Oliva-Ayala Abogados

La responsabilidad civil, en el ámbito penal, de las entidades bancarias ante el auge de las estafas informáticas

Por Pablo Lightowler-Stahlberg Juanes

Con el incesante avance de las tecnologías, las tasas de ciberdelincuencia son cada vez mayores. A su vez, como consecuencia de las políticas del Banco Central Europeo de desincentivación del uso de dinero en efectivo, así como de la enorme expansión experimentada por el comercio online –especialmente a raíz de la pandemia causada por el Covid-19–, las estafas cometidas a través de internet, en todas su variantes, no dejan de incrementarse año tras año.

A lo anterior habría que añadir que tales ilícitos penales se han visto igualmente favorecidos por algo que, a priori, debe ser considerado positivo: la rapidez –inmediatez en muchos casos– con la que hoy en día se mueve el dinero a través de vías telemáticas. En este sentido, hemos de destacar la reciente aprobación por el Consejo de la Unión Europea del Reglamento (UE) 2024/886, de 13 de marzo, sobre transferencias inmediatas en euros, en busca de una mejora de la autonomía estratégica del sector económico europeo mediante una mayor movilización de flujos de caja.

De acuerdo con los datos reflejados en el Balance de Criminalidad correspondiente al primer trimestre de 2024, emitido por el Ministerio del Interior, el número de estafas informáticas registradas al cierre del año 2023 experimentó un incremento del 509,1% respecto del número de estafas informáticas registradas en 2016, hace apenas 8 años. Por su parte, el citado informe indica que las estafas informáticas representan el 90,1% de toda la cibercriminalidad y el 18,2% de toda la delincuencia registrada de enero a marzo de 2024.

Ante este escenario, la sociedad demanda una mayor protección para los consumidores, los cuales, sin lugar a dudas, son la parte débil de la operativa financiera. Y, dicha mayor protección pasa, necesariamente, por la implementación de controles antifraude por parte de las entidades bancarias, así como por exigir la responsabilidad de dichas entidades cuando no cuenten con tales controles o, aun contando con ellos, no los hayan aplicado debidamente en una determinada operación.

La estafa informática y supuestos más frecuentes

La estafa informática, prevista en el art. 248.2.a) del Código Penal, no es más que una modalidad específica del delito básico de estafa en el que el autor se sirve de alguna manipulación informática o artificio semejante para lograr una transferencia inconsentida de cualquier activo patrimonial. En todo caso, los elementos esenciales del delito de estafa no se ven alterados: engaño bastante, error, disposición patrimonial y perjuicio.

El tipo de estafa informática más extendida y, por ende, más conocida, es el «phishing», según la cual el estafador se hace pasar por una entidad de confianza de la víctima –normalmente, su banco– para obtener las claves de acceso a sus cuentas y realizar operaciones no consentidas en su perjuicio.

Una segunda modalidad delictiva que vemos con cierta frecuencia consiste en el llamado «fraude del CEO», donde el defraudador suplanta la identidad del director o jefe de una compañía y se dirige a aquellos empleados que tienen acceso a los recursos económicos de la empresa a fin de que realicen un pago o una transferencia indebida.

Otros supuestos muy comunes serían los fraudes cometidos a través de comercios online ilegítimos o el envío de mensajes para el cobro de premios inexistentes o para reclamar el pago de una sanción.

Como es de imaginar, las variantes de estafa informática son innumerables y resultan cada vez más sofisticadas, siendo elaboradas y perpetradas en muchas ocasiones por verdaderas organizaciones criminales con separación de funciones y con especialistas en las más diversas materias, lo que dificulta su detección y causa enormes perjuicios para la sociedad.

La actividad bancaria como fuente de riesgo

Está fuera de toda duda que las entidades bancarias juegan un rol esencial en la economía, posibilitando la realización de una larga lista de transacciones financieras de forma telemática y ágil, lo que permite que el dinero fluya entre los diferentes actores con la consecuente generación de riqueza.

Si bien, igual de claro resulta que las entidades bancarias desarrollan una actividad que entraña un elevado nivel de riesgo –como otras tantas actividades empresariales e industriales–, por cuanto ejercen como intermediarias y depositarias de los recursos económicos de las personas y de las empresas y, a su vez, los delincuentes se sirven ellas para cometer estafas informáticas –ya sea suplantando la identidad de un banco, detrayendo fraudulentamente fondos de una cuenta bancaria o  recibiendo de manera indebida transferencias de fondos a una cuenta bancaria–. Pese a que actualmente existen otros sistemas para depositar o transferir cantidades económicas –como las criptomonedas u otros criptoactivos–, en la práctica, lo más habitual es que el dinero defraudado tenga su origen o pase por cuentas bancarias ordinarias antes de ser desviado hacia otros productos que dificultan su rastreo.

Por su parte, pese al aludido rol esencial de las entidades bancarias, no podemos olvidar que las mismas desempeñan una actividad con ánimo de lucro y que sus consumidores y usuarios dependen de ellas para operar y no quedar excluidos del sistema financiero, pagando por sus servicios. De este modo, dichos consumidores y usuarios deben ser considerados como la parte débil de la ecuación, en la medida en que dependen de un servicio por el que han de pagar y, además, pueden padecer el perjuicio en el caso de que el peligro de la actividad bancaria se materialice en forma de estafa informática.

Similares reflexiones a las expuestas, aunque en relación con un supuesto muy alejado de la actividad bancaria (Caso Uralita, por exposición al amianto), aparecen recogidas en la Sentencia del Pleno de la Excma. Sala Primera del Tribunal Supremo n.º 141/2021, de 15 de marzo: «En estos supuestos de actividades peligrosas permitidas, por ser socialmente útiles, colisionan los intereses de los terceros de no resultar perjudicados, con el propio y legítimo de los titulares que las gestionan de obtener los mayores rendimientos económicos posibles derivados de su explotación, a veces sometida, aunque no siempre, a un régimen de responsabilidad objetiva bajo aseguramiento obligatorio. Esa desigualdad, en las posiciones de ambas partes, se pone fácilmente de manifiesto por la circunstancia de que mientras los terceros soportan la amenaza eventual de sufrir daños significativos, con la única ventaja de obtener a cambio, en el mejor de los casos, un beneficio meramente difuso, el titular de la actividad, por el contrario, se beneficia de las ganancias generadas de su explotación en su particular provecho. Esta asimetría conduce a la posibilidad de justificar decisiones normativas que, por razones de justicia conmutativa, impongan a quien se aproveche de ese stock de riesgos, las cargas económicas de los perjuicios causados a los terceros ajenos a la misma, con la finalidad de compensar esa especie de daños expropiatorios o de sacrificio. De esta manera, se han utilizado las fórmulas latinas ubi emolumentum, ibi onus (donde está la ganancia está la carga) o cuius commoda, eius incommoda (quien obtiene una ventaja debe padecer los inconvenientes)».

Por todo ello, las entidades bancarias han de cumplir con unas muy altas exigencias de seguridad en los sistemas de pago e intermediación financiera, con el objeto de minimizar al máximo –e idealmente, descartar– el riesgo de la actividad que desempeñan, debiendo corresponder la confianza que depositan en ellas los consumidores y usuarios y responder cuando no han cumplido satisfactoriamente y tales exigencias de seguridad no han sido satisfechas, permitiendo la materialización del riesgo en el resultado.

Normativa de prevención del fraude bancario

A nivel europeo destaca la a Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior, también denominada DSP2, cuya principal novedad fue aumentar la seguridad de los sistemas de pago mediante la introducción de la autenticación reforzada o de doble factor de los clientes.

A su vez, el recién aprobado Reglamento (UE) 2024/886 del Parlamento Europeo y del Consejo, de 13 de marzo de 2024, relativo a transferencias inmediatas en euros, impone la obligación –esencial– de que los proveedores de pagos verifiquen que el número de cuenta y el nombre del titular beneficiario coinciden, tanto en las transferencias inmediatas como en las ordinarias, a fin de alertar de un posible fraude o error.

A nivel nacional ostenta una gran relevancia el Real Decreto-Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, el cual fue fruto de la transposición de la citada Directiva (UE) 2015/2366. Dicha relevancia radica, en gran medida, en el establecimiento de la obligación consistente en que las entidades bancarias comprueben la identidad del usuario del servicio de pago y la validez del instrumento de pago utilizado, incluidas las credenciales de seguridad empleadas. A su vez, de acuerdo con lo dispuesto en su artículo 45, en el supuesto de que se ejecute una operación de pago no autorizada «el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato (…)».

Conforme a lo anterior, la Ley de Servicios de Pago impone a las entidades bancarias importantes deberes de prevención del fraude, so pena de exigir su responsabilidad en un enorme abanico de supuestos fraudulentos cuando no hayan detectado el fraude.  La citada ley, en su artículo 46, solo prevé la elusión de la responsabilidad de las entidades bancarias cuando se acredite que el usuario actuó de manera fraudulenta o con negligencia grave; si bien, establece una inversión de la carga de la prueba, de modo que habrán de ser las propias entidades bancarias las que deban probar la negligencia o actuación fraudulenta del usuario.

Al margen de la Ley de Servicios de Pago, juega un papel igualmente determinante la regulación relativa a la prevención del blanqueo de capitales, conformada por la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de financiación del terrorismo; y por el Real Decreto 304/2014, de 5 de mayo, por el que se aprueba el Reglamento que desarrolla la meritada Ley.

Con carácter general, la normativa antiblanqueo impone el deber de fijación y revisión de alertas ante operaciones complejas, inusuales, sin una justificación o un propósito económico claro, o que presentan una falta de correspondencia ostensible con la naturaleza, volumen de actividad o antecedentes operativos de los clientes.

Conforme a lo anterior, y a modo de ejemplo, podrá concluirse la actuación negligente de una entidad bancaria si, fruto de una estafa informática, tienen lugar operaciones sospechosas (v.gr. repentinas recepciones de importantes cantidades de dinero e inmediata extracción de los fondos) y estas no son detectadas y oportunamente bloqueadas.

La responsabilidad civil de las entidades bancarias en el ámbito penal

Las estafas informáticas, como delitos que son, generan la obligación de reparar los daños y perjuicios causados (art. 109 CP). Y, tal obligación de reparar recaerá, en primer lugar, sobre aquellas personas criminalmente responsables (art. 116 CP).

No obstante, el Código Penal, en su artículo 120, contempla la responsabilidad civil de determinadas personas –físicas o jurídicas–, las cuales, aun sin ser criminalmente responsables y ante ciertas circunstancias, habrán de reparar los daños y perjuicios derivados del delito de forma subsidiaria al responsable penal cuando este no se encuentre en condiciones de reparar –principalmente por insolvencia–.

En particular, a los efectos que nos interesan, hemos de prestar especial atención al apartado 3.º del art. 120 CP, pues prevé la responsabilidad civil subsidiaria de aquellas «personas naturales o jurídicas, en los casos de delitos cometidos en los establecimientos de los que sean titulares, cuando por parte de los que los dirijan o administren, o de sus dependientes o empleados, se hayan infringido los reglamentos de policía o las disposiciones de la autoridad que estén relacionados con el hecho punible cometido, de modo que este no se hubiera producido sin dicha infracción ».

[…]

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *