LA RESPONSABILIDAD CIVIL BANCARIA EN OPERACIONES NO AUTORIZADAS POR EL TITULAR

Área de Responsabilidad Civil de DOMINGO MONFORTE Abogados Asociados

El incremento es considerable en lo que respecta a las estafas tecnológicas con las que, mediante diferentes técnicas delictivas, los estafadores consiguen acceder a las cuentas bancarias de las víctimas o que ellas mismas realicen una transferencia en la creencia de que están realizándola correctamente.

La situación legal y responsabilidad de las entidades bancarias, debido a la novedad de este tipo de conductas, se encuentra actualmente pendiente de determinar y perfilar. Sin embargo, el Tribunal de Justicia de la Unión Europea ha definido la responsabilidad del proveedor de los servicios de pago como una responsabilidad de carácter cuasi-objetivo en un doble sentido: primero, notificada la existencia de una operación no autorizada o ejecutada incorrectamente, el proveedor debe responder salvo que acredite la existencia de fraude del propio usuario; y, segundo, corresponde al proveedor acreditar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio, sin que el simple registro de la operación baste para demostrar que fue autorizada ni que el usuario ha actuado de manera fraudulenta o por negligencia grave.

Es decir, el hecho de que se cumpla por parte de la entidad con los requisitos de autenticación no implica per se que el usuario haya actuado con la negligencia grave exigible para la exoneración de la propia entidad, incluyendo entre las “operaciones no autorizadas” las que se hayan realizado a través del usuario y contraseña de la víctima y confirmadas mediante el sistema asociado al dispositivo móvil del usuario.

La realidad social está contribuyendo a una interpretación de la normativa de servicios de pago más flexible y protectora hacia los usuarios, y exponente de ello es la STS nº571/2025, de 9 de abril, que condena a la entidad bancaria al reintegro de la cantidad que se transfirió desde la cuenta del usuario tras el acceso a un link remitido a través de un SMS y concluye, en aplicación de la normativa nacional y europea, que:

1. El usuario de servicios de pago debe adoptar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas y, en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, ha de notificarlo al proveedor de servicios de pago de manera inmediata, tan pronto tenga conocimiento de ello.
2. En caso de que se produzca una operación de pago no autorizada o ejecutada incorrectamente, si el usuario de servicios de pago se lo comunica sin demora injustificada, el proveedor debe proceder a su rectificación y reintegrar el importe de inmediato, salvo que tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España.
3. Cuando un usuario niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, incumbe al proveedor la carga de demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago.
4. El mero hecho del registro por el proveedor de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones, correspondiendo al proveedor la prueba de que el usuario del servicio de pago cometió fraude o negligencia grave.

En definitiva, a pesar de la reiterada negativa de las entidades bancarias a reconocer su responsabilidad en estos supuestos, la realidad es que cada vez más estamos viendo cómo los estafadores traspasan las medidas de seguridad de las mismas y crean una apariencia absoluta de fiabilidad hacia el usuario que no incurre en negligencia alguna, siendo las entidades bancarias las que se benefician en mayor medida de las nuevas tecnologías para el desarrollo de su actividad y quienes, en función de ello, deben garantizar la seguridad  de sus usuarios.