¿Puedo reclamar al Banco en caso de sufrir una Estafa? (Phishing)
De un tiempo a esta parte, los Bancos han venido potenciando la Banca online, en detrimento de la clásica Banca presencial. Ello ha acarreado un ahorro en personal y la posibilidad de transacciones más ágiles, pero también se ha producido cierta deshumanización, así como un notable incremento de los riesgos que asumen los usuarios.
Paralelamente, y en consecuencia de lo anterior, también son cada vez más frecuentes los casos de estafa online. La modalidad más conocida es el phishing, que consiste en enviar correos, SMS o WhatsApp simulando proceder de la entidad bancaria, con el objetivo de engañar al usuario y hacer que este facilite sus contraseñas o datos personales. Una vez se consigue esta información, se extrae dinero de la cuenta corriente.
No cabe duda de que quien ha perpetrado la estafa deberá devolver, en caso de ser descubierto, el dinero que ha recibido ilícitamente. Ahora bien, no es menos cierto que suele ser muy difícil encontrar al culpable y que exista prueba suficiente para condenarlo, y que, además, tenga a su nombre fondos suficientes para cubrir el importe sustraído.
Requisitos para reclamar al Banco
Los usuarios tienen en su mano una alternativa más rápida y viable que reclamar al culpable: reclamar a la propia entidad financiera donde estaba depositado nuestro dinero.
Esta posibilidad está contemplada en el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago. Así, el artículo 45.1 de dicho Decreto dispone que en caso de que se ejecute una operación de pago no autorizada, el Banco devolverá al ordenante el importe de la operación no autorizada de inmediato y como máximo, al final del día hábil siguiente a aquel en que haya observado o se le haya notificado la operación. Como excepción, el Banco no estará obligado a restituir el dinero si tiene motivos razonables para sospechar la existencia de fraude.
A mayor abundamiento, el artículo 46 indica que el ordenante deberá asumir las pérdidas derivadas de haber actuado fraudulentamente o por haber incumplido sus obligaciones como usuario con negligencia grave o de forma voluntaria. A este respecto, las obligaciones que tiene el usuario son, fundamentalmente, proteger, adoptando todas las medidas razonables, las claves de acceso a la cuenta, así como, en caso de detectar una utilización no autorizada, notificar sin demora al banco dicha utilización.
Es decir, el Banco deberá devolvernos el importe sustraído siempre que la transferencia no haya sido consentida, salvo en los casos en que hayamos actuado fraudulentamente, que hayamos compartido negligentemente las claves de acceso o hayamos tardado demasiado en comunicar la incidencia al Banco.
Para demostrar que la transferencia no ha sido consentida, sino que ha sido fruto de un engaño, basta con informar inmediatamente al Banco de que se ha producido una transferencia no consentida. En este sentido, el artículo 44 del Decreto de servicios de pago establece que cuando un usuario niegue haber autorizado una operación de pago ya ejecutada, será el Banco quien deberá probar que el ordenante ha cometido fraude o negligencia, y que la operación no ha sido consecuencia de un fallo técnico. Dicho de otro modo, es el Banco quien tendrá que demostrar que la pérdida de dinero se ha producido por nuestra culpa, pues se presume lo contrario.
Una defensa habitual de los Bancos cuando se exponen a reclamaciones de este tipo es que la pérdida de dinero es causa de nuestra propia negligencia, ya que deberíamos haber comprobado la verdadera identidad del emisor del mensaje engañoso antes de compartir nuestras claves.
Este argumento suele ser rechazado por los tribunales, en base a que precisamente quienes utilizan estas artimañas saben cómo crear una seria apariencia de veracidad. Además, aunque pudiera considerarse una actuación negligente, no basta cualquier negligencia, sino que ha de ser “grave”. No es pues exigible a los usuarios que comprueben que no están siendo víctimas de una estafa.
Véase, por ejemplo, la Sentencia de la Audiencia Provincial de Badajoz, Sección 2ª, nº204/2024, de 6 de marzo:
“El solo hecho de ser engañado, de ser víctima, no implica la comisión de una grave negligencia. Al contrario, una vez corroborado el fraude, se disipa cualquier negligencia, y menos grave, porque en general nadie tiene culpa del engaño, salvo que sea patente o burdo, que no es aquí el caso.”
En esta misma línea se posicionó la Sentencia de la Audiencia Provincial de Cáceres, Sección 1ª, nº531/2023, de 28 de noviembre:
“la negligencia que determina la responsabilidad del cliente es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional. Pero es más, tomando como parámetro del actuar negligente el artículo 1104 del Código Civil, que exige la diligencia asociada a la naturaleza de la obligación y a las circunstancias personales, de tiempo y lugar, tampoco cabría calificar de negligencia grave la conducta seguida por Dña. Isabel en atención al método fraudulento empleado, de una complejidad y grado de perfección difícilmente detectable por un cliente de las características de la demandante, pues el mensaje que recibe el usuario imita perfectamente el diseño utilizado por su entidad bancaria , por lo que ni siquiera el texto del mensaje ( vas a registrar un nuevo dispositivo ) tiene entidad suficiente para detectar el engaño o fraude, pues una vez generada la confianza en el usuario de que se trata y encuentra ante su entidad bancaria , la propia dificultad del texto (que la propia recurrente subraya) induce a cliquear el enlace.”
Finalmente, la Sentencia de la Audiencia Provincial de Alicante, Sección 9ª, nº45/2024, de 29 de enero de 2024:
“Destaca el recurso de apelación que el propio Sr. Carlos Ramón reconoció en juicio su «negligencia», pero es que como ha quedado visto en palabras de la Directiva, no basta con cualquier falta de diligencia o precaución en la custodia de las credenciales personales, sino que debe darse una conducta significativamente negligente. De esta forma, «grave» sería la negligencia de quien toma la iniciativa a la hora de desproteger sus credenciales, o la negligencia de quien hace entrega de los datos y credenciales a un tercero que se muestra claramente como tal, como ajeno a la entidad bancaria mediante signos y evidencias suficientes de tal ajenidad. Pero no ostenta la misma «gravedad» relevante la negligencia de quien no actúa por iniciativa propia sino arrastrado por comportamiento fraudulento de tercero, mediante un mecanismo de fraude muy específico y complejo, y de difícil detección, en el que es fácil ser víctima de un engaño ante la apariencia y creencia de oficialidad de la entidad, sin embargo fraudulentamente aparentada por suplantación”.
¿Es necesario que atrapen al Estafador?
Para que pueda prosperar la reclamación no es necesario que un tribunal penal declare la existencia de un delito de estafa, ni mucho menos que se haya identificado al culpable. Como se ha visto, la normativa de servicios de pago establece que debe devolverse el dinero al usuario siempre que la transferencia no haya sido autorizada. En ningún momento se exige que la transferencia haya sido fruto de una estafa. Así lo recuerda la Sentencia de la Audiencia Provincial de Castellón, Sección 3ª, nº493/2013, de 19 de diciembre. En dicha resolución se indica que no procede suspender el procedimiento de reclamación al banco a la espera de lo que suceda en el procedimiento penal, ya que lo que se decida en el procedimiento penal es irrelevante, más allá de que, si se determina la responsabilidad penal de una determinada persona, el Banco podrá reclamar a este como responsabilidad civil el dinero que ha tenido que desembolsar a consecuencia de su delito. Sin embargo, la cuestión de la reclamación al Banco, al amparo de la normativa de servicios de pago, concierne exclusivamente al usuario y al Banco.
Fundamento de la Responsabilidad del Banco
Puede llamar la atención que en virtualmente casi todos los casos de estafa o phishing el Banco tenga que compensar al usuario, incluso con su propio patrimonio si no puede retrocederse la transferencia (que es la regla general, pues en el phishing la cuenta de destino suele vaciarse al momento). Esta obligación se fundamenta por un lado en el principio general del Derecho conforme al cual quien se lucra con una actividad que genera riesgos, debe asumir las consecuencias de dichos riesgos, incluso si ha actuado correctamente.
Pero además, se entiende que el Banco tiene la obligación de detectar movimientos anormales en las cuentas que pudieran sugerir que se ha producido una estafa (Reglamento Delegado 2018/389 de la Comisión, de 27 de noviembre de 2017), así como de rastrear páginas web fraudulentas o de establecer medidas de seguridad que imposibiliten que otra persona distinta del usuario real realice operaciones con su cuenta.
¿Cómo proceder y qué Documentación se necesita para reclamar?
Como se ha visto, resulta fundamental que se ponga inmediatamente en conocimiento de la entidad bancaria la existencia de movimientos no autorizados en la cuenta, preferiblemente, debería grabarse la llamada por si fuera necesario posteriormente aportar prueba de la comunicación inmediata.
Asimismo, debería interponerse también, a la mayor brevedad, una denuncia en la Policía, que sirve, además de para facilitar la captura del culpable, para acreditar que realmente hemos sido víctimas de un engaño.
Se recomienda conservar el mensaje recibido que ha ocasionado el engaño, sea correo electrónico, SMS, WhatsApp o cualquier otro.
A su vez, habrá de formularse una reclamación formal y por escrito al Banco, aportando la documentación necesaria. Si la reclamación es desestimada quedará la vía judicial.
A efectos del eventual procedimiento judicial, es recomendable disponer del contrato de cuenta corriente o el de Banca online que hayamos celebrado con la entidad.
En LEGEM Abogados contamos con Abogados especialistas en Derecho Civil, por lo que estamos a su disposición para cualquier consulta que nos quiera realizar en nuestros despachos de Abogados de Cerdanyola del Vallès o Barcelona.