El Supremo obliga a los bancos a asumir el fraude online si no hay negligencia del cliente

La Justicia ampara las reclamaciones de clientes víctimas de un fraude online a sus entidades bancarias cuando su actuación no ha sido negligente. El Tribunal Supremo (TS) ha determinado que la banca debe asumir el importe de esos fraudes de operaciones no autorizadas siempre y cuando el afectado no haya actuado de forma negligente. Así la ha establecido el alto tribunal en una sentencia en la que confirma la decisión de la Audiencia Provincial de Zaragoza de estimar la demanda de un usuario de banca electrónica al que de forma fraudulenta le sustrajeron de sus cuentas 83.692 euros en apenas tres semanas –entre el 24 de febrero y el 18 de marzo de 2021– y que reclamaba a Ibercaja 56.474 euros (la entidad logró recuperar 27.218 euros).

Tras analizar la normativa comunitaria y nacional al respecto, la Sala de lo Civil del Supremo concluye que en el caso de operaciones no autorizadas (en las que se produce una suplantación de la identidad del usuario de la banca digital) o ejecutadas incorrectamente, el banco «debe responder salvo que acredite la existencia de fraude» o demuestre que hubo un «incumplimiento deliberado o gravemente negligente» del cliente.

El usuario, en todo caso –matiza el tribunal–, debe adoptar todas las medidas razonables «a fin de proteger sus credenciales de seguridad» y en caso de extravío o de una utilización sin su permiso comunicarlo «de manera inmediata» al banco. De tal forma, si lo hace «sin demora injustificada» la entidad ha de «reintegrar el importe de inmediato» salvo que tenga sospechas fundadas de fraude y lo comunique por escrito al Banco de España.

Alertó a la entidad tres semanas antes

Los magistrados avalan la actuación del cliente víctima del fraude, que según resaltan actuó de forma diligente y avisó «inmediata y reiteradamente» al personal de Ibercaja «de lo que estaba sucediendo» (tras recibir alertas en su móvil para que autorizara varios pagos). Una alerta que debería haber provocado una «reacción inmediata –asegura la Sala– de la entidad, «que pasaba cuando menos por la modificación» de sus claves o códigos personales. Por contra, constata el Supremo, «nada se hizo» y no se adoptaron medidas de protección.

Esos precedentes ponían de manifiesto "para cualquier observador medio", y más aún "para un empleado de banca" -subraya el TS- "que alguien había conseguido acceder a las cuentas" del usuario y, por tanto, "disponía de sus claves y contraseña, lo que hubiera debido motivar una reacción inmediata" modificando sus claves. Pero al no dar ese paso, pone de relieve, "tan solo restaba" que los autores del fraude ("delincuentes conocidos por la Policía") encontraran la manera de "eludir el último obstáculo, esto es, la vía para recibir directamente el código de confirmación de la operación".

El Supremo apunta que los avances de la tecnología actual "hacen relativamente sencillo diseñar sistemas o aplicaciones informáticas idóneas para detectar ciertas anomalías en la prestación de los servicios de pago". Y es que, subraya, operaciones que en una empresa pueden resultar ordinarias, "deben inmediatamente levantar sospechas y dar lugar a una respuesta cuando afectan a personas físicas ajenas a tales actividades". "No puede considerarse como normal e irrelevante que una persona que jamás efectúa operaciones de madrugada de repente proceda a llevar a cabo hasta 17 operaciones seguidas y por un importe tan elevado" (un cargo total de 83.692 euros entre el 17 y el 18 de marzo, cuando el cliente acudió a una comisaría de Zaragoza a denunciar los hechos).

El usuario "no tiene que soportar las pérdidas"

La sentencia incide en que frente al comportamiento diligente del usuario, la entidad bancaria prestó un servicio de forma defectuosa, "tanto por no tomar en consideración la información recibida pese a su gravedad como por omitir la adopción de medidas que posibilitaran la detección de eventuales maniobras fraudulentas". "El hecho de que la filtración o el conocimiento de las claves por el tercero no sea imputable a la entidad bancaria tampoco la libera de obligación de responder ni traslada al usuario la obligación de soportar las pérdidas", deja claro, ya que la entidad bancaria "además de demostrar que el servicio se prestó correctamente -lo que no sucedió-, debía acreditar la concurrencia de fraude o incumplimiento deliberado o gravemente negligente por parte del usuario".

Algo que, pone de manifiesto, no se ha probado según la sentencia de la Audiencia Provincial de Zaragoza, que confirmó la dictada en su día en el mismo sentido por el Juzgado de Primera Instancia número 7 de la capital aragonesa. El demandante, defiende, tomó "todas las medidas razonables a fin de proteger sus credenciales de seguridad" y para notificar al banco "la utilización no autorizada del instrumento de pago, tan pronto tuvo conocimiento de ello", poniendo en conocimiento de la entidad "las tentativas de acceso a su cuenta con una antelación de tres semanas".