La del Derecho Bancario es una de las ramas que más trabajo nos da a los abogados civilistas en nuestro día a día, ya sea defendiendo a las entidades bancarias o a los clientes de éstas. En los últimos tiempos, dentro del Derecho Bancario, los casos de estafas informáticas han ido ganando terreno a otro tipo de pleitos. Este tipo de estafas suelen denominarse por su vocablo inglés y, en genérico se las llama pishing, no obstante cada modalidad tiene su propio nombre.
¿Qué es el phishing?
Antes de continuar resulta conveniente realizar una definición de lo que es el phishing:
El phishing es una técnica de ciberataque donde los delincuentes se hacen pasar por entidades o personas legítimas (como bancos, empresas conocidas o contactos) para engañar a los usuarios y obtener información confidencial, como contraseñas, datos bancarios o información personal.
Los atacantes suelen utilizar varios métodos, como:
- Correos electrónicos que imitan a empresas reconocidas.
- Mensajes de texto fraudulentos.
- Sitios web falsos que copian la apariencia de los originales.
- Llamadas telefónicas.
Tras robar la información necesaria, que habitualmente son claves para autorizar operaciones, las ejecutan haciéndose con el dinero de los estafados.
¿Cómo se regula el phishing en Derecho Español?
En nuestro ordenamiento jurídico el phishing viene contemplado en el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (en adelante, la "LSP") y viene a determinar que las entidades bancarias son las responsables de afrontar las pérdidas que haya podido tener un cliente víctima de una de estas estafas.
Así, el artículo 45 de la LSP recoge el siguiente tenor literal:
1. Sin perjuicio del artículo 43 de este real decreto-ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada.
En segundo lugar, el artículo 46.1 de la LSP expone acerca de la responsabilidad del ordenante en caso de operaciones autorizadas que:
El ordenante soportará todas las pérdidas derivadas de operaciones de pago no autorizadas si el ordenante ha incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41. En esos casos, no será de aplicación el importe máximo contemplado en el párrafo primero.
Por último, dada la remisión del artículo citado en el párrafo precedente, será necesario analizar el contenido del artículo 41 de la LSP:
El usuario de servicios de pago habilitado para utilizar un instrumento de pago:
a) utilizará el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago que deberán ser objetivas, no discriminatorias y proporcionadas y, en particular, en cuanto reciba un instrumento de pago, tomará todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas;
b) en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, lo notificará al proveedor de servicios de pago o a la entidad que este designe, sin demora indebida en cuanto tenga conocimiento de ello.
Tal y como puede comprobarse de la lectura de los artículos 45, 46 y 41 de la LSP, la responsabilidad de las entidades bancarias y de los clientes está perfectamente delimitada sin siquiera tener que acudir a la lectura de la abundante jurisprudencia que existe al respecto. La LSP estipula varias reglas para que la responsabilidad por operaciones no autorizadas recaiga entidades bancarias:
- Que no exista autorización para la ejecución de la operación (ex artículo 45 de la LSP).
- Que no exista fraude (ex artículo 45 de la LSP).
- Que no exista negligencia grave (ex artículo 46 de la LSP)
- La negligencia grave se relaciona con un uso del instrumento de pago conforme a las reglas y a la toma de medidas razonables para su proteger las credenciales de seguridad (ex artículo 41 de la LSP).
- Que se comunique la incidencia tan pronto como se tenga conocimiento de esta (ex artículo 41 de la LSP).
En caso de que se cumplan los ítems previamente expuesto la responsabilidad por el importe transferido o abonado sin permiso del cliente será de la cuenta del banco. Esta interpretación de la LPS ha sido recientemente reforzada por la Sentencia de la Audiencia Provincial de Madrid núm. 81/2023 de 21 de febrero de 2023 (ECLI:ES:APA:2018:632):
“ha de concluirse que la responsabilidad establecida en dicho texto legal respecto de la entidad proveedora del servicio de pago es cuasiobjetiva, con inversión de la carga de la prueba, al presumirse la falta de autorización de la operación, si el titular lo niega. Sistema de responsabilidad civil que cesa cuando a tenor de los establecido en el artículo 46 del texto legal referido, el cliente ha actuado fraudulentamente o con negligencia grave a la hora de aplicar los medios razonables de protección de seguridad personificados de que haya sido provisto o en el caso de que no haya comunicado a la entidad el pago no autorizado en cuanto tenga conocimiento del mismo, siempre y cuando la entidad disponga de un sistema de comunicación adecuado, gratuito y disponible en todo momento que le permita al usuario del servicio efectuar la comunicación de la actuación fraudulenta”.
Abundando acerca de la responsabilidad resulta también interesante la lectura de la Sentencia de la Audiencia Provincial de Salamanca núm. 428/2021 de 21 de junio de 2021 (ECLI:ES:APSA:2021:500), que recoge lo siguiente:
En materia de responsabilidad civil por el uso fraudulento de este medio de pago, no es el titular de la tarjeta de crédito quien tiene que soportar los fallos de seguridad del sistema más allá de lo que le sea personalmente imputable. Pues, con independencia de que exista o no responsabilidad en su actuación cuando le es sustraída la tarjeta, hay actuaciones posteriores en la cadena de custodia dirigidas a evitar la disposición de los fondos” (énfasis añadido).
A juzgar por la falta de diligencia posterior de ING, que ni siquiera hizo los esfuerzos razonables para recuperar los fondos, parece que la responsabilidad es clara. No obstante, conviene seguir leyendo la Sentencia:
“Así, y teniendo en cuenta que este es la parte débil en un contrato de adhesión, al cliente sólo se le puede exigir una mínima diligencia (artículo 1104 del Código Civil) (…)
Pero, más allá de esta diligencia que es exigible al cliente, a la entidad bancaria le corresponde, desde una óptica de la teoría económica del Derecho, asumir los riesgos que conlleva la tarjeta en sí porque ella se lleva los beneficios (comisiones de uso, mantenimiento, recargos, intereses, reducción de volumen de trabajo a su personal, fidelización de la clientela, etc.; por todo ello las potencian); entre estos riesgos están las fugas de seguridad que la tarjeta pueda tener que puedan conllevar que sea utilizada fraudulentamente.
Y apostilla lo siguiente citando jurisprudencia de la Audiencia Provincial de Madrid:
Sobre las fugas de seguridad y la fragilidad del sistema que deben ser soportadas por la entidad emisora de la tarjeta se pronuncia la Sentencia de la Audiencia Provincial de Madrid de 7 de diciembre de 2000, rec. 216/2000, en un supuesto de utilización ilegítima de la tarjeta por haber sido capturada por un cajero automático manipulado: "es evidente que dicha utilización se corresponde con un fallo del sistema que permite a terceras personas manipular los cajeros automáticos, quebrando su seguridad hasta el extremo de que el mismo emite mensajes incorrectos que inducen a confusión a los usuarios, y si bien es cierto que esta situación se produce por la intervención fraudulenta de terceras personas, las responsabilidades que de estos eventos dimanen frente a los clientes es del banco emisor de la tarjeta, quien necesariamente deberá responder, en su integridad, de las consecuencias dañosas producidas, con independencia de que el cajero integrado en la red sea propiedad de otra entidad bancaria, circunstancia ésta irrelevante para el usuario, pues en el caso de que estos cajeros fueran por cualquier circunstancia más fácilmente manipulables -lo cual es una mera hipótesis sin soporte probatorio alguno-, o bien, no deberían de estar integrados en la red o cuando menos, "Banco E., S.A." debería advertir a sus clientes de los riesgos que tal utilización pudiera comportar, careciendo de razón el Banco apelante cuando impugna la puesta en entredicho de la seguridad del sistema, y ello porque ante los hechos reconocidos por la propia parte, se pone de manifiesto una fisura en el mismo que ha dado lugar, en el presente caso -que al parecer no es único cuando existe una dinámica fraudulenta perfectamente definida-, a un fallo en el sistema, con las consecuencias perjudiciales para la actora que la sentencia de instancia corrige, lo que obliga a la desestimación del recurso y a la confirmación de la sentencia de instancia". De todo ello debemos concluir que la responsabilidad inmanente a la emisión y uso de tarjetas de crédito corresponde a las propias entidades emisoras de dichas tarjetas (ya que fomentan el uso de un sistema más arriesgado que otros con más garantías pero menos ágiles, como los efectos de comercio) y sólo en el caso en que el titular de la misma incurriese en algún supuesto de falta de diligencia, debería ser responsable.
Llegados a este punto, y en tanto que en esta casuística se produce una inversión de la carga de la prueba tal y como se estudiará más adelante, no cabe más que concluir que será tarea del banco demostrar que no se cumple uno de esos puntos, ya que en principio el cliente tendrá la razón.
- De la inexistencia de autorización para la ejecución de las operaciones reclamadas.
En primer lugar procede estudiar si ha existido autorización o no, ¿cómo se hace esto? La LSP, en su artículo 36, nos deja una definición un tanto tautológica.
1. Las operaciones de pago se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución. A falta de tal consentimiento la operación de pago se considerará no autorizada. El consentimiento para la ejecución de una operación de pago podrá darse también por conducto del beneficiario o del proveedor de servicios de iniciación de pagos.
El ordenante y su proveedor de servicios de pago acordarán la forma en que se dará el consentimiento, así como el procedimiento de notificación del mismo.
Es por todos conocidos que los bancos utilizan un sistema de doble autenticación conforme a la LSP para que las operaciones queden debidamente autorizadas, sin embargo, como es normal dada la naturaleza del propio sistema, los tribunales han empezado a negar que la doble autenticación sea sinónimo de autorización por parte del titular de la cuenta o de la tarjeta.
¿Cómo funciona el sistema de doble autenticación? El artículo 3 de la LSP, lo define mediante el concepto de autorización reforzada afirmando que es aquella que:
basada en la utilización de dos o más elementos categorizados como conocimiento (algo que solo conoce el usuario), posesión (algo que solo posee el usuario) e inherencia (algo que es el usuario), que son independientes –es decir, que la vulneración de uno no compromete la fiabilidad de los demás–, y concebida de manera que se proteja la confidencialidad de los datos de identificación.
Así, la Audiencia Provincial de Cádiz, en su Sentencia núm. 474/2023 de 23 de noviembre de 2023 (ECLI:ES:APCA:2023:1943), afirma lo siguiente acerca de las autorizaciones en casos de estafas:
(...) tampoco en el VII en el que se refleja la autorización de movimientos, no habiéndose solicitado a la entidad de telefonía que aporte las comunicaciones del tipo que fueran que se supone fueron recibidas por la demandante en su teléfono; todo lo cual, consideramos que pone en evidencia que la parte demandada a la que le corresponde la carga de la prueba no ha demostrado que hubiera una debida autenticación de las operaciones pues no demuestra que todas ellas se realizaran a través del teléfono móvil de la demandante y tampoco ha demostrado ni por supuesto el fraude por parte de la actora ya que le reconoce que ha sido víctima de phishing y tampoco una negligencia grave de aquella pues fallaron los procesos reforzados para la autenticación de las operaciones.
En el mismo sentido, o si acaso de forma más contundente si cabe, se pronuncia la Sentencia de la Audiencia Provincial de Cádiz núm. 473/2023 de 23 de noviembre de 2023 (ECLI: ES:APCA:2023:1986):
Partiendo de los hechos que se han declarado probados y atendiendo a la normativa que regula esta materia, debemos concluir con la desestimación del recurso y confirmación de la sentencia de instancia por sus propios fundamentos en tanto que la demandada que tiene la carga de demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago e incluso que el cliente ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 41, no ha conseguido demostrar que la demandante incumpliera las obligaciones aludidas en el art. 41 y en particular que la operación fuera autenticada, debiendo indicarse al respecto que el certificado emitido por la Sra. Rosana como responsable y empleada de Rural Servicios Informáticos S.L., no es un informe pericial sino un simple documento privado de parte elaborado por una entidad del mismo grupo empresarial que la demandada, del mismo no resulta la autenticación del proceso que se certifica pues no se aporta el soporte que refleje el doble factor de autenticación al que se alude ni los momentos o segundos en los que hubieran tenido lugar.
Por tanto, el sistema autentica las operaciones, pero no es prueba de que haya sido autorizada mediante el expreso consentimiento del titular de la cuenta o medio de pago.
Son ya múltiples las Audiencias Provinciales que vienen haciéndose eco de lo anterior a la luz de las justificaciones de las entidades bancarias. Vale la pena leer en profundidad la Sentencia de la Audiencia Provincial de Navarra, núm. 223/2023 de 9 de marzo de 2023 (ECLI: ES:APNA:2023:493), la cual expone perfectamente las diferencias entre la autenticación de una operación y la prestación del consentimiento o la autorización de la ejecución de ésta:
En el caso que nos ocupa el primer motivo del recurso de apelación se limita a plantear que la transacción on line controvertida se encuentra válidamente autorizada por el demandante, en los términos de la LSP, por razón de que se ejecutó superando el doble filtro de “autenticación reforzada” establecido por la entidad, (…).
Para ello la recurrente se apoya en el certificado REDYS de la operación, en tanto el mismo verifica el procedimiento de pago seguido para validar que la utilización de la tarjeta se ha efectuado con autorización cliente (registra datos relativos a la compra, cuantía, comercio, fecha y autenticación). Defiende el recurso de apelación que en este caso el certificado REDYS acredita que la compra se llevó a cabo a través del doble sistema de autenticación, planteando que ello demuestra que la operación fue real y se ejecutó con el doble filtro de autenticación del cliente. Sin embargo no se comparte tal conclusión. El certificado sí verifica que la operación fue real. Pero no verifica necesariamente la identidad real del usuario ordenante. Es lo mismo que sucede con el documento nº 6 de la contestación a la demanda, que sirve para demostrar que la operación se validó en la aplicación “Caixabank now”, pero no sirve para corroborar la identidad del usuario que ejecutó tal validación, sustancialmente, y esto es realmente relevante, porque el documento certifica la remisión de un SMS para activar esa validación, pero no identifica el número de teléfono móvil al que se remitió tal comunicación, no existiendo prueba alguna, en definitiva, demostrativa de la activación de la compra por parte del demandante.
En definitiva, lo que está planteando el recurso de apelación es, solamente, que la operación está autenticada por el doble refuerzo instaurado por la entidad (y ello sin ni siquiera demostrar el factor de posesión porque no está probado que se remitiese a un móvil ni dispositivo del usuario el segundo mecanismo de validación de la compra en la aplicación “Caixabank now”). Por lo tanto, en ningún momento se demuestra que esté garantizada la identidad del usuario que ejecutó esa autenticación, siendo que, como antes ha quedado dicho, en el tenor de la norma la “autenticación” no sólo comprende la validez de la utilización de los antedichos filtros, sino también la comprobación de la identidad del usuario.
(…)
Es precisamente esa no autenticidad completa de la operación lo que omite el planteamiento del recurso de apelación: la operación habrá sido “autenticada” en términos de la LSP (que tampoco es así, porque no consta el factor de posesión como ha quedado dicho), pero lo que es elemento nuclear de este litigio es la “falsedad” de tal autenticación, en términos del art. 44 LSP (negación por el usuario de haber sido él quien ha autorizado la operación), escenario en el que recae la carga de la prueba en la entidad proveedora del sistema de pago.
Así, el sistema de autenticación, si no demuestra que el titular de la cuenta o medio de pago fue quien ejecutó la operación, resulta prácticamente irrelevante. Una operación autenticada no es sinónimo de una operación autorizada o consentida por el legítimo titular de la cuenta o del instrumento de pago.
La Sentencia de la Audiencia Provincial de La Coruña, núm. 364/2023 de 5 de octubre de 2023 (ECLI:ES:APC:2023:2483) también expone lo siguiente acerca del sistema de autenticación:
defiende el recurso de apelación que en este caso el certificado REDYS acredita que la compra se llevó a cabo a través del doble sistema de autenticación, planteando que ello demuestra que la operación fue real y se ejecutó con el doble filtro de autenticación del cliente. No obstante, ello no verifica la identidad real del usuario ordenante, es decir, se certifica la remisión de un SMS para activar esa validación, pero no identifica el número de teléfono móvil al que se remitió tal comunicación, no existiendo prueba alguna, en definitiva, demostrativa de la activación de la compra por la parte demandante.
Como colofón, la extraordinariamente lúcida y exhaustiva Sentencia de la Audiencia Provincial de Ourense 369/2023, de 9 de junio de 2023 (ECLI:ES:APOU:2023:522) dispone:
Ahora bien, no puede afirmarse que la aplicación de este sistema de autenticación implique por sí misma la exclusión de responsabilidad de la entidad bancaria, sino que, como se ha visto, ésta únicamente se producirá en caso de fraude o negligencia grave del usuario del servicio de pago.
Esta obligación de autenticación, impuesta a las entidades bancarias con el objetivo de reducir el riesgo de fraude, no agota su responsabilidad en el ámbito civil.
Por tanto, el banco tendrá que demostrar no que la operación fue autenticada, sino que fue autenticada por el propio cliente y no por un tercero. Esto puede hacerse indicando desde qué dispositivo se hizo, algo que no siempre recogen los sistemas de autenticación.
- De la inexistencia de fraude.
En lo relativo a la existencia de fraude, el banco deberá comunicar si tiene indicios de este al Banco de España de conformidad con lo dispuesto en el artículo 45 de la LSP. Lo habitual es que cuando se llegue a la fase judicial este periodo se haya superado, quedando fuera del pleito. En todo caso es, como se ha explicado ya, una situación que debe probar el banco.
- De la inexistencia de negligencia grave.
Cuestión distinta es la de la negligencia grave, concepto más nebuloso que se convierte en un campo de batalla entre bancos y clientes. Al respecto, conviene recordar que con base al artículo 44.3 de la LSP:
Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave.
En consecuencia, el artículo 44.3 de la LSP junto con el 217 de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil consagran la inversión de la carga de la prueba, correspondiéndole esta a la entidad bancaria.
Ahora bien, ¿cómo ha de interpretarse el concepto de negligencia? Resulta de especial interés la argumentación de la Sentencia de la Audiencia Provincial de Madrid núm. 372/2017 de 31 de octubre de 2017 (ECLI: ES:APM:2017:14634), que versa sobre un caso de phishing y en el que los magistrados no solo explican en qué consiste la estafa, sino que también valoran su complejidad y la dificultad que afronta un cliente normal cuando se enfrenta a ella:
Lo ocurrido al demandante fue consecuencia de "un abuso informático" lo que se denomina "pishing" que consisten en suplantar la identidad del banco por parte del phister con el fin de adquirir información confidencial sobre contraseñas de cuentas bancarias, tarjetas o cualquier otra información del sujeto con la entidad bancaria que le permita entrar en la cuenta del usuario en internet de banca electrónica.
El usuario de internet recibe un correo electrónico o cualquier otro tipo de mensaje, instantáneo, mediante el que se le informa de que debe cambiar claves bancarias, indicándole un link mediante el que acceder ala web de la entidad y allí realizar los cambios, y al hacerlo está facilitando los datos necesarios para después poder manejar por él las cuentas bancarias, o sus tarjetas, etc.
Las técnicas mayoritarias de pishing son "de engaño" contra la víctima que es el usuario, al que se le ofrece una apariencia de certeza, en este caso se le apertura una página igual o similar a la del Banco, no distinguible para él mismo.
Y debe indicarse que no es un sistema fácil sino complejo, que no es detectable por el particular usuario, aun teniendo instalados antivirus porque el tema más de uso de estos es de sistemas, para lo que se requiere algo más que tener cuidado y tener instalado tanto en el ordenador como en el móvil un antivirus.
En segunda instancia, es pertinente preguntarse también por la diligencia exigible a los usuarios y hacerlo también desde la perspectiva del consumidor, ya que la operativa bancaria viene impuesta por la entidad y el cliente, quiera o no, pueda o no, ha de ejecutarla sin error alguno. A este respecto resulta ilustrativa la Sentencia de la Audiencia Provincial de Alicante núm. 107/2018 de 12 de marzo de 2018 (ECLI:ES:APA:2018:632), la cual expone dónde debe ponerse el foco de la diligencia:
En el caso del precepto referenciado, en caso de pérdida, extravío, sustracción o uso por persona no autorizado, el deber del titular del instrumento no es otra que la de comunicar el hecho sin demora al proveedor de servicios que asume, desde ese momento y a salvo de que medie fraude por el titular del medio de pago, las consecuencias económicas por el uso del instrumento de pago, de donde cabe deducir que la obligación que asume el proveedor de servicios es la que inutilizar el medio o el instrumento para el medio, en modo tal que no resulte eficaz a través de la plataforma que dirige.
(…)
En efecto, no yerra la sentencia de instancia cuando considera que fue el banco quien incurrió en incumplimiento de sus obligaciones tras recibir el aviso de la transferencia fraudulenta por parte de la actora, siendo indiligente tanto en lo que hace a la detección del fraude como a la gestión de la incidencia y recuperación el dinero y su devolución, y ello teniendo en cuenta que no solo es comportamiento exigible por la naturaleza del servicio prestado y la posición que ocupa el prestador del servicio, sino porque además, es obligación contractualmente asumida, como resulta de la cláusula 7ª -obligaciones de las partes- apartado B.4 y de la tercera de las condiciones comunes de las condiciones generales del contrato de cuenta corriente, que venían a obligar al banco a suspender en estos casos el pago.
Resulta interesante a este respecto lo dispuesto por el artículo 1104 del Código Civil, que equipara la negligencia grave a la culpabilidad, lo que nos retrotraería al fraude.
Trascendental para calificar como negligencia grave el comportamiento del estafado resulta la Directiva 2015/2436. Con respecto a dicha norma, la Sentencia de la Audiencia Provincial de Madrid, 184/2022 de 20 de mayo de 2022 (ECLI:ES:APM:2022:7327):
Como se indica en la Directiva 2015/2436 la negligencia que le hace responder al cliente, es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que ha sido inducido por un delincuente profesional. Tampoco puede calificarse como grave dicho comportamiento conforme a la normativa del código civil, pues siendo exigible al demandante la diligencia que exija la naturaleza de la obligación y correspondan a las circunstancias de las personas, tiempo y lugar ( art. 1.104 del cc), el método fraudulento empleado – phishing- es de una complejidad y grado de perfección, difícilmente detectable por un cliente de las características del demandante, sin que la forma en que se denominaba al Banco en el SMS recibido o el error gramatical al emplear la palabro «lo» en lugar de «le», sean errores de entidad suficiente para detectar con base en ellos el fraude de que estaba siendo objeto. En esas circunstancias, era preciso ser un experto en la materia para poder detectar que la comunicación obedecía a una estafa o fraude.
- De la inmediata comunicación al banco.
Estas últimas sentencias ligan la diligencia a la celeridad con la que el estafado actúa a posteriori, y no tanto a lo que haya hecho antes o después de la estafa. No obstante, la ley es muy laxa con los clientes, ya que les otorga un plazo de hasta trece meses, tal y como recoge el artículo 43.1 de la LSP:
El usuario de servicios de pago obtendrá la rectificación por parte del proveedor de servicios de pago de una operación de pago no autorizada o ejecutada incorrectamente únicamente si el usuario de servicios de pago se lo comunica sin demora injustificada, en cuanto tenga conocimiento de cualquiera de dichas operaciones que sea objeto de reclamación, incluso las cubiertas por el artículo 60, y, en todo caso, dentro de un plazo máximo de trece meses contados desde la fecha del adeudo
En este caso, el banco debería demostrar que el cliente ha entrado en su aplicación o ha acudido a la oficina y, a pesar de ello, no ha sido consciente de las operaciones, lo que deja entrever una dejadez ciertamente negligente.
Conclusiones
Tal y como puede apreciarse, el cliente bancario tiene que cumplir una serie de requisitos que, por defecto, se dan por superados, correspondiéndole la carga de la prueba de lo contrario a los bancos. No obstante, las entidades tienen medios suficientes como para poner en jaque la estrategia de los abogados de los clientes, ya que estas estafas siempre parten de una negligencia, punto sobre el que suelen pivotar todas las defensas.
Incluso el ahora denostado sistema de autenticación puede ser prueba de una negligencia si requiere de una serie de datos que solo puede conocer un tercero mediante... negligencia grave. Asimismo, un retraso injustificado en la comunicación de la estafa podría decantar la balanza en favor de los bancos.
Lo que está fuera de duda y de cualquier pleito es que la LSP, que es de 2018, está empezando a quedarse atrás ante lo sofisticado de los ataques de phishing, smishing, spoofing telefónico, man in the middle, estafa del CEO, etc. Cada engaño tiene detrás una estrategia y unos medios que los hacen indetectables para los usuarios de a pie, quienes se quedan a merced de que el sistema de su entidad bancaria detecte la tentativa.
Urge, por tanto, ajustar la LSP sin perder de vista la Directiva de la que nace (obvio), y hacer pedagogía con los usuarios y con los bancos.