En los últimos meses hemos atendido varios asuntos en relación con clientes que, de forma sorpresiva y desagradable, han tenido conocimiento de que se habían efectuado pagos, a través de la plataforma de banca electrónica de su respectiva entidad bancaria, que no habían sido autorizados por ellos.
El denominador común en estos supuestos es que dichos movimientos se habían realizado por un tercero que, bien accediendo a su terminal móvil, bien remitiendo un sms/correo electrónico con la apariencia de haber sido enviado por la entidad bancaria del cliente, había conseguido “eludir” las medidas de seguridad de la entidad bancaria del cliente y haciendo uso de las contraseñas o sistemas de verificación, había realizado una o varias disposiciones con el consiguiente perjuicio económico para el cliente.
El Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera («RDL 19/2018»), en su art. 42 regula las obligaciones del proveedor de servicios de pago en relación con los instrumentos de pago, que son analizadas por la Sentencia de la Audiencia Provincial de Murcia, núm. resolución 414/2022, de fecha 19-12-2022, (puede descargase el texto íntegro aquí):
«a.- Debe cumplir las específicas obligaciones de protección en la emisión de los instrumentos de pago y en los procesos de autenticación de las operaciones de pago cuya finalidad es minimizar la probabilidad de ejecución de operaciones no autorizadas. En concreto, y en relación a los mecanismos de autentificación de las operaciones de pago:
i. Cerciorarse de que las credenciales de seguridad personalizadas del instrumento de pago sólo sean accesibles al usuario de servicios de pago facultado para usar dicho instrumento (art. 42.1.a) RDLSP).
ii. Garantizar la existencia de medios adecuados y gratuitos que permitan al usuario el cumplimiento de las obligaciones establecidas en el artículo 41 RDLSP (art. 42.1.c) RDLSP).
iii. Impedir la utilización del instrumento de pago una vez solicitado su bloqueo por el usuario (art. 42.1.e) RDLSP).
iv. Conservar la documentación y los registros que le permitan acreditar el cumplimiento de sus obligaciones (art. 44.4 RDLSP).
iv. Tienen el deber de establecer un sistema de autentificación reforzada de los clientes en los casos que el ordenante: a) acceda a su cuenta de pago en línea; b) inicie una operación de pago electrónico; c) realice por un canal remoto cualquier acción que pueda entrañar un riesgo de fraude en el pago u otros abusos (art. 68.1 RDLSP)».
Por su parte, el usuario de este tipo de medios de pago tiene la obligación de utilizarlo en las condiciones pactadas, tomando las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas, notificando sin demora indebida al proveedor de servicios de pago, la pérdida de la posesión del instrumento de pago o haber sido utilizado sin su autorización, (art. 41 RDL 19/2018) y, entre otros derechos, «la rectificación por parte del proveedor de servicios de pago de una operación de pago no autorizada o ejecutada incorrectamente únicamente si el usuario de servicios de pago se lo comunica sin demora injustificada, en cuanto tenga conocimiento de cualquiera de dichas operaciones que sea objeto de reclamación, incluso las cubiertas por el artículo 60, y, en todo caso, dentro de un plazo máximo de trece meses contados desde la fecha del adeudo» (art. 43.1 RDL 19/2018).
Como indica la referida Sentencia de la Audiencia Provincial de Murcia, sobre el régimen jurídico de estos servicios de pago por banca electrónica, «existe una abundante jurisprudencia menor, pudiéndose citar, a tal efecto, y como alguna de las últimas resoluciones que analizan la responsabilidad de la entidad de crédito emisora las SSAP de Alicante (8ª) 107/18, de 12 de marzo; Pontevedra (6ª) 539/21, de 21 de diciembre; Madrid (11ª) 74/22, de 28 de febrero; Madrid (20ª) 184/22, de 20 de mayo; Valencia (6ª) 254/22, de 13 de junio; Badajoz (3ª) 159/22, de 16 de junio; o Granada (5ª) 212/22, de 20 de junio. La conclusión común de estas resoluciones, como señala la SAP Granada 212/22 citada es que «… ha de partir de la consideración de que, con arreglo al marco jurídico en el que se desenvuelve la actividad de servicios de pago a través de banca on line, el régimen de la responsabilidad de la prestadora del servicio ha de reputarse cuasi-objetiva, en la medida en que sólo se excluye en unos casos por culpa grave del cliente y en otros por únicamente por fraude imputable al mismo, lo que implica, además, que la carga de la prueba de esas circunstancias exoneratorias y la paralela inexigibilidad de otra conducta a la referida entidad incumba a ésta en todo caso«».
Es decir, salvo que medie culpa grave del cliente o fraude imputable al mismo, la responsabilidad del proveedor de servicios de pago es cuasi-objetiva, debiendo reintegrar al cliente las cantidades dispuestas sin su autorización.
Sin perjuicio de que hay que analizar el caso concreto para ejercitar las acciones oportunas, nuestra recomendación es, una vez se detecten las disposiciones no autorizadas, comunicarlo a la mayor brevedad a la entidad bancaria y denunciar los hechos ante la Policía Nacional.
Desde PALACÍN, HERNÁNDEZ & CRESPO Abogados quedamos a su disposición para resolverle cualquier duda o aclaración.