En els últims anys, la ciberdelinqüència s’ha consolidat com una de les grans preocupacions per a particulars i empreses. Lamentablement, el nombre de modalitats i de casos s’ha multiplicat fins al punt que, qui més qui menys, ha estat víctima o coneix a algú que l’ha sofert. Prova de l’impacte d’aquesta tendència indesitjable dels nostres temps són les campanyes governamentals o, fins i tot, que els grans operadors tecnològics posin la seguretat com un dels seus grans arguments a l’hora de vendre’ns les seves solucions. Estem davant una autèntica epidèmia.
També les entitats bancàries, com damnificades, han reforçat la seva seguretat informàtica i, d’altra banda, la pedagogia als seus clients per a intentar frenar aquesta ona delictiva. Però sovint s’oblida la seva responsabilitat davant un robatori digital. Fins i tot en els casos de sostracció de fons en els comptes corrents, amb l’argument que ha estat el titular qui ha facilitat les seves dades o claus d’accés a algú que es cap a passar pel banc. És obvi que el lladre és un tercer al qual serà difícil perseguir policialment, però també que l’entitat ha fallat.
Així ho diuen tant la normativa europea (la 2015/2366 de serveis de pagament) com l’estatal (el Real-Decret llei 19/2018, de 23 de novembre, de serveis de pagament) que estableixen aquesta responsabilitat que podem exigir a les entitats bancàries. Com a dipositàries i custòdies dels nostres diners, els bancs han de vetllar perquè les transferències digitals es facin en un entorn de seguretat, de la mateixa manera que tenen una responsabilitat en els casos de xecs falsos.
Això implica l’obligació de dotar-se de les mesures tecnològiques suficients que garanteixin a l’usuari la seguretat de les operacions. Si hi ha una omissió, insuficiència o defectuós funcionament d’aquestes mesures, han de ser les pròpies entitats bancàries les que han d’assumir les conseqüències derivades de la fallada del sistema de seguretat. La jurisprudència cada vegada va més en aquesta línia, a pesar que la primera resposta que donen alguns bancs és la de rentar-se les mans i imputar la responsabilitats -i les quanties- als clients.
Suplantació
Però hi ha un altre àmbit en el qual els bancs tenen també responsabilitat, en aquest cas d’una manera més indirecta, però igualment reclamable. Ho exposo a partir d’un cas real, que recentment ha acabat bé per a la víctima després de no pocs esforços i arguments legals del nostre despatx per a defensar els seus drets. Es tracta d’un empresari que havia de pagar un servei i que ho va fer a un número de compte nou que el proveïdor li va facilitar per e-mail.
Com probablement hauran endevinat, el correu electrònic que va rebre era fals, i el remitent suplantava a qui havia de cobrar la factura. L’import es va ingressar en un compte d’un important banc espanyol i, l’endemà, ja havia estat redirigit a un altre compte registrat en un altre país, en aquest cas en l’Est d’Europa. Impossible recuperar els diners.
Després de la preceptiva recerca descobrim que el titular del compte d’aquesta entitat era una persona estrangera, amb nacionalitat de les Illes Seychelles, que no va acreditar NIE, simplement es va identificar amb un passaport. Això sí, va comprar una assegurança de vida a l’entitat financera i va respondre a unes certes preguntes sobre la seva salut i el seu estil de vida, que sembla que és més important perquè un banc t’accepti que si el teu perfil presenta determinats dubtes sobre la teva identitat, les teves activitats i els riscos financers que es deriven de tot això.
Què diu la llei
El Codi Civil espanyol, en el seu article 1902, estableix que qui causa un mal, ja sigui per acció o per omissió, per culpa o negligència, està obligat a reparar-lo. És evident que en aquest cas sense la participació del banc el delicte no podria haver-se consumat. Un banc ha de verificar que les dades d’algú que obre un compte són reals. Per això, a pesar que l’estafa no l’ha practicat el banc, és responsable d’aquesta.
No exigir el NIE a un estranger no és de rebut, i més quan la seva nacionalitat és la d’un paradís fiscal. Són, en definitiva, símptomes de prioritzar l’ànim de lucre per a captar clients abans que la seguretat del propi banc i de la societat en general. En aquests casos, els bancs són també responsables de la ciberdelinqüència i, per tant, és legítim reclamar-la judicialment.
Tant en la responsabilitat directa com en la indirecta, cal estudiar la cadena de fets que han permès la comissió del delicte per a avaluar les diferents responsabilitats. I superar la primera resposta que acostumen a donar els bancs que, com hem dit, posarà el focus en la negligència de la víctima. Afortunadament, cada vegada més jutges no ho veuen així.