En los últimos años, la ciberdelincuencia se ha consolidado como una de las grandes preocupaciones para particulares y empresas. Lamentablemente, el número de modalidades y de casos se ha multiplicado hasta el punto que, quien más quien menos, ha sido víctima o conoce a alguien que la ha sufrido. Prueba del impacto de esta tendencia indeseable de nuestros tiempos son las campañas gubernamentales o, incluso, que los grandes operadores tecnológicos pongan la seguridad como uno de sus grandes argumentos a la hora de vendernos sus soluciones. Estamos ante una auténtica epidemia.
También las entidades bancarias, como damnificadas, han reforzado su seguridad informática y, por otro lado, la pedagogía a sus clientes para intentar frenar esta ola delictiva. Pero a menudo se olvida su responsabilidad ante un robo digital. Incluso en los casos de sustracción de fondos en las cuentas corrientes, con el argumento que ha sido el titular quien ha facilitado sus datos o claves de acceso a alguien que se hacia pasar por el banco. Es obvio que el ladrón es un tercero al que será difícil perseguir policialmente, pero también que la entidad ha fallado.
Así lo dicen tanto la normativa europea (la 2015/2366 de servicios de pago) como la estatal (el Real-Decreto Ley 19/2018, de 23 de noviembre, de servicios de pago) que establecen esta responsabilidad que podemos exigir a las entidades bancarias. Como depositarias y custodias de nuestro dinero, los bancos tienen que velar para que las transferencias digitales se hagan en un entorno de seguridad, de la misma manera que tienen una responsabilidad en los casos de cheques falsos.
Esto implica la obligación de dotarse de las medidas tecnológicas suficientes que garanticen al usuario la seguridad de las operaciones. Si hay una omisión, insuficiencia o defectuoso funcionamiento de estas medidas, tienen que ser las propias entidades bancarias las que tienen que asumir las consecuencias derivadas del fallo del sistema de seguridad. La jurisprudencia cada vez va más en esta línea, a pesar que la primera respuesta que dan algunos bancos es la de lavarse las manos e imputar la responsabilidades -y las cuantías- a los clientes.
Suplantación
Pero hay otro ámbito en el que los bancos tienen también responsabilidad, en este caso de una manera más indirecta, pero igualmente reclamable. Lo expongo a partir de un caso real, que recientemente ha terminado bien para la víctima después de no pocos esfuerzos y argumentos legales de nuestro despacho para defender sus derechos. Se trata de un empresario que tenía que pagar un servicio y que lo hizo a un número de cuenta nuevo que el proveedor le facilitó por e-mail.
Como probablemente habrán adivinado, el correo electrónico que recibió era falso, y el remitente suplantaba a quien tenía que cobrar la factura. El importe se ingresó en una cuenta de un importante banco español y, al día siguiente, ya había sido redirigido a otra cuenta registrada en otro país, en este caso en el Este de Europa. Imposible recuperar el dinero.
Después de la preceptiva investigación descubrimos que el titular de la cuenta de esta entidad era una persona extranjera, con nacionalidad de las Islas Seychelles, que no acreditó NIE, simplemente se identificó con un pasaporte. Eso sí, compró un seguro de vida a la entidad financiera y respondió a ciertas preguntas sobre su salud y su estilo de vida, que parece que es más importante para que un banco te acepte que si tu perfil presenta determinadas dudas sobre tu identidad, tus actividades y los riesgos financieros que se derivan de todo ello.
Qué dice la ley
El Código Civil español, en su artículo 1902, establece que quien causa un daño, ya sea por acción o por omisión, por culpa o negligencia, está obligado a repararlo. Es evidente que en este caso sin la participación del banco el delito no podría haberse consumado. Un banco tiene que verificar que los datos de alguien que abre una cuenta son reales. Por eso, a pesar de que la estafa no la ha practicado el banco, es responsable de la misma.
No exigir el NIE a un extranjero no es de recibo, y más cuando su nacionalidad es la de un paraíso fiscal. Son, en definitiva, síntomas de priorizar el ánimo de lucro para captar clientes antes que la seguridad del propio banco y de la sociedad en general. En estos casos, los bancos son también responsables de la ciberdelincuencia y, por tanto, es legítimo reclamarla judicialmente.
Tanto en la responsabilidad directa como en la indirecta, hay que estudiar la cadena de hechos que han permitido la comisión del delito para evaluar las diferentes responsabilidades. Y superar la primera respuesta que acostumbran a dar los bancos que, como hemos dicho, pondrá el foco en la negligencia de la víctima. Afortunadamente, cada vez más jueces no lo ven así.
