Director:
Enrique Ortega Burgos
Coordinadores:
Manuel García Villarrubia Bernabé
Pilar Sánchez-Bleda
Alejandro Touriño Peña
Juan Francisco Rodríguez Ayuso
Antonio Serrano Acitores
Joaquín Muñoz Rodríguez
Koldo Díaz Bizkarguenaga
Marlen Estévez Sanz
María José Añón Roig
Catedrática de Filosofía del Derecho de la Universidad de Valencia
Ana Cañizares Laso
Catedrática de Derecho Civil de la Universidad de Málaga
Jorge A. Cerdio Herrán
Catedrático de Teoría y Filosofía de Derecho.
Instituto Tecnológico Autónomo de México
José Ramón Cossío Díaz
Ministro en retiro de la Suprema
Corte de Justicia de la Nación y miembro de El Colegio Nacional
María Luisa Cuerda Arnau
Catedrática de Derecho Penal de la Universidad Jaume I de Castellón
Carmen Domínguez Hidalgo
Catedrática de Derecho Civil de la Pontificia Universidad Católica de Chile
Eduardo Ferrer Mac-Gregor Poisot
Juez de la Corte Interamericana de Derechos Humanos
Investigador del Instituto de Investigaciones Jurídicas de la UNAM
Owen Fiss
Catedrático emérito de Teoría del Derecho de la Universidad de Yale (EEUU)
José Antonio García-Cruces González
Catedrático de Derecho Mercantil de la UNED
José Luis González Cussac
Catedrático de Derecho Penal de la Universidad de Valencia
Luis López Guerra
Catedrático de Derecho Constitucional de la Universidad Carlos III de Madrid
Ángel M. López y López
Catedrático de Derecho Civil de la Universidad de Sevilla
Marta Lorente Sariñena
Catedrática de Historia del Derecho de la Universidad Autónoma de Madrid
Javier de Lucas Martín
Catedrático de Filosofía del Derecho y Filosofía Política de la Universidad de Valencia
Víctor Moreno Catena
Catedrático de Derecho Procesal de la Universidad Carlos III de Madrid
Francisco Muñoz Conde
Catedrático de Derecho Penal de la Universidad Pablo de Olavide de Sevilla
Angelika Nussberger
Catedrática de Derecho Constitucional e Internacional en la Universidad de Colonia (Alemania)
Miembro de la Comisión de Venecia
Héctor Olasolo Alonso
Catedrático de Derecho Internacional de la Universidad del Rosario (Colombia) y Presidente del Instituto Ibero-Americano de La Haya (Holanda)
Luciano Parejo Alfonso
Catedrático de Derecho Administrativo de la Universidad Carlos III de Madrid
Consuelo Ramón Chornet
Catedrática de Derecho Internacional
Público y Relaciones Internacionales de la Universidad de Valencia
Tomás Sala Franco
Catedrático de Derecho del Trabajo y de la Seguridad Social de la Universidad de Valencia Ignacio Sancho Gargallo Magistrado de la Sala Primera (Civil) del Tribunal Supremo de España
Elisa Speckmann Guerra
Directora del Instituto de Investigaciones
Históricas de la UNAM
Ruth Zimmerling
Catedrática de Ciencia Política de la Universidad de Mainz (Alemania)
Fueron miembros de este Comité:
Emilio Beltrán Sánchez, Rosario Valpuesta Fernández y Tomás S. Vives Antón
Procedimiento de selección de originales, ver página web: www.tirant.net/index.php/editorial/procedimiento-de-seleccion-de-originales
Director:
Enrique Ortega Burgos
Coordinadores:
Manuel García-Villarrubia Bernabé
Pilar Sánchez-Bleda
Alejandro Touriño Peña
Juan Francisco Rodríguez Ayuso
Antonio Serrano Acitores
Joaquín Muñoz Rodríguez
Koldo Díaz Bizkarguenaga
Marlen Estévez Sanz
tirant lo blanch
Valencia, 2023
Copyright ® 2023
Todos los derechos reservados. Ni la totalidad ni parte de este libro puede reproducirse o transmitirse por ningún procedimiento electrónico o mecánico, incluyendo fotocopia, grabación magnética, o cualquier almacenamiento de información y sistema de recuperación sin permiso escrito de los autores y del editor.
En caso de erratas y actualizaciones, la Editorial Tirant lo Blanch publicará la pertinente corrección en la página web www.tirant.com.
Director de la colección: Enrique Ortega Burgos
© Enrique Ortega Burgos
© TIRANT LO BLANCH
EDITA: TIRANT LO BLANCH
C/ Artes Gráficas, 14 - 46010 - Valencia
TELFS.: 96/361 00 48 - 50
FAX: 96/369 41 51
Email: tlb@tirant.com
www.tirant.com
Librería virtual: www.tirant.es
ISBN: 978-84-1169-502-2
Si tiene alguna queja o sugerencia, envíenos un mail a: atencioncliente@tirant.com. En caso de no ser atendida su sugerencia, por favor, lea en www.tirant.net/index.php/empresa/politicasde-empresa nuestro procedimiento de quejas.
Responsabilidad Social Corporativa: http://www.tirant.net/Docs/RSCTirant.pdf
(UNED)
Alejandro Padín Vidal Socio de Garrigues, Responsable del Área de Economía del Dato, Privacidad y Ciberseguridad
futura decisión de adecuación en protección de datos de los Estados Unidos (relevancia de la orden ejecutiva del Presidente de los Estados Unidos) ...........................
Miguel Recio Gayo Asociado del área de TMC (Tecnología, Medios y Comunicaciones Electrónicas) de CMS Albiñana & Suárez de Lezo
Alberto Rodríguez San José Counsel del departamento de Corporate de Bird & Bird
David Fuentes Lahoz
del departamento de Propiedad Intelectual e Industrial de Bird & Bird
Tratamiento y protección de datos personales en el ámbito de los wearables ................
Lorea Roncal Gaínza
Abogada Senior en ECIJA
Diana Alejandra Rodríguez Gómez
Abogada asociada en ECIJA
Mecanismos aleatorios de recompensa asociados a productos de software interactivo de ocio o “loot-boxes”
José Ignacio Saldarriaga
Socio del área de Innovative Businesses & Venture Capital de EJASO y Copresidente de la Sección de Esports, actividades recreativas y espectáculos públicos del ICAM
Criptomonedas ¿seducción legal? ............................................................................
Pilar Sánchez-Bleda
Socia de AUREN ABOGADOS y Directora del Departamento de MEDIA & TECH
Metaverso y resolución de litigios en línea (‘ODR’) ..................................................
José Aitor Santana Trujillo
Responsable del Área de Procesal y Arbitraje en Ramón Hermosilla Abogados
El nuevo régimen jurídico de la publicación de las reseñas en internet: prácticas desleales y protección de los consumidores
Álvaro
441
459
473
489
509
ÁLVARO ALARCÓN DÁVALOS
Asociado Principal Deloitte Legal
ANTONIO SIQUIER CARBONELL
Asociado Deloitte Legal
ÁLVARO ALARCÓN DÁVALOS, ANTONIO SIQUIER CARBONELL Y CARLOS FERRER MOYA
Abogado Deloitte Legal
SUMARIO: 1. INTRODUCCIÓN 2. EL FRAUDE DIGITAL O TECNOLÓGICO: DEFINICIÓN Y TIPOS. 3. LAS POSIBLES VÍAS PARA RECUPERAR EL IMPORTE DEFRAUDADO DESDE LA ÓPTICA CIVIL. 3.1 Entidad bancaria. 3.2 Aseguradoras. 3.3 Proveedores de servicios informáticos y otros colaboradores. 4. LA COMPLEJIDAD Y ESPECIALIDAD DE LOS PROCEDIMIENTOS CIVILES POR FRAUDE DIGITAL: INFORME PERICIAL Y ARBITRAJE 5. CONCLUSIONES 6. REFERENCIAS BIBLIOGRÁFICAS
El vertiginoso desarrollo de la tecnología ha supuesto un incuestionable impacto, tanto en nuestra vida cotidiana como en nuestra forma de trabajar, hasta el punto de que muchos afirman que nos encontramos en la “era tecnológica”.
La tecnología supone una clara ventaja para la sociedad, pero, a su vez, entraña un riesgo por quienes pretenden obtener un beneficio ilícito mediante su utilización. Este es el caso de los ciberestafadores.
Tanto los consumidores como las empresas son víctimas, cada vez de forma más recurrente, de cada vez menos sofisticadas estafas cometidas a través de medios tecnológicos e informáticos, es decir, son víctimas de los llamados fraudes digitales.
El entendimiento de los tribunales civiles acerca de los fraudes mediante el uso de las nuevas tecnologíasÁlvaro Alarcón Dávalos, Antonio Siquier Carbonell y Carlos Ferrer Moya
En este sentido, el Instituto Nacional de Ciberseguridad registró un total de 109.126 incidentes de ciberseguridad en el año 20211.
El incremento de los ataques cibernéticos es una de las principales inquietudes de las empresas españolas. Así se refleja en el Informe sobre el Fraude en España 2020-2021 elaborado por la Asociación de Empresas contra el Fraude donde el 92% de las empresas consultadas sitúan esta preocupación en el top 10 de sus prioridades2, el 46% alega tener unas pérdidas a causa del fraude digital de entre 100.000 a 300.000 euros y el 36% de más de un millón de euros3
Los fraudes digitales se sitúan en el orden del día, tanto de los pequeños consumidores como de las grandes corporaciones.
La principal problemática con la que se encuentran las víctimas de estos fraudes es la dificultad de encontrar al autor material. Por ello, agudizando el ingenio y planteando reclamaciones para obtener un resarcimiento, fijan su atención con posterioridad en distintos sujetos como son las entidades bancarias, las empresas de ciberseguridad, aseguradoras, empresas encargadas de gestionar los pagos e incluso los propios empleados personas físicas de la empresa víctima del fraude digital.
Estamos siendo testigos de una evolución vertiginosa en las reclamaciones por responsabilidad civil que cuentan cada vez más con un componente tecnológico. La sociedad evoluciona más rápido que nuestro ordenamiento jurídico y, como sucede con cualquier problemática novedosa, no existe un criterio uniforme por el momento por parte de nuestros tribunales para analizar, desde una óptica civil, los fraudes digitales y la responsabilidad de los sujetos ajenos a la estafa.
En el presente artículo, analizaremos las distintas alternativas en la vía civil que utilizan las víctimas para intentar recuperar el importe defraudado, la interpretación del fraude digital por parte de nuestros tribunales y la complejidad práctica que entrañan estos procedimientos.
1 MINISTERIO DEL INTERIOR, 2021. Informe sobre la cibercriminalidad en España, pág. 40.
2 ASOCIACIÓN ESPAÑOLA DE EMPRESAS CONTRA EL FRAUDE, 2021. Informe sobre el fraude en España 2020-2021, pág. 7.
3 ASOCIACIÓN ESPAÑOLA DE EMPRESAS CONTRA EL FRAUDE, 2021. Informe sobre el fraude en España 2020-2021, pág. 11.
El entendimiento de los tribunales civiles acerca de los fraudes
El concepto de fraude digital o tecnológico conlleva, respecto del término fraude, una suplantación de identidad a fin de obtener los datos personales de un tercero para su ilegítima utilización y, respecto del término digital, la utilización de medios informáticos para llevar a cabo esa suplantación.
Por tanto, podemos definir el fraude digital como la suplantación de identidad mediante la utilización de medios informáticos, esto es, la suplantación digital.
En este sentido, encontramos multitud de categorías de fraude digital; phishing, smishing, vishing, pharming, scam, fraude del CEO, etc. La diferencia entre una y otra es, a menudo, el medio tecnológico utilizado para llevar a cabo el fraude. Mientras que en el phishing el ciberdelincuente hace uso de correos electrónicos, en el smishing se apoya en el envío de un SMS.
A continuación, y dada su relevancia para las cuestiones sobre las que versa el presente artículo, veamos la definición de los siguientes fraudes digitales:
• Phishing: técnica en la que un ciberdelincuente envía un correo electrónico haciéndose pasar por una entidad legítima; una red social, un banco o una institución pública. Asimismo, suele ser frecuente que se incluyan enlaces a páginas web fraudulentas o se adjunten archivos infectados. Mediante estos correos, el ciberestafador solicita información privada al receptor a fin de apropiarse de sus datos bancarios para llevar a cabo un cargo económico4
• Fraude del CEO: en este caso, el ciberdelincuente suplanta la identidad de un alto cargo de la empresa a fin de engañar al empleado encargado de efectuar los pagos. La forma para proceder con la suplantación puede ser tanto la utilización de una dirección de correo similar a la original o el hackeo de la cuenta de correo en cuestión del alto directivo. Por tanto, los estafadores solicitan que se realicen una serie de pagos a un tercero en el marco de una operación urgente y confidencial5.
4 ASOCIACIÓN ESPAÑOLA DE USUARIOS DE TELECOMUNICACIONES Y DE LA SOCIEDAD DE LA INFORMACIÓN, 2021. Suplantación digital, pág. 4.
5 Íbidem
Tal y como se puede observar, en ambos casos, las víctimas, bajo la creencia de estar actuando correctamente, facilitan los datos bancarios o realizan los pagos.
Expuesto lo anterior, resulta necesario distinguir dos grandes tipologías de fraudes digitales puesto que, como veremos, esto es el punto de partida para analizar las posibles vías de reclamación frente a terceros: el fraude digital perpetrado mediante un ataque informático o mediante la utilización de un soporte tecnológico (por ejemplo, correo o SMS).
En este sentido, estamos ante un ataque informático si se produce una intromisión ilegítima en el sistema informático de la víctima. Es decir, si se produce lo que comúnmente se conoce como hackeo, siendo este el mecanismo mediante el cual el ciberdelincuente suplanta la identidad.
Un ejemplo de ataque informático sería la introducción de un malware en el móvil u ordenador de la víctima que permita al ciberdelincuente tener acceso a la información personal deseada.
Por el contrario, cuando lo que se produce es una mera suplantación a través de un correo electrónico similar al original o una llamada haciéndose pasar por otra persona6, nos hallamos ante un fraude digital llevado a cabo mediante la utilización de la tecnología pero en el que no se ha producido ninguna intromisión. En estos casos, la víctima, bajo engaño y la creencia de estar actuando correctamente, facilita sus datos bancarios o realiza los pagos.
En consecuencia, el fraude digital sin intromisión no deja de ser como la suplantación de identidad tradicional por lo que el tratamiento de nuestros tribunales desde la óptica civil debería ser idéntico. La única diferencia es que a principios del siglo pasado engañaban a la víctima con un sombrero y unas gafas y ahora lo hacen con una dirección de correo electrónico parecida a la original.
En definitiva, no todo fraude digital implica necesariamente que se haya producido un ataque informático, por lo que habrá que analizar cada caso concreto en aras de determinar las vías y la procedencia para exigir responsabilidad frente a terceros.
6 Este tipo de fraude digital es conocido como vishing, definido por el Instituto Nacional de Ciberseguridad de la siguiente manera: un tipo de estafa de ingeniería social por teléfono en la que, a través de una llamada, se suplanta la identidad de una empresa, organización o persona de confianza, con el fin de obtener información personal y sensible de la víctima
El entendimiento de los tribunales civiles acerca de los fraudes
La lógica nos lleva a pensar que ante un fraude digital la víctima se dirigirá frente al estafador por la vía penal con el objeto de recuperar el importe defraudado.
No obstante, como ya anticipábamos, la realidad es que los fraudes realizados a través de sistemas informáticos enmascaran una dificultad para localizar a delincuentes ya que estos operan desde cualquier lugar del mundo y utilizan sistemas que impiden el rastreo.
A todo ello, hay que sumar los recursos económicos que hay que invertir, así como la dispar colaboración de las fuerzas y cuerpos de seguridad del estado y el tiempo necesario, si hay suerte, para dar con ellos.
Ante este escenario, las víctimas buscan alternativas, ajenas a la vía penal, para recuperar, todo o en parte, el importe defraudado. A continuación, analizaremos cuáles son estas vías y los argumentos sobre los que se sustentan.
La principal vía que utilizan las víctimas de los fraudes digitales para intentar recuperar el importe defraudado es la reclamación frente a las entidades bancarias en su condición de proveedor de servicios de pago. Todo ello, bajo el pretexto de que la operación no habría sido correctamente autorizada a causa de un fraude que, conviene recordar, resulta ajeno al banco.
En primer lugar, hay que traer a colación el marco normativo que regula el régimen de responsabilidad de las entidades prestadoras de servicios de pago respecto de la ejecución de órdenes de pago:
• Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior;
• Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (“Ley de Servicios de Pago” o (“LSP”) que derogó la Ley 16/2009, de 13 de noviembre, de Servicios de Pago (derogado por el Real Decreto).
En este sentido, la Ley de Servicios de Pago establece las siguientes premisas respecto de la autorización y responsabilidad por la ejecución de órdenes de pago:
• La operación de pago se entiende autorizada cuando el ordenante ha dado el consentimiento para su ejecución conforme al procedimiento pactado7.
• El proveedor de servicios de pago, cuando el ordenante niegue que la operación ha sido autorizada, tiene la carga de acreditar que la operación de pago fue autenticada, registrada y que no se vio afectada por ningún fallo técnico u otra deficiencia8.
• El registro de la utilización del instrumento de pago no es suficiente para acreditar que la operación de pago fue autorizada ni una actuación fraudulenta o con negligencia grave por parte del cliente9.
• El ordenante soportará todas las pérdidas derivadas de las operaciones de pago no autorizadas cuando haya actuado de manera fraudulenta o con negligencia grave10.
7 Art. 36.1 de la LSP: Las operaciones de pago se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución. A falta de tal consentimiento la operación de pago se considerará no autorizada. El consentimiento para la ejecución de una operación de pago podrá darse también por conducto del beneficiario o del proveedor de servicios de iniciación de pagos. El ordenante y su proveedor de servicios de pago acordarán la forma en que se dará el consentimiento, así como el procedimiento de notificación del mismo.
8 Art. 44.1 de la LSP: Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago.
9 Art. 44.2 de la LSP: A los efectos de lo establecido en el apartado anterior, el registro por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 41.
10 Art. 46.1 de la LSP: El ordenante soportará todas las pérdidas derivadas de operaciones de pago no autorizadas si el ordenante ha incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41. En esos casos, no será de aplicación el importe máximo contemplado en el párrafo primero.
El entendimiento de los tribunales civiles acerca de los fraudes
• La entidad es quién tiene la carga de probar que el usuario del servicio de pago actuó de forma fraudulenta o con negligencia grave11.
Por tanto, al amparo de la Ley de Servicios de Pago, se produce una inversión de las reglas de la carga de la prueba y la entidad bancaria debe probar que: (i) la operación de pago fue debidamente autorizada y (ii) en su caso, que existió fraude o negligencia grave del usuario.
Al amparo de la citada normativa, vamos a analizar el tratamiento e interpretación que hacen nuestros tribunales de estas reclamaciones en función de la tipología de fraude digital:
(i) Fraude del CEO
El fraude del CEO consiste en engañar al empleado encargado de los pagos de la compañía para que realice una transferencia a través de la suplantación de identidad del CEO.
La suplantación se suele producir a través de la utilización de medios informáticos como, por ejemplo, un correo electrónico similar al original. En consecuencia, el empleado, bajo la creencia de estar actuando correctamente, ordena una serie de transferencias a la entidad bancaria por los cauces habituales y pactados.
En este sentido, la jurisprudencia es partidaria de desestimar este tipo de reclamaciones bajo el pretexto de que el fraude resultó ajeno a la entidad bancaria y la operación de pago fue debidamente autorizada ya que siguió los trámites habituales pactados con la compañía y éste vino motivado por la ausencia de controles internos por parte de la compañía.
Entre otras, podemos referir la Sentencia de la Audiencia Provincial de Madrid, Sección 18ª, núm. 28/2022, de 27 de enero que desestimó el recurso de apelación interpuesto por parte de una compañía que había sido víctima de una estafa del fraude del CEO al amparo de la Ley de Servicios de Pago por las siguientes razones:
• La conducta culposa de la estafa no provino por parte de la entidad, sino de la demandante por su falta de control interno.
11 Art. 44.3 de la LSP: Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave.
• El método empleado para llevar a cabo la operación era un mecanismo utilizado, reconocido y autorizado por las partes para realizar transferencias.
• La entidad bancaria actuó conforme al deber de diligencia que le resultaba exigible dado que cotejó la firma que figuraba en las órdenes con la registrada en su base de datos y tras ello, confirmó telefónicamente las transferencias fraudulentas con la persona de referencia de la compañía.
Por tanto, dado que el fraude resulta ajeno a la entidad bancaria, ninguna responsabilidad se le puede achacar al amparo de la Ley de Servicios de Pago en la medida que ésta se limita a tramitar las órdenes de pago bajo los procedimientos pactados entre las partes. No podemos obviar que el engaño recae directamente sobre el empleado encargado de realizar los pagos.
Cuestión distinta sería que el banco, al margen del fraude, hubiera infringido el procedimiento para la autorización de las órdenes de pago (p. ej. firma mancomunada, no confirmación de la operación, etc.). No obstante, este supuesto no es objeto de este artículo.
A pesar de la claridad del criterio para enjuiciar el fraude del CEO, la posición de los tribunales en relación con el resto de los fraudes digitales como el phishing o el smishing es distinta.
Todo ello, en nuestra opinión, porque se parte de una premisa errónea fruto del desconocimiento acerca de su naturaleza y funcionamiento.
El phishing o el smishing (como el fraude del CEO) son una mera suplantación de identidad a través del uso de las nuevas tecnologías (correo o sms). El objetivo del delincuente sigue siendo robar información privada o realizar un cargo económico y para alcanzar su objetivo envían archivos infectados o enlaces a páginas fraudulentas12. El hecho de que haya un componente informático no debe alterar el criterio.
En estos fraudes, al igual que sucede con el fraude del CEO, el usuario, bajo la creencia de estar actuando correctamente, facilita al estafador sus credenciales y el resto de los datos para poder efectuar los pagos. Dicho en términos informales, el cliente “pica en la trampa” del estafador y le
12 ASOCIACIÓN ESPAÑOLA DE USUARIOS DE TELECOMUNICACIONES Y DE LA SOCIEDAD DE LA INFORMACIÓN, 2021. Suplantación de identidad digital, pág. 4.
El entendimiento de los tribunales civiles acerca de los fraudes
da todo lo que necesita para que pueda ordenar o realizar pagos desde su cuenta o tarjeta.
No obstante, la jurisprudencia menor, de forma más o menos generalizada, está apreciando la responsabilidad de las entidades bancarias porque considera que: (i) las operaciones no se pueden considerar autorizadas al no haberse realizado personalmente por éste y (ii) no se acredita de forma fehaciente la negligencia grave por parte del cliente.
En primer lugar, hay que recordar que el artículo 36.1 de la LSP dispone que “las operaciones de pago se consideran autorizadas cuando el ordenante haya dado el consentimiento en su ejecución” y continúa añadiendo que “el ordenante y el proveedor de servicios de pago acordarán las formas en que se dará ese consentimiento”.
Por tanto, imaginemos que el banco y el cliente han pactado que para realizar una transferencia bancaria hay que cumplir los siguientes pasos:
• Paso 1: Acceder a la banca online con el usuario y clave.
• Paso 2: Poner el número clave de firma digital.
• Paso 3: Ejecutar una doble confirmación a través del envío de una clave por SMS.
Es decir, al amparo del artículo 36.1 de la LSP, estos son los pasos que las partes han pactado para que el cliente pueda prestar su consentimiento y, en consecuencia, que la operación de pago se considere debidamente autorizada.
El hecho de que el cliente no haya realizado personalmente estos pasos porque haya facilitado al estafador los datos necesarios para obtener esos datos, no puede suponer que la operación no se considere autorizada porque, recordemos, el banco es ajeno a ese engaño.
Es el mismo supuesto que aquel en el que el cliente dejó apuntado el pin a la vista de un tercero o bien bajo amenaza se lo proporcionó.
Por tanto, la concepción del consentimiento debe ser interpretada por nuestros tribunales conforme lo dispuesto en la Ley de Servicios de Pago y la sana crítica. En nuestra opinión, no es dable que el simple hecho de que el cliente afirme que no realizó operación sirva per se para concluir que la operación no está autorizada.
En consecuencia, si la entidad bancaria logra acreditar que se han seguido todos esos pasos y que sus sistemas no se han visto comprometidos, la operación de pago debería considerarse autorizada y, por ende, eximirle de responsabilidad.
En segundo lugar, la acreditación de la negligencia grave del cliente como causa de exoneración de la responsabilidad respecto de operaciones no autorizadas se configura como una prueba diabólica para las entidades bancarias.
Nótese que se exige a los prestadores de servicios de pago que acrediten que el propio cliente no custodió debidamente sus claves de acceso, que las facilitó a un estafador a través de la técnica del phishing o smishing, etc.
Resulta patente que nos hallamos ante cuestiones probatorias que escapan del alcance de las entidades bancarias y, por el principio de facilidad probatoria, deberían recaer sobre el propio cliente. Sin embargo, la configuración legal es clara en este sentido.
Por tanto, la responsabilidad de las entidades bancarias derivada de los fraudes como el phishing o el smishing es una cuestión incipiente que se encuentra en auge y, sin lugar a duda, requerirá de un pronunciamiento por parte del Tribunal Supremo que clarifique y determine su alcance a través de una correcta interpretación de la Ley de Servicios de Pago.
Otra de las alternativas con las que cuentan, sobre todo las empresas, para garantizar la recuperación de los daños derivados de esta tipología de fraudes digitales es la contratación de una póliza de seguros que cubra tales contingencias.
En este caso, nos referimos a las llamadas pólizas de riesgos cibernéticos que pueden llegar a asegurar las pérdidas derivadas de este tipo de fraudes.
La conveniencia de contratar estos seguros es evidente, debido, no solo al notable incremento de ciberataques, sino también porque los riesgos cibernéticos no están cubiertos por las tradicionales pólizas de daños.
No obstante, tal y como reconoció D. Francisco Pérez Bes, exsecretario general del Instituto Nacional de Ciberseguridad en el sector es algo sabido que existe polémica entre el alcance de la cobertura de estos seguros y las expectativas de las compañías13 .