Sobre el fraude en el número de cuenta bancaria
Aunque el hackeo de la cuenta de una empresa puede parecer algo que solo le sucede a “personas descuidadas”, la realidad es que es mucho más común de lo que se piensa, y ha tenido un incremento importante en los últimos años. Un gran porcentaje de pequeñas y medianas empresas han sufrido este tipo de estafas, y hay un motivo claro: el uso de herramientas digitales para almacenar datos sensibles de la empresa y, sobre todo, para realizar los pagos a sus proveedores.
La falta de conocimientos sobre cómo prevenir este tipo de hackeos tan sencillos, y el gran flujo de documentos infectados que reciben estas empresas han contribuido a desarrollar la que se conoce como una de las técnicas más populares de la ciberdelincuencia: los fraudes de facturas a través del correo electrónico, mejor conocida como “Man in the Middle” o “El Hombre en el Medio”. La técnica consiste, básicamente, en mandar correos infectados, hasta que se abra uno, dándole acceso al ciberdelincuente a nuestro correo de empresa. Una vez dentro, se interceptan correos en donde se cierran acuerdos y la empresa está a punto de realizar un pago, para realizar una de dos cosas:
- Introducirse en el ordenador del cliente, modificando la cuenta bancaria aportada en el fichero pdf de la factura del propio proveedor.
- O, la forma más común: crear una dirección de correo electrónico prácticamente idéntica a la de la empresa, suplantándola y haciendo creer al deudor que debe realizar la transferencia en otra cuenta (la del ciberdelincuente).
En cualquiera de los casos, el éxito de esta estafa recae en que, desde que el deudor ejecuta el pago, generalmente pasa algún tiempo, hasta que el proveedor vuelve a requerir el pago, y se dan cuenta de la estafa demasiado tarde, cuando el dinero ya ha desaparecido. De estos hechos, se derivan consecuencias jurídicas tanto penales como civiles. En este artículo, vamos a centrarnos en las civiles.
Responsabilidad objetiva de la entidad bancaria
Conociendo ya en qué consiste esta estafa, es importante saber hasta qué punto se puede hacer responder a la entidad bancaria por permitir la realización de esta transferencia al titular equivocado. Localizar al hacker puede llevar mucho tiempo, si es que se llega a conseguir.
Vamos a revisar algunas resoluciones de las Audiencias Provinciales para una mejor perspectiva sobre estos casos.
La primera es la Sentencia de la Audiencia Provincial de Alicante 632/2018, la cual resuelve el caso de Dª Verónica, quien demandó a la entidad Caixabank S.A., como sucesora de Barclays Bank S.A. banco en el cual tenía la demandante, al momento de los hechos, una cuenta corriente, y acceso a la banca online. Argumentó en su demanda Dª Verónica que la entidad bancaria había incumplido sus obligaciones contractuales y extracontractuales, debido a la deficiente gestión del fraude informático que sufrió por el método phishing. El daño de la demandante ascendió a 8.400 euros en transferencias no autorizadas.
El domingo 4 de octubre de 2009, la demandante ingresó a un portal que creía era su área de la plataforma virtual mediante su e-mail para realizar una transferencia de 150 euros. La aplicación le dio fallos “técnicos” al momento que colocar las coordenadas de su tarjeta bancaria, que le impedían concretar la transferencia. Al día siguiente, el 5 de octubre de 2009, el marido de la demandante, D. Rafael, dijo a la empleada del banco, que su esposa había intentado repetidamente realizar una transferencia, y que al colocar las coordenadas daba error. La empleada del banco le explicó que probablemente se trataba de un error técnico, y le ayudó a ingresar en la plataforma legítima, logrando realizar la transferencia con tranquilidad. El viernes 9 de octubre la demandada se dio cuenta del fraude al ver en su cuenta la extracción por 8.400 euros.
El banco intentó defender la responsabilidad de la demandante, alegando que actuó de forma “negligente” al ignorar las recomendaciones del banco a sus clientes sobre la seguridad y el uso de sus coordenadas.
El Tribunal consideró en este caso no existía una actuación negligente por la demandante. Además, se afirmó en la doctrina ya existente sobre la responsabilidad cuasi-objetiva del banco con respecto a la seguridad de las operaciones bancarias.
Menciona la sentencia, a modo de resumen, que: “(…) conforme a la doctrina jurisprudencial en materia de phishing la responsabilidad de la titular de la banca online es de naturaleza cuasi objetiva, derivada de la exigencia a la entidad titular del servicio online de adoptar medidas de seguridad necesarias y renovables ante los distintos modos de fraude informático, en modo tal que salvo que se acredite la negligencia grave por parte del usuario de la banca electrónica, la entidad financiera debe responder del reintegro de los importes obtenidos de forma fraudulenta”.
Cuando un cliente realiza una orden de pago, explica la sentencia, se debe entender como una declaración de voluntad o mandato en virtud del cual el banco asume la realización de esa transacción por cuenta del cliente. Por ello, es fundamental que la entidad implemente las medidas necesarias mediante las cuales el cual el ordenante prestará el consentimiento (su firma o autorización), y que estas medidas le permitan autentificar la orden, en especial si se ejecutan por internet.
La Audiencia resolvió que “(…) La falsedad de la transferencia (es decir, que el ordenante no sea el titular de la cuenta) es un riesgo a cargo del banco porque, en principio, el deudor solo se libera pagando al verdadero acreedor por lo que, si el banco cumple una orden falsa, habrá de reintegrar en la cuenta correspondientes las cantidades cargadas. (…)”. Así, para librarse de esta responsabilidad, tiene el banco el cargo de la prueba de su diligencia, tal como establece el citado Artículo 44 de la LSP: “cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá a su proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud, y que no se vio afectada por un fallo técnico o cualquier otra deficiencia (….)”
Este argumento nos ayudará introducir la siguiente Sentencia de la Audiencia Provincial de Barcelona 491/2007, la cual resuelvió el caso de dos transferencias de montos elevados (5.548,28 y 4.556,60 euros) realizadas por el demandante, Hopal S.A., destinadas al pago de unos servicios prestados por la empresa Climar Jaen S.L. Las transferencias nunca llegaron a su destino, pues por error fueron depositadas en la cuenta bancaria del demandado D. Cristobal, en la entidad bancaria Caja General de Ahorros de Granada. Así, la empresa demandante reclamó a ambos, a la entidad bancaria y a D. Cristóbal, la cantidad de dinero ingresada, de la cual el demandado ya había dispuesto.
Lo que debía resolver esta sentencia era si el banco estaba o no obligado a contrastar la identidad del titular de la cuenta de destino con la destinataria de la transferencia, antes de realizar la operación, y permitir que ese destinatario – que puede ser erróneo – dispusiera de los fondos transferidos. En este caso, la Audiencia apreció una concurrencia de culpas en la causación del perjuicio, haciendo al banco responsable de la mitad del pago.
Más allá de lo que ya hemos explicado respecto a la responsabilidad cuasi-objetiva, la sentencia se adentró en la consignación del nombre del beneficiario en la transferencia, ya que la entidad bancaria alegaba que este no era un dato obligatorio, sino opcional, por lo cual no tenían obligación de corroborarlo.
“(…) las entidades adheridas al sistema serán responsables, como entidades receptoras, de abonar correctamente cada transferencia al beneficiario, de acuerdo con la información recibida en la transmisión. La apelante recibió información sobre la beneficiaria de las transferencias y, sin embargo, las abonó en una cuenta de la que no era titular dicha beneficiaria, de lo que nacería la responsabilidad.
Si se consideran las cosas desde la perspectiva de la instrucción de constante referencia puede pensarse que, en efecto, para la entidad demandada no nacería responsabilidad del hecho de no haber comprobado la titularidad de la cuenta en que abonó el dinero. Pero a la demandada se le facilitó la identidad de la beneficiaria de las transferencias. No sabemos en qué forma, según se ha expuesto, pero se le facilitó. (…) Por tanto, la identidad de la beneficiaria consta en la información transmitida y lo cierto es que la Caja de Granada no abonó las transferencias de acuerdo con esa información.”
Responsabilidad del deudor: ¿Hay o no liberación o no del pago en estos casos?
¿Qué ocurre con la persona que ha realizado el pago, con toda la buena fe, y viéndose engañado, sigue teniendo esa deuda? ¿Ese pago tiene algún valor?
La Sentencia de la Audiencia Provincial de Salamanca de 4 de noviembre de 2022 se refiere a varias sentencias para resolver el caso que le ocupa, que tiene que ver justamente con la liberación del pago del deudor.
Brevemente, los hechos se resumen en un típico caso de man in the middle, en el que las empresas Agrocosat (demandante) y Productos Ibericos Gomez Robles S.L. (demandada) acordaron un contrato de compraventa el 16 de mayo de 2002, en el cual la demandante vendió a la demandada 140 cerdos ibéricos/cebo por el precio de 34.202,20 euros. Al momento de la emisión de la factura, los correos electrónicos de la demandante se encontraban manipulados por un hacker/tercero no identificado, el cual interceptó la comunicación entre las empresas, aportándole un número de cuenta erróneo, en el cual la demandada realizó el pago.
¿Dicho pago tiene efecto liberador, o esto no libera al deudor de la obligación del pago del precio? Para la Audiencia, el pago debe de hacerse a la persona en cuyo favor estuviere constituido la obligación o a un autorizado a recibir en su nombre (Art 1163 de Código Civil); sin embargo, al Art. 1164 CC establece que “tienen efecto liberador los pagos efectuados de buena fe al que estuviera en posesión del crédito, es decir, al acreedor aparente.”
Esto parece encajar en el supuesto, pero la jurisprudencia no deja a libre interpretación lo que significa estos “pagos de buena fe”. Para entender que nos encontramos en este supuesto, se requiere que: “(…) quien se presenta y actúa como acreedor lo haga con una apariencia adecuada, razonable, objetivamente verosímil, revestido de unas circunstancias que, con independencia de móviles subjetivos del que pagó, de su simple error o creencia, sirvan de justificante a su buena fe al pagar a persona distinta del acreedor, porque aquí no se presume la buena fe, cual ocurre en términos generales y ha de probarla en cada caso concreto (…)”.
Básicamente, se le exige al deudor desplegar una actividad acorde con la diligencia exigible o debida, a fin de cerciorarse de que, quien aparece como acreedor, lo es en realidad, y se comporta como tal. Esto no ocurrió, al menos en este caso, ya que había múltiples indicios que un empresario no debió pasar por alto al momento de realizar el pago: cambios en la forma de escribir de los e-mails del “hacker”, tamaño de fuente y el tabulado, y premura con la que solicitó la recepción del pago en esa cuenta. El cambio repentino de los datos era indicativo de que se trataba de una actividad inusual y sospechosa. Esa falta de diligencia hizo que se estimase la demanda de Agrocosat para que se le hiciese el pago.
Conclusión
La empresa que ha sufrido el fraude debe estar en condiciones de demostrar que ha actuado con toda la diligencia exigible, para poder tener posibilidades de éxito en su reclamación.
