Fraude asistido. ¿Entregaste tus claves? ¿Negligencia grave?


Resumen: Facilitar o comunicar las claves o credenciales a un tercero puede ser negligencia grave.

Palabras clave: autenticación reforzada, negligencia grave, obligaciones del proveedor, obligaciones del usuario, fraude asistido, sentencias sobre fraude, servicios de pago, PSD2, Real Decreto Ley 19/2018, dar las claves, facilitar las claves, comunicar las claves, divulgar las claves, entregar las claves.


Abstract: Disclosing or providing private credentials to a third party could be a gross negligence event.

Key words: Strong Customer Authorisation, Gross negligence, Obligations of the Payment Service Provider, Obligations of the Payment Service User, Assisted fraud, fraud judgments, Payment services, PSD2, provide credentials, disclose credentials.


¿Entregar tus claves de banca electrónica es una negligencia grave? ¿Es responsable el banco? ¿Es responsable el usuario?

No existe una respuesta única. Siempre hay que mirar el caso concreto.

Por un lado, un proveedor de servicios de pago tiene actualmente varias obligaciones cuando procesa una operación de pago. 

En conjunto, el proveedor debe ejecutar la orden del usuario o cliente de manera correcta, también registrarla y contabilizarla, evitar que se vea afectada por fallos técnicos o deficiencias del servicio y lo que resulta relevante desde un punto de vista de seguridad, tiene que aplicarle por lo general (existen excepciones por bajo importe) un sistema particular de seguridad basado en dos factores que se denomina “autenticación reforzada” (SCA o Strong Customer Authentication, en inglés).
 
La autenticación reforzada exige, al menos, la utilización de dos factores distintos e independientes de entre los tres siguientes: algo que uno conoce (factor de conocimiento, como una clave), algo que uno tiene (factor de posesión) y algo que uno es (factor de identidad o inherencia, como la huella dactilar).
 
Como indica el Instituto Nacional de Seguridad (INCIBE) “autenticación reforzada” (es decir el uso de dos de esos factores) y “autenticación en dos pasos” no es lo mismo. “No hay que confundirlo con la autenticación en dos pasos en la que se utilizan dos factores del tipo «algo que sé» por ejemplo contraseña y un código que nos envían por SMS o email”.
 
La carga de la prueba sobre el cumplimiento de estos requisitos es del proveedor de servicios de pago ex art. 44 RDL 19/2018.
 
Pero el usuario también tiene obligaciones. El hecho de que el proveedor de servicios de pago tenga que demostrar que ha seguido las instrucciones del cliente, que la operación está registrada y contabilizada y que se aplicó autenticación reforzada supone que si esa prueba existe, entonces hay que analizar las obligaciones del usuario.

Las obligaciones del usuario de servicios de pago están establecidas en el art. 41 RDL 19/2018. Entre las mismas se incluye tomar “todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas
 
La Directiva (UE) 2015/2366 de Servicios de Pago 2 (PSD2) es muy clara sobre la esencialidad de la obligación de protección de las claves por el usuario.
 
El Considerando 69 indica “La obligación de preservar la seguridad de las credenciales personalizadas es de extrema importancia” y el 72 “A la hora de evaluar la posible negligencia o la negligencia grave del usuario de servicios de pago, deben tomarse en consideración todas las circunstancias” concretando que un ejemplo de negligencia gravesería el guardar las credenciales usadas para la autorización de una operación de pago junto al instrumento de pago, en un formato abierto y fácilmente detectable para terceros”.
 
Por tanto, cuando el usuario de servicios de pago pone sus claves a disposición de un tercero podría incurrir en negligencia grave. Esa puesta a disposición de las claves a favor de un tercero puede ser indirecta (como el ejemplo concretado por la Directiva). También el usuario puede facilitar directamente sus claves a un tercero. En este segundo caso el usuario está directamente asistiendo al defraudador. Estamos ante un caso de fraude asistido.

El fraude asistido es la manera de sortear el sistema de seguridad que aporta el método del doble factor o autenticación reforzada que debe aplicar el Proveedor de Servicios de Pago. Pero para que haya fraude asistido, es necesaria la colaboración activa del usuario que debe desvelar, no una sino dos veces, sus claves de seguridad o bien, incluso, autorizar personalmente la operación. Esta autorización es muy habitual cuando se utiliza el teléfono móvil del propio usuario en el procesamiento de la operativa. Primero el usuario facilita sus credenciales, incumpliendo su obligación legal de preservación, y luego autoriza personalmente la operación desde su teléfono móvil.

Esta reincidencia (desvelar hasta en dos ocasiones credenciales de seguridad) o bien la autorización de la operativa tras desvelar previamente claves, lo que permite iniciar la operativa de pago que luego autorizará personalmente, sitúa al usuario en un supuesto de negligencia grave.

Así, el fraude asistido, y la negligencia grave que entraña, es un motivo reconocido por algunas Audiencias Provinciales para eximir de responsabilidad al proveedor de servicios de pago.
 
A continuación algunos ejemplos,
 

Audiencia Provincial Zaragoza Sección 4. Sentencia de 27/05/2021
 
Roj: SAP Z 1235/2021 - ECLI:ES:APZ:2021:1235 Id Cendoj: 50297370042021100133
https://www.poderjudicial.es/search/AN/openDocument/2bc8dadb0d9b3557/20210817
 
CUARTO.- Los conflictos que se producen en estas operativas, la consumación de una operación realmente no autorizada por el usuario deben terminar resolviéndose realizando un juicio de ponderación de las circunstancias del caso, pues si bien, como se ha detallado, existe un deber de resultado a cargo del prestador del servicio de pago, por el contrario queda el mismo exonerado de toda responsabilidad si el cliente incurrió en una negligencia grave. Este será un extremo sobre el que pivotará en gran medida el recurso del usuario, el que resaltará que en la instancia se ha tildado de imprudente la actuación del mismo (o de quien estaba en su esfera de control).
QUINTO.- Pues bien las circunstancias del caso han sido adecuadamente ponderadas en la instancia. Aunque resultan algunas incertidumbres que el perito judicial detalló, es lo cierto y seguro que facilitar todos los datos que permitían la verificación y claves de la cuenta al defraudador, aunque fuera mediante la simulación que realizó el tercero, fue un comportamiento descuidado que causalmente fue determinante que los defraudadores pudieran acceder a mecanismos de suplantación, ahora de la identidad del usuario titular y ordenante, y hacer efectiva la orden de pago.
 

Audiencia Provincial de Mérida Sección 3. Sentencia de 30/12/2021
 
Roj: SAP BA 1677/2021 - ECLI:ES:APBA:2021:1677 Id Cendoj: 06083370032021100463
https://www.poderjudicial.es/search/AN/openDocument/423de6dc38053007/20220224
 
 
Segundo.- (…) En la reclamación al Banco Dª. Flor manifiesta que en una página idéntica a la del Banco le piden que verifique sus datos y le van pidiendo DNI, clave de acceso y firma electrónica, llegándosela a pedir dos veces cuando habitualmente el Banco solamente se la pide una vez y le solicita cuatro de los ocho códigos, de forma que quienes remitieron el mensaje se hicieron con los ocho, recibiendo unos quince minutos después la demandante un aviso de que había cambiado el teléfono de contacto desde la página web, para verificar que el cambio era correcto. La conducta de la demandante no puede sino calificarse de negligente, pues debió sospechar de la procedencia del correo y del requerimiento que le hicieron para que entregara sus claves, cuando es notorio, por público y conocido, que en la práctica existen abundantes intentos de fraude en la operativa de la Banca electrónica, sin que la sentencia recurrida entre a valorar que exista tal falta de diligencia por parte de la demandante. (…)
Tercero.- (…) conviene repasar el marco legal aplicable, constituido fundamentalmente por el Real Decreto-Ley 19/2018, de 23 de noviembre, de Servicios de pago. Entre las finalidades de dicho Decreto-Ley a ley se incluyen la de regular los derechos y obligaciones respectivas tanto de los usuarios de los servicios de pago como de los proveedores de los mismos (art.1.1). Dicha norma en su artículo 41 regula como obligaciones del usuario de servicios de pago en relación con los instrumentos de pago y las credenciales de seguridad personalizada las de utilizar el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago que deberán ser objetivas, no discriminatorias y proporcionadas y, en particular, en cuanto reciba un instrumento de pago, tomar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas (…)
CUARTO.- Poniendo en relación lo sucedido con las previsiones de la Ley de Servicios de Pago, no puede imputarse al Banco, sino a la titular de la tarjeta, el quebranto producido mediante las transferencias no consentidas, en la medida en que se ha producido una negligencia grave por parte de la demandante respondiendo a un correo irregular y no custodiando las claves que se le confiaron para garantizar la seguridad de la operativa de pagos, facilitándoselas a quienes han realizado las transferencias ilícitas, debiendo estimarse en ese sentido el recurso formulado
 
 
Audiencia Provincial de Vigo, Sección 6. Sentencia de 01/12/2020
 
Roj: SAP PO 2366/2020 - ECLI:ES:APPO:2020:2366 Id Cendoj: 36057370062020100529
https://www.poderjudicial.es/search/AN/openDocument/0601b11a33352f82/20210222
 
14 En la sentencia de primera instancia se estima probado que por los registros de la operación litigiosa ésta se realizó desde el dispositivo móvil del demandante, asociado al contrato de banca electrónica, desde su dirección IP y con marcado correcto del PIN que es elemento de seguridad, por lo que resulta ahora suficiente con indicar que tal apreciación encontraba fundamento en el contenido del informe de fraude CE 1036/2019 sobre la operación de pago que se había aportado con la contestación a la demanda (en el que tras recogerse el registro de instalación de la aplicación de banca móvil que se había realizado por el hoy demandante el día 4 de diciembre de 2018, y el registro de la operación de transferencia realizada el 3 de octubre de 2019, se concluye que la dirección IP de conexión desde laque se hizo la presunta operación fraudulenta es la habitual utilizada por el cliente; además el dispositivo móvil desde el que se hizo la operación, Huawei ATU L21 con sistema operativo Android, es también el mismo que el cliente venía utilizando de forma masiva desde diciembre de 2018, pues la única consideración que en el recurso se realizan sobre la realización de la transferencia desde la aplicación del teléfono móvil del demandante ( señalando que resulta cronológicamente imposible hacer la transferencia (día tres) antes de la llamada-estafa (día cuatro) e instalación) carece de atendibilidad lógica pues aparece realizada tomando en consideración únicamente el día del mes sin tener en cuenta la diferencia en el mes y el año y el diferente tipo de operación a los que ambas datas se refieren (una a la instalación de la banca móvil en el teléfono del demandante, y otra a la operación de pago discutida). 
15 La relevancia de la cuestión atinente al dispositivo desde el que se habría realizado la operación de transferencia se evidencia si consideramos que en la demanda únicamente se refería el acceso fraudulento de un tercero al ordenador del demandante para realizar una limpieza de virus, sin referencia alguna a la utilización indebida del teléfono móvil del demandante, y que, como resulta de las explicaciones dadas en el acto de juicio por don Ricardo Rodríguez Gómez, autor del informe de fraude aportado, para la realización de la transferencia era necesario disponer físicamente del dispositivo móvil, acceder a la aplicación de banca electrónica, introducir el PIN y teclearla operación. Tampoco en el recurso se llega siquiera alegar que el teléfono móvil del demandante hubiera sido indebidamente utilizado por un tercero para realizar la transferencia.
 
20 El artículo 45 del RDL 19/2018 regula el régimen de la responsabilidad del proveedor de servicios de pago cuando se realicen operaciones de pago no autorizadas, por lo que su interpretación sólo puede realizarse de manera conjunta con el artículo 46 en el que se regula la responsabilidad del ordenante en los mismos supuestos de operaciones de pago no autorizadas, siendo aplicable al caso lo previsto en el párrafo segundo del número 1 de este último artículo en el que se dispone:El ordenante soportará todas las pérdidas derivadas de operaciones de pago no autorizadas si el ordenante ha incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41.
 

Comments

Post a Comment

Popular posts from this blog

Usura. Derecho comparado. Límites a los tipos de interés en financiación de consumo en la Unión Europea

Usura. Derecho comparado. Límites a los tipos de interés en financiación de consumo en la Unión Europea Resumen: La mayoría de miembros UE con límites a los tipos de interés permiten moverse en una horquilla entre el 25% y el 40% de desvío con respecto al tipo medio de mercado del producto de financiación de que se trate.  Palabras clave : límites a los tipos de interés, tipo de interés máximo, Unión Europea, Crédito al consumo, Usura, Sentencias. Abstract: The vast majority of EU members setting caps on interest allow to offer prices in the region between 25% to 40% of the average rate regarding the credit facility at issue. Key words : cap on interest, maximum interest, European Union, Consumer Credit, Usury, Judgments,      Límites a los tipos de interés en financiación de consumo   Introducción   En varios Estados miembros de la Unión Europea existen límites a los tipos de interés de financiación, generalmente de consumo.   La mayoría se mueve en una horq
Read more

Tamaño de letra de los contratos de adhesión

Resumen : El tamaño de letra en España debe ser de 2,5 milímetros (mm). En Francia de 8 puntos y en Portugal de 11 puntos o 2,5mm. Palabras clave: Tamaño de letra, contratos bancarios, tarjetas de pago, tarjetas de crédito, condiciones generales.   Abstract : Font size in Spain should be no less than 2,5 millimeters. French font size should be higher than 8 points and Portugal moves itself either on 11 points or 2,5 mm. Key words: Font size, small print, banking contracts, payment cards, credit cards, terms and conditions.   Introducción En Francia la primera regulación sobre el tamaño de letra nació en 1990 para los contratos de tarjeta de pago con condiciones generales y tenía carácter de recomendación. La convención fue un mínimo de 8 puntos. En España, en 2012 se estableció en sede bancaria que el tamaño de la letra minúscula de los contratos bancarios “ no podrá tener una altura inferior a 1,5 milímetros ”   ( consultar aquí ) y con carácter general para contra
Read more

Identificador único: no existe obligación de comprobar el beneficiario

Image
Identificador único: no existe obligación de comprobar el beneficiario Resumen: E l banco ordenante no es responsable cuando el nombre del beneficiario de una transferencia no coincide con el titular del IBAN/identificador único facilitado.  Palabras clave: Identificador único, beneficiario, responsabilidad del proveedor, responsabilidad del ordenante, transferencia errónea, servicios de pago, PSD2, Real Decreto Ley 19/2018, sentencias, Tribunal de Justicia de la Unión Europea, TJUE. Abstract : P ayer payment service provider is not liable fwhen the  IBAN indicated by the payer does not corresponded to the name of the payee. Key words :  unique identifier,  payee name,  liability of the payer payment service provider, l iability of the payer, payment services, PSD2, judgements, European Court of Justice, ECJ STJUE 21 de marzo de 2019, Caso Tecnoservice, C‑245/18, ECLI:EU:C:2019:242   Enlace El identificador único facilitado por el ordenante limita la responsabilidad tanto del PSP del o
Read more