Tabla de contenidos
Responsabilidad del banco en en servicios de pago y operaciones no autorizadas
En este artículo, revisamos los criterios del Banco de España sobre los servicios de pago en operaciones no autorizadas y la responsabilidad de los proveedores de servicios de pago. Nos hemos basado en la Memoria de Reclamaciones del Banco de España del año 2021.
Régimen sobre servicios de pago en operaciones no autorizadas
La normativa sobre servicios de pago regula un sistema de derechos y obligaciones aplicable a proveedores y usuarios de servicios de pago. Este sistema delimita las consecuencias jurídicas de las operaciones de pago no autorizadas, fijando en estos casos las responsabilidades tanto de los usuarios como de los proveedores de servicios de pago. Entre sus particularidades, cabe señalar las siguientes:
- Este sistema se aplica a cualquier dispositivo personalizado empleado por el usuario del servicio de pago para iniciar una orden de pago, desde tarjeras de pago hasta libretas de ahorro.
- Se fija un plazo máximo general de 13 meses desde la fecha del adeudo para comunicar a la entidad que se ha producido una operación no autorizada o ejecutada de manera incorrecta.
- En operaciones de pago no autorizadas, el límite de responsabilidad del ordenante se aplicará, en su caso, cuando el instrumento de pago hubiera sido extraviado, sustraído o se lo hubiera apropiado indebidamente un tercero, sin que en la pérdida de la posesión hubiese mediado violencia o intimidación.
- El régimen de responsabilidad previsto en el sistema no se aplicará al dinero electrónico si la entidad emisora no estuviese capacitada para bloquear la cuenta o el instrumento de pago.
- Cuando el usuario no tenga la condición de consumidor ni de microempresa, las partes pueden acordar que no resulten de aplicación determinados preceptos del sistema.
Distinción entre operaciones autorizadas y no autorizadas
Las operaciones autorizadas son aquellas en las que, por ejemplo, el usuario realiza pagos, ya sea con tarjeta (física o vinculada a una aplicación de pago móvil) o por transferencia (ordinaria, inmediata, en cajero automático, etc.), en la creencia de que estaba comprando (o vendiendo) un producto anunciado en una página web, arrendando un inmueble o contratando un servicio. No obstante, después de realizar el pago, a menudo dicho usuario se da cuenta de que ha podido ser víctima de una posible estafa. Ello debido a que no recibe el bien adquirido, no existe el bien inmueble alquilado, el receptor del pago lo ha bloqueado y ya no contesta a sus llamadas, etc.
En estos casos, la operación fue autorizada correctamente, de forma presencial o telemática, con los elementos de autenticación y autorización previstos al efecto, cursándose instrucciones a la entidad en ese sentido. Por consiguiente, en principio, la orden de pago no se podría revocar sin autorización del beneficiario del pago. Por su parte, la valoración de la posible existencia de un vicio en la formación del consentimiento del usuario no pertenece al ámbito de competencias del Banco de España. Así, esta valoración debe ser determinada, de entenderlo así las partes, por los órganos judiciales.
En las reclamaciones analizadas por el Banco de España durante el año 2021, se ha observado un aumento de expedientes en las que intervienen técnicas empleadas por ciberdelincuentes: el phishing (por correo electrónico), el vishing (de forma telefónica) o el smishing (vía SMS).
Mediante estas técnicas, los ciberdelincuentes se hacen pasar bien por entidades financieras, por organismos públicos o por empresas de reconocida trayectoria, suplantando su identidad y solicitando a las potenciales víctimas determinados datos personales y bancarios. Para poder conseguirlo, estos ciberdelincuentes emplean enlaces aparentemente inofensivos, pero, en realidad, maliciosos, que redirigen a páginas web con la misma apariencia que las de entidades oficiales. Los pretextos que se utilizan son diferentes: evitar el supuesto bloqueo de la cuenta o de una tarjeta, prevenir un inexistente pago fraudulento, realizar un pago de escasa cuantía por la prestación de un servicio, o permitir la supuesta devolución de un importe debido por la Seguridad Social o la Agencia Tributaria. Todo ello, con el objetivo de lucrarse, realizando estas operaciones de pago a cargo de la víctima.
Otra tipología de actividad delictiva, más elaborada, consiste en el duplicado de la tarjeta SIM o SIM swapping. El procedimiento empleado por los estafadores en estos casos comienza por la obtención de datos de la potencial víctima por diferentes vías: a través de una página web falsa, con métodos de ingeniería social o con un ataque informático al teléfono móvil, entre otros. A continuación, solicitan a las operadoras de telefonía móvil un duplicado de la tarjeta SIM, de manera que, normalmente, la original queda bloqueada. Con la nueva tarjeta, pueden recibir los SMS con las claves de autenticación reforzada de un solo uso enviadas por la entidad financiera de la víctima; estas contraseñas se conocen como OTP: “one-time password”. Llegados a este punto, los estafadores también pueden resetear las contraseñas de acceso a la banca electrónica de la víctima, pudiendo contratar nuevos productos financieros a su nombre, ordenar pagos con tarjeta o hacer transferencias.
Para evitar ser víctimas de este tipo de estafas, el Banco de España recomienda a los usuarios de servicios de pago extremar las precauciones a la hora de dar credibilidad a las comunicaciones de este tipo que puedan recibir en sus dispositivos (teléfono fijo, móvil, ordenadores, etc.). Por ello, es recomendable consultar con las entidades financieras, o con las presuntas empresas o entidades remitentes, la veracidad de estas comunicaciones, sin emplear, para ello, los enlaces incluidos en los mensajes. Esto se debe a que no es habitual que estas entidades pidan datos bancarios ni personales por ninguna de estas vías.
Notificación de operaciones de pago no autorizadas o ejecutadas incorrectamente
Cuando un usuario de servicios de pago (por ejemplo, el titular de una tarjeta o el ordenante de una transferencia) tenga conocimiento de que se ha producido una operación no autorizada o ejecutada incorrectamente, deberá comunicarlo a la entidad, sin tardanza injustificada.
Salvo en aquellos casos en los que el proveedor de servicios de pago no hubiese proporcionado o puesto a disposición del usuario la información sobre la operación de pago, la comunicación a la entidad deberá producirse en un plazo máximo de 13 meses desde la fecha del adeudo (art. 43 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago, en adelante, RDLSP).
Prueba de la autenticación y de la ejecución de las operaciones de pago
En caso de que un usuario de servicios de pago niegue haber autorizado una operación de pago o manifieste que se ejecutó de manera incorrecta, la entidad deberá demostrar que la operación fue autenticada, registrada con exactitud y contabilizada. Asimismo, corresponderá a la entidad probar que la operación tampoco se vio afectada por un fallo técnico o cualquier otra deficiencia (art. 44 del RDLSP).
A través del análisis de las reclamaciones recibidas, el Banco de España ha observado que, en estos supuestos, las entidades suelen pedir a los usuarios la presentación de un formulario en el que faciliten determinados datos relativos a la operación de pago controvertida, así como la aportación de la correspondiente denuncia policial. Según el Banco de España, nada se puede objetar respecto a esta conducta, pues la información solicitada por las entidades resulta de razonable exigencia para la reclamación de la operación ante los proveedores de estos servicios.
Ahora bien, si durante la tramitación de estos expedientes las entidades realizan algún abono en la cuenta de sus clientes (relacionado con el importe de la operación reclamada), el Banco de España considera que debe informarse previamente a los clientes de la provisionalidad de estos pagos. Así, de este modo, los usuarios conocen la posibilidad de que el importe de la operación se puede volver a cargar en su cuenta tras llevarse a cabo las correspondientes averiguaciones por parte de las entidades.
Asimismo, el Banco de España estima que un eventual cargo posterior, una vez comprobada la correcta autenticación de las operaciones y aportada la oportuna documentación, no debería demorarse excesivamente en el tiempo, de modo que dicho cargo no resulte sorpresivo para los clientes.
Por último, para el Banco de España, una actuación acorde con las buenas prácticas bancarias pasa por que el Servicio de Atención al Cliente de las entidades facilite a los usuarios, en el seno de las correspondientes reclamaciones, documentación acreditativa de la correcta autorización y/o ejecución de la operación de pago en cuestión.
Responsabilidad del proveedor de servicios de pago en operaciones no autorizadas
En supuestos de operaciones de pago no autorizadas, el proveedor de servicios de pago deberá devolver al ordenante el importe de la operación de pago inmediatamente o, a más tardar, al final del día hábil siguiente a aquel en que se le haya notificado. Así, el proveedor debe restituir la cuenta de pago al estado que habría tenido de no haberse producido la operación de pago no autorizada, a menos que la entidad proveedora tuviese motivos razonables de sospecha de la existencia de fraude. En estos casos, el proveedor de servicios de pago deberá comunicar dichos motivos por escrito al Banco de España (art. 45 del RDLSP).
A tal efecto, las entidades disponen de un trámite en la Oficina Virtual del Banco de España. A modo de ejemplo, pueden constituir algún indicio de sospecha la reclamación de operaciones de pago realizadas en un amplio periodo de tiempo o la reticencia del cliente a aportar cierta documentación necesaria para la tramitación de la solicitud, entre otros.
Todo esto, con independencia del derecho que asiste a las entidades proveedoras de servicios de pago de efectuar cuantas actuaciones estimen convenientes en defensa de sus intereses.
