QUÈ PUC FER SI HE ESTAT VÍCTIMA D’UN MAN – IN -THE – MIDDLE PHISHING? (estafa a través d’internet mitjançant la qual intervenen les comunicacions per modificar dades bancàries i fer-se amb els diners)

Ens estem trobant amb nombrosos supòsits en què els hackers intervenen el correu electrònic on s’adjunta una factura i modifiquen el número de compte perquè, en comptes que els diners arribin al seu destinatari -creditor- s’enviï a l’estafador. Què passa en aquests cas? Queda alliberat el deutor per haver fet el pagament?

La posició majoritària s’inclina per l’aplicació de la doctrina del creditor aparent, recollida a la Sentència del Tribunal Suprem de 17 d’octubre de 1998, en base a l’article 1162 del CC, és a dir, només el pagament que es fa al veritable creditor extingeix l’obligació i allibera el deutor del compliment.

Ara bé, part de la jurisprudència entén aplicable l’article 1164 del CC, que estableix que el pagament fet de bona fe a qui estigués en possessió del crèdit sí que té efectes alliberadors, sempre que es compleixin una sèrie de requisits, tal com indica la Sentència de l’Audiència Provincial de Madrid núm. 501/2019 de 28 d’octubre. En aquest cas, el deutor ha de provar, no només que creia que estava pagant al veritable creditor, sinó que aquesta creença existia tot i haver emprat la diligència exigible d’acord amb les circumstàncies del cas.

La Sentència nº 64/22 de l’Audiència Provincial de Palència de 31 de gener de 2022 diu:

“ahora bien, no basta con esa apariencia en el receptor del pago y la buena fe de quien paga, requisitos que recoge expresamente el precepto, pues también comporta una regla de responsabilidad, ligada a la idea de apariencia jurídica, haciendo depender el efecto liberatorio del pago para el deudor solo cuando haya actuado con la diligencia debida. (…)

Buena fe objetiva que, a diferencia de la subjetiva, no se presume, ha de ser probada por quien la invoca (…)

Y de no concurrir tales presupuestos el deudor resulta obligado a pagar a su acreedor, sin perjuicio de reclamar a quien consideró acreedor, la devolución de lo entregado.

(…)

Por ello, como reclama la jurisprudencia, es exigible al deudor una necesaria actividad acorde con la diligencia exigible o debida a fin de que se cerciore de que, quien aparece como acreedor, lo es en realidad”

Per tant, el que ens està exigint la jurisprudència és una major diligència, una major cura abans de fer una transferència a un número de compte facilitat a través de correu electrònic, fer una verificació que aquest és correcte i pertany al veritable creditor.

I quan es tracta de relacions comercials, encara cal extremar més aquesta diligència, entenent la jurisprudència, Sentència de l’Audiència Provincial de Palència de 31/01/2022: que “al no comprobar la corrección de la cuenta bancaria que no era la de otras ocasiones” (…) “el engaño que determinó el acto de disposición patrimonial lo sufre el demandado, y por ello no puede quedar liberado por su falta de diligencia objetiva” (…) “la demandada no fue objetivamente diligente en la protección del pago realizado y, por ello, al hacerlo a un acreedor aparente, sin relación con el titular del crédito, sin cerciorarse de la verdad de esa apariencia, como demandaba una evidente norma de precaución y de seguridad en un ámbito de comercio (…) hemos de concluir confirmando la decisión judicial de instancia pues no podemos afirmar que ese pago realizado a tercero haya sido liberador de la deuda que ha seguido manteniendo con la demandante.”

I en aquest sentit acabem de rebre la Sentència núm. 286/2023 d’11 d’octubre del Jutjat de Primera Instància núm. 2 de Badalona:

“Entiende esta Juzgadora que el Sr. X, quien realizó el pago, debió cerciorarse de quien era el titular de la cuenta a la que efectuaba la transferencia. No resulta una actuación acorde con la diligencia exigida a un empresario que efectue una transferencia de tan elevado monto (10.000 €) sin asegurarse que la cuenta de destino es de titularidad de su acreedor. Las reglas de la experiencia permiten a esta Juzgadora mantener que existen medios al alcance del empresario, nada gravoso, susceptibles de certificar la titularidad de la cuenta bancaria.

A lo anterior hay que añadir que, tampoco resulta ser una práctica diligente que el Sr. X, quien era el encargado habitual de efectuar las transferencias desconociera, no sólo el número de cuenta de pagos habitual de Y, sino cual era la entidad habitual (CAIXA BANK), máximo cuando la prueba practicada acredita que entre ambas empresas existía una relación de pagos habitual y que los pagos siempre se habían realizado al mismo número de cuenta. Sorprende a esta Juzgadora que la entidad X no tuviera una base de datos y en ella no tuviera introducida el número de cuenta para los pagos a Y. Si la entidad X hubiera mantenido un registro y base de datos adecuado, hubiera detectado el cambio de número de cuenta y, a buen seguro, el fraude.

A todo lo anterior hay que añadir que no considera conforme la “normo praxis” y acorde a un actuar diligente efectuar un pago de una cantidad tan elevada (10.000 €) y no comunicar al acreedor, de forma inmediata, el pago enviando el correspondiente justificante.

En tot cas, comès el frau, cal denunciar-ho i posar-ho en coneixement de l’entitat bancària com més aviat millor, primer per veure la possibilitat de retrotreure la transferència i sinó, per efectuar l’oportuna reclamació davant del banc.

El Reial decret llei 19/2018 de 23 de novembre de serveis de pagament i altres mesures urgents en matèria financera permet recuperar els diners, en recollir a l’article 45 la responsabilitat “quasi objectiva” de l’entitat bancària quan la víctima no hagi donat autorització real a la transferència dels diners i no hi hagi hagut frau o negligència greu per part de l’usuari:

Les recents Sentències de l’Audiència Provincial de Madrid de data 21 de febrer de 2023 i de l’Audiència Provincial de la Rioja de 17 de febrer de 2023, entre d’altres, diuen:

“Sin perjuicio del artículo 43 de este real decreto-ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación”

I la Sentència de l’Audiència Provincial d’Orense de 9 de juny de 2023:

“Pues bien, el nuevo texto normativo no hace sino reforzar este sistema de responsabilidad cuasi objetiva, como corrobora la aplicación del mismo por la jurisprudencia más reciente de las Audiencias Provinciales. En este sentido, pueden citarse las SSAP de Madrid núm. 184/2022, de 20 de mayo (EDJ 2022/650415), y núm. 24/2023, de 13 de enero; la SAP de Zaragoza núm. 804/2022, de 1 de julio (EDJ 2022/660785); la SAP de Cantabria núm. 679/2022, de 19 de septiembre (EDJ 2022/748759); o la SAP de Valladolid núm. 689/2022, de 19 de octubre (EDJ 2022/747164), entre otras.

5 . Como se ha visto, la responsabilidad del proveedor de servicios de pago será excluible únicamente cuando el usuario de los servicios haya actuado fraudulentamente o haya incumplido, deliberadamente o por negligencia grave, una o varias de sus obligaciones en relación con los instrumentos de pago y las credenciales de seguridad personalizadas. En caso contrario, y siempre que el usuario lo comunique sin demora injustificada, el proveedor de los servicios de pago habrá de rectificar la operación no autorizada y devolver al usuario el importe de la misma.”

Fdo. María Vázquez Bernárdez

Col. 38.934 ICAB