¿Qué puedo hacer si he sido víctima de un man – in -the – middle phishing? (estafa a través de internet mediante la cual intervienen las comunicaciones para modificar datos bancarios y hacerse con el dinero)

Nos estamos encontrando con numerosos supuestos en los que los hackers intervienen el correo electrónico en el cual se adjunta una factura y modifican el número de cuenta para que, en vez de que el dinero llegue a su destinatario -acreedor- se envíe al estafador. ¿Qué pasa en estos caso? ¿Queda liberado el deudor por haber realizado el pago?

La posición mayoritaria se inclina por la aplicación de la doctrina del acreedor aparente, recogida en la Sentencia del Tribunal Supremo de 17 de octubre de 1998, en base al artículo 1162 del CC, esto es, solamente el pago que se hace al verdadero acreedor extingue la obligación y libera al deudor del cumplimiento.

Ahora bien, parte de la jurisprudencia entiende aplicable el artículo 1164 del CC, que establece que el pago hecho de buena fe a quien estuviese en posesión del crédito sí tiene efectos liberatorios, siempre y cuando se cumplan una serie de requisitos, tal y como indica la Sentencia de la Audiencia Provincial de Madrid nº 501/2019 de 28 de octubre. En este caso, el deudor tiene que probar, no sólo que creía que estaba pagando al verdadero acreedor, sino que esta creencia existía aun habiendo empleado la diligencia exigible de acuerdo con las circunstancias del caso.

La Sentencia nº 64/22 de la Audiencia Provincial de Palencia de 31 de enero de 2022 dice:

“ahora bien, no basta con esa apariencia en el receptor del pago y la buena fe de quien paga, requisitos que recoge expresamente el precepto, pues también comporta una regla de responsabilidad, ligada a la idea de apariencia jurídica, haciendo depender el efecto liberatorio del pago para el deudor solo cuando haya actuado con la diligencia debida. (…)

Buena fe objetiva que, a diferencia de la subjetiva, no se presume, ha de ser probada por quien la invoca (…)

Y de no concurrir tales presupuestos el deudor resulta obligado a pagar a su acreedor, sin perjuicio de reclamar a quien consideró acreedor, la devolución de lo entregado.

(…)

Por ello, como reclama la jurisprudencia, es exigible al deudor una necesaria actividad acorde con la diligencia exigible o debida a fin de que se cerciore de que, quien aparece como acreedor, lo es en realidad”

Por tanto, lo que nos está exigiendo la jurisprudencia es una mayor diligencia, un mayor cuidado antes de realizar una transferencia a un número de cuenta facilitado a través de correo electrónico, realizar una verificación de que el mismo es correcto y pertenece al verdadero acreedor.

Y cuando se trata de relaciones comerciales, todavía es necesario extremar más esta diligencia, entendiendo la jurisprudencia, Sentencia de la Audiencia Provincial de Palencia de 31/01/2022: que “al no comprobar la corrección de la cuenta bancaria que no era la de otras ocasiones” (…) “el engaño que determinó el acto de disposición patrimonial lo sufre el demandado, y por ello no puede quedar liberado por su falta de diligencia objetiva” (…) “la demandada no fue objetivamente diligente en la protección del pago realizado y, por ello, al hacerlo a un acreedor aparente, sin relación con el titular del crédito, sin cerciorarse de la verdad de esa apariencia, como demandaba una evidente norma de precaución y de seguridad en un ámbito de comercio (…) hemos de concluir confirmando la decisión judicial de instancia pues no podemos afirmar que ese pago realizado a tercero haya sido liberador de la deuda que ha seguido manteniendo con la demandante.”

Y en este sentido acabamos de recibir la Sentencia nº 286/2023 de 11 de Octubre del Juzgado de Primera Instancia nº 2 de Badalona:

“Entiende esta Juzgadora que el Sr. X, quien realizó el pago, debió cerciorarse de quien era el titular de la cuenta a la que efectuaba la transferencia. No resulta una actuación acorde con la diligencia exigida a un empresario que efectúe una transferencia de tan elevado monto (10.000 €) sin asegurarse que la cuenta de destino es de titularidad de su acreedor. Las reglas de la experiencia permiten a esta Juzgadora mantener que existen medios al alcance del empresario, nada gravoso, susceptibles de certificar la titularidad de la cuenta bancaria.

A lo anterior hay que añadir que, tampoco resulta ser una práctica diligente que el Sr. X, quien era el encargado habitual de efectuar las transferencias desconociera, no sólo el número de cuenta de pagos habitual de Y, sino cual era la entidad habitual (CAIXA BANK), máximo cuando la prueba practicada acredita que entre ambas empresas existía una relación de pagos habitual y que los pagos siempre se habían realizado al mismo número de cuenta. Sorprende a esta Juzgadora que la entidad X no tuviera una base de datos y en ella no tuviera introducida el número de cuenta para los pagos a Y. Si la entidad X hubiera mantenido un registro y base de datos adecuado, hubiera detectado el cambio de número de cuenta y, a buen seguro, el fraude.

A todo lo anterior hay que añadir que no considera conforme la “normo praxis” y acorde a un actuar diligente efectuar un pago de una cantidad tan elevada (10.000 €) y no comunicar al acreedor, de forma inmediata, el pago enviando el correspondiente justificante”

En todo caso, cometido el fraude, es necesario denunciarlo y ponerlo en conocimiento de la entidad bancaria lo antes posible, primero para ver la posibilidad de retrotraer la transferencia y sino, para efectuar la oportuna reclamación frente al banco.

El Real Decreto-Ley 19/2018 de 23 de noviembre de servicios de pago y otras medidas urgentes en materia financiera permite recuperar el dinero, al recoger en su artículo 45 la responsabilidad “cuasi objetiva” de la entidad bancaria cuando la víctima no haya dado autorización real a la transferencia del dinero y no haya habido fraude o negligencia grave por parte del usuario:

Las recientes Sentencias de la Audiencia Provincial de Madrid de fecha 21 de febrero de 2023 y de la Audiencia Provincial de La Rioja de 17 de febrero de 2023, entre otras, dicen:

“Sin perjuicio del artículo 43 de este real decreto-ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación”

Y la Sentencia de la Audiencia Provincial de Ourense de 9 de junio de 2023:

“Pues bien, el nuevo texto normativo no hace sino reforzar este sistema de responsabilidad cuasi objetiva, como corrobora la aplicación del mismo por la jurisprudencia más reciente de las Audiencias Provinciales. En este sentido, pueden citarse las SSAP de Madrid núm. 184/2022, de 20 de mayo (EDJ 2022/650415), y núm. 24/2023, de 13 de enero; la SAP de Zaragoza núm. 804/2022, de 1 de julio (EDJ 2022/660785); la SAP de Cantabria núm. 679/2022, de 19 de septiembre (EDJ 2022/748759); o la SAP de Valladolid núm. 689/2022, de 19 de octubre (EDJ 2022/747164), entre otras.

5 . Como se ha visto, la responsabilidad del proveedor de servicios de pago será excluible únicamente cuando el usuario de los servicios haya actuado fraudulentamente o haya incumplido, deliberadamente o por negligencia grave, una o varias de sus obligaciones en relación con los instrumentos de pago y las credenciales de seguridad personalizadas. En caso contrario, y siempre que el usuario lo comunique sin demora injustificada, el proveedor de los servicios de pago habrá de rectificar la operación no autorizada y devolver al usuario el importe de la misma.”

Fdo. María Vázquez Bernárdez

Col. 38.934 ICAB