el banco puede desplegar actividad probatoria en esos casos. En cuanto a la negligencia grave de la entidad bancaria, la sentencia de la Audiencia Provincial de Huesca, de 30 de junio de 2024, señala que la entidad debe comportarse como un comerciante experto. La sentencia de la Audiencia Provincial de Rioja, de 17 de febrero de 2023, indica que la entidad debe implementar medidas específicas para frenar cualquier conducta inusual del cliente”.
Respecto al concepto de negligencia grave del cliente, esta jueza recordó que no hay un concepto definido en estos momentos en los tribunales: “La actividad del phishing es compleja, lo que la hace difícil de detectar para un consumidor medio. Debes ser experto para darte cuenta de que te están engañando. La iniciativa no parte del consumidor, porque recibe un mensaje externo. Sin embargo, la tendencia mayoritaria es que las estafas son cada vez más sofisticadas y difíciles de detectar. Sobre la autenticación, la sentencia de la Audiencia Provincial de 20 de mayo de 2022 habla de sus requisitos y se refiere al artículo 68 de la Ley de Servicios de Pago. Aunque exista dicha autenticación, el banco responde en el caso de que haya un phishing”.