Fraude asistido. ¿Entregaste tus claves? ¿Negligencia grave?
Resumen: Facilitar o comunicar las claves o credenciales a un tercero puede ser negligencia grave.
Las obligaciones
del usuario de servicios de pago están establecidas en el art. 41 RDL 19/2018.
Entre las mismas se incluye tomar “todas
las medidas razonables a fin de proteger sus credenciales de seguridad
personalizadas”
La Directiva (UE) 2015/2366 de Servicios
de Pago 2 (PSD2) es muy clara sobre la esencialidad de la
obligación de protección de las claves por el usuario.
El
Considerando 69 indica “La obligación de preservar la seguridad
de las credenciales personalizadas es de extrema importancia” y el 72 “A la hora de evaluar la posible negligencia o la negligencia
grave del usuario de servicios de pago, deben tomarse en consideración todas
las circunstancias” concretando que un ejemplo de negligencia grave “sería
el guardar las credenciales usadas para la autorización de una operación
de pago junto al instrumento de pago, en un formato abierto y fácilmente
detectable para terceros”.
Por tanto, cuando
el usuario de servicios de pago pone sus claves a disposición de un tercero podría incurrir en negligencia grave. Esa puesta a disposición de las claves a
favor de un tercero puede ser indirecta (como el ejemplo concretado por la
Directiva). También el usuario puede facilitar directamente sus claves a un tercero. En este segundo
caso el usuario está directamente asistiendo al defraudador. Estamos ante un caso de fraude asistido.
El fraude asistido es la manera de sortear el sistema de seguridad que aporta el método del doble factor o autenticación reforzada que debe aplicar el Proveedor de Servicios de Pago. Pero para que haya fraude asistido, es necesaria la colaboración activa del usuario que debe desvelar, no una sino dos veces, sus claves de seguridad o bien, incluso, autorizar personalmente la operación. Esta autorización es muy habitual cuando se utiliza el teléfono móvil del propio usuario en el procesamiento de la operativa. Primero el usuario facilita sus credenciales, incumpliendo su obligación legal de preservación, y luego autoriza personalmente la operación desde su teléfono móvil.
Esta reincidencia (desvelar hasta en dos ocasiones credenciales de seguridad) o bien la autorización de la operativa tras desvelar previamente claves, lo que permite iniciar la operativa de pago que luego autorizará personalmente, sitúa al usuario en un supuesto de negligencia grave.
Así, el fraude asistido,
y la negligencia grave que entraña, es un motivo reconocido por algunas Audiencias Provinciales para eximir de responsabilidad al
proveedor de servicios de pago.
A
continuación algunos ejemplos,
Audiencia
Provincial Zaragoza Sección 4. Sentencia de 27/05/2021
Roj: SAP Z
1235/2021 - ECLI:ES:APZ:2021:1235 Id Cendoj: 50297370042021100133
https://www.poderjudicial.es/search/AN/openDocument/2bc8dadb0d9b3557/20210817
CUARTO.- Los
conflictos que se producen en estas operativas, la consumación de una operación
realmente no autorizada por el usuario deben terminar resolviéndose realizando
un juicio de ponderación de las circunstancias del caso, pues si bien,
como se ha detallado, existe un deber de resultado a cargo del prestador del
servicio de pago, por el contrario queda el mismo exonerado de toda
responsabilidad si el cliente incurrió en una negligencia grave. Este será
un extremo sobre el que pivotará en gran medida el recurso del usuario, el que
resaltará que en la instancia se ha tildado de imprudente la actuación del
mismo (o de quien estaba en su esfera de control).
QUINTO.- Pues bien las circunstancias del caso han sido adecuadamente ponderadas en la instancia. Aunque resultan algunas incertidumbres que el perito judicial detalló, es lo cierto y seguro que facilitar todos los datos que permitían la verificación y claves de la cuenta al defraudador, aunque fuera mediante la simulación que realizó el tercero, fue un comportamiento descuidado que causalmente fue determinante que los defraudadores pudieran acceder a mecanismos de suplantación, ahora de la identidad del usuario titular y ordenante, y hacer efectiva la orden de pago.
https://www.poderjudicial.es/search/AN/openDocument/2bc8dadb0d9b3557/20210817
QUINTO.- Pues bien las circunstancias del caso han sido adecuadamente ponderadas en la instancia. Aunque resultan algunas incertidumbres que el perito judicial detalló, es lo cierto y seguro que facilitar todos los datos que permitían la verificación y claves de la cuenta al defraudador, aunque fuera mediante la simulación que realizó el tercero, fue un comportamiento descuidado que causalmente fue determinante que los defraudadores pudieran acceder a mecanismos de suplantación, ahora de la identidad del usuario titular y ordenante, y hacer efectiva la orden de pago.
Audiencia
Provincial de Mérida Sección 3. Sentencia de 30/12/2021
Roj: SAP BA
1677/2021 - ECLI:ES:APBA:2021:1677 Id Cendoj: 06083370032021100463
https://www.poderjudicial.es/search/AN/openDocument/423de6dc38053007/20220224
Segundo.- (…)
En la reclamación al Banco Dª. Flor manifiesta que en una página idéntica a la
del Banco le piden que verifique sus datos y le van pidiendo DNI, clave de
acceso y firma electrónica, llegándosela a pedir dos veces cuando
habitualmente el Banco solamente se la pide una vez y le solicita cuatro de
los ocho códigos, de forma que quienes remitieron el mensaje se hicieron con
los ocho, recibiendo unos quince minutos después la demandante un aviso
de que había cambiado el teléfono de contacto desde la página web, para
verificar que el cambio era correcto. La conducta de la demandante no puede
sino calificarse de negligente, pues debió sospechar de la procedencia del
correo y del requerimiento que le hicieron para que entregara sus claves,
cuando es notorio, por público y conocido, que en la práctica existen
abundantes intentos de fraude en la operativa de la Banca electrónica, sin que
la sentencia recurrida entre a valorar que exista tal falta de diligencia por
parte de la demandante. (…)
Tercero.- (…) conviene repasar el marco legal aplicable, constituido fundamentalmente por el Real Decreto-Ley 19/2018, de 23 de noviembre, de Servicios de pago. Entre las finalidades de dicho Decreto-Ley a ley se incluyen la de regular los derechos y obligaciones respectivas tanto de los usuarios de los servicios de pago como de los proveedores de los mismos (art.1.1). Dicha norma en su artículo 41 regula como obligaciones del usuario de servicios de pago en relación con los instrumentos de pago y las credenciales de seguridad personalizada las de utilizar el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago que deberán ser objetivas, no discriminatorias y proporcionadas y, en particular, en cuanto reciba un instrumento de pago, tomar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas (…)
CUARTO.- Poniendo en relación lo sucedido con las previsiones de la Ley de Servicios de Pago, no puede imputarse al Banco, sino a la titular de la tarjeta, el quebranto producido mediante las transferencias no consentidas, en la medida en que se ha producido una negligencia grave por parte de la demandante respondiendo a un correo irregular y no custodiando las claves que se le confiaron para garantizar la seguridad de la operativa de pagos, facilitándoselas a quienes han realizado las transferencias ilícitas, debiendo estimarse en ese sentido el recurso formulado
Audiencia
Provincial de Vigo, Sección 6. Sentencia de 01/12/2020
Roj: SAP PO
2366/2020 - ECLI:ES:APPO:2020:2366 Id Cendoj: 36057370062020100529
https://www.poderjudicial.es/search/AN/openDocument/0601b11a33352f82/20210222
14 En la
sentencia de primera instancia se estima probado que por los registros de la
operación litigiosa ésta se realizó desde el dispositivo móvil del demandante,
asociado al contrato de banca electrónica, desde su dirección IP y con marcado
correcto del PIN que es elemento de seguridad, por lo que resulta ahora
suficiente con indicar que tal apreciación encontraba fundamento en el
contenido del informe de fraude CE 1036/2019 sobre la operación de pago que se
había aportado con la contestación a la demanda (en el que tras recogerse el
registro de instalación de la aplicación de banca móvil que se había realizado
por el hoy demandante el día 4 de diciembre de 2018, y el registro de la
operación de transferencia realizada el 3 de octubre de 2019, se concluye que
la dirección IP de conexión desde laque se hizo la presunta operación
fraudulenta es la habitual utilizada por el cliente; además el dispositivo
móvil desde el que se hizo la operación, Huawei ATU L21 con sistema operativo
Android, es también el mismo que el cliente venía utilizando de forma masiva
desde diciembre de 2018, pues la única consideración que en el recurso se
realizan sobre la realización de la transferencia desde la aplicación del
teléfono móvil del demandante ( señalando que resulta cronológicamente
imposible hacer la transferencia (día tres) antes de la llamada-estafa (día
cuatro) e instalación) carece de atendibilidad lógica pues aparece realizada
tomando en consideración únicamente el día del mes sin tener en cuenta la
diferencia en el mes y el año y el diferente tipo de operación a los que ambas
datas se refieren (una a la instalación de la banca móvil en el teléfono del
demandante, y otra a la operación de pago discutida).
https://www.poderjudicial.es/search/AN/openDocument/423de6dc38053007/20220224
Tercero.- (…) conviene repasar el marco legal aplicable, constituido fundamentalmente por el Real Decreto-Ley 19/2018, de 23 de noviembre, de Servicios de pago. Entre las finalidades de dicho Decreto-Ley a ley se incluyen la de regular los derechos y obligaciones respectivas tanto de los usuarios de los servicios de pago como de los proveedores de los mismos (art.1.1). Dicha norma en su artículo 41 regula como obligaciones del usuario de servicios de pago en relación con los instrumentos de pago y las credenciales de seguridad personalizada las de utilizar el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago que deberán ser objetivas, no discriminatorias y proporcionadas y, en particular, en cuanto reciba un instrumento de pago, tomar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas (…)
CUARTO.- Poniendo en relación lo sucedido con las previsiones de la Ley de Servicios de Pago, no puede imputarse al Banco, sino a la titular de la tarjeta, el quebranto producido mediante las transferencias no consentidas, en la medida en que se ha producido una negligencia grave por parte de la demandante respondiendo a un correo irregular y no custodiando las claves que se le confiaron para garantizar la seguridad de la operativa de pagos, facilitándoselas a quienes han realizado las transferencias ilícitas, debiendo estimarse en ese sentido el recurso formulado
https://www.poderjudicial.es/search/AN/openDocument/0601b11a33352f82/20210222
15 La relevancia de la
cuestión atinente al dispositivo desde el que se habría realizado la operación
de transferencia se evidencia si consideramos que en la demanda únicamente se
refería el acceso fraudulento de un tercero al ordenador del demandante para
realizar una limpieza de virus, sin referencia alguna a la utilización indebida
del teléfono móvil del demandante, y que, como resulta de las explicaciones dadas
en el acto de juicio por don Ricardo Rodríguez Gómez, autor del informe de
fraude aportado, para la realización de la transferencia era necesario disponer
físicamente del dispositivo móvil, acceder a la aplicación de banca
electrónica, introducir el PIN y teclearla operación. Tampoco en el recurso se
llega siquiera alegar que el teléfono móvil del demandante hubiera sido
indebidamente utilizado por un tercero para realizar la transferencia.
20 El
artículo 45 del RDL 19/2018 regula el régimen de la responsabilidad del
proveedor de servicios de pago cuando se realicen operaciones de pago no
autorizadas, por lo que su interpretación sólo puede realizarse de manera
conjunta con el artículo 46 en el que se regula la responsabilidad del
ordenante en los mismos supuestos de operaciones de pago no autorizadas, siendo
aplicable al caso lo previsto en el párrafo segundo del número 1 de este último
artículo en el que se dispone:El ordenante soportará todas las pérdidas
derivadas de operaciones de pago no autorizadas si el ordenante ha incurrido en
tales pérdidas por haber actuado de manera fraudulenta o por
haber incumplido, deliberadamente o por negligencia grave, una o varias de las
obligaciones que establece el artículo 41.
Comments
Post a Comment