Los intentos de ataque de phishing están a la orden del día, tanto en empresas como de particulares. Son numerosos los emails o SMS, que se reciben a diario para intentar obtener información de nuestra entidad bancaria y así poder detraer la máxima cantidad de dinero en un periodo corto de tiempo.
En uno de nuestros posts hablamos sobre si la entidad bancaria debía asumir la responsabilidad por la deficiente seguridad de sus sistemas informáticos, aunque resulta determinante cómo valora la jurisprudencia la autorización del usuario en la orden de pago fraudulenta.
En este tipo de estafas, los delincuentes mediante el engaño se apoderan de las claves de acceso de los usuarios y realizan transferencias o pagos con tarjetas de crédito desde la misma banca electrónica de la entidad. El usuario no facilita las credenciales de seguridad de forma libre y consciente a un tercero, sabiendo que este tercero va a ordenar un pago, sino todo lo contrario, lo hace de forma viciada, movido por un engaño. Por lo tanto, es evidente que existe un vicio de la voluntad del usuario que elimina todo su consentimiento, toda vez que el usuario cree firmemente que facilita las claves al banco y no a un tercero totalmente ajeno.
Pues bien, sentencias como la de la Audiencia Provincial de Alicante, Sec. 8ª, nº107/2018, de 12 de marzo, resuelven esta situación en tres puntos:
1. La entidad bancaria debe implementar las medidas necesarias para asegurar la identidad del ordenante, por lo que le banco debe comprobar la autenticidad de la orden.
2. La falsedad de la transferencia es un riesgo a cargo del banco porque, en principio, el deudor solo se libera pagando al verdadero acreedor, por lo que si el banco cumple una orden falsa, habrá de reintegrar en la cuenta correspondiente las cantidades cargadas.
3. La responsabilidad en estos supuestos no puede atribuirse directamente al supuesto ordenante, si un banco no ha sido capaz de limitar el acceso al canal de banca electrónica no puede pretender que el presunto ordenante víctima sea el responsable, pues es el banco quién tiene responsabilidad respecto el buen funcionamiento y la seguridad.
En definitiva, el artículo 36 del Real Decreto 19/2018, de 23 de noviembre, de Servicios de Pago, señala que una orden de pago solo se considera autorizada cuando el ordenante haya dado el consentimiento en su ejecución, por lo tanto, en el caso de haber sufrido un ataque de phishing existe un vicio en este consentimiento por lo que la entidad bancaria deberá reintegrar la cantidad sustraída fraudulentamente ya que la orden de pago no se debe considerar autorizada.
Consulte con su abogado de confianza, www.nqabogadospenal.com.