Responsabilidad por phishing de la banca

La responsabilidad de la entidad bancaria viene determinada por la aplicación del contrato de depósito en cuenta corriente por el cual se constituye un depósito irregular con la consecuencia prevista en el artículo 307.3 del Código de Comercio, por la cual, al quedar el dinero depositado confundido con el patrimonio del depositario, éste ha de soportar los riesgos derivados de su deber de conservar la cosa depositada. A la misma conclusión llegamos si examinamos el hecho desde otra perspectiva, la del pago como modo de extinción de las obligaciones (artículos 1156 y siguientes del C.C.). La obligación del depositario de devolver al depositante la cosa depositada (artículos 1766 del C.C. y 306 del C. de Comercio) se extingue por el pago, pero éste sólo es eficaz cuando se hace a la persona en cuyo favor estuviese constituida la obligación o a otra autorizada para recibirla en su nombre, como nos dice el artículo 1162 del C.C.
Por tanto, la entrega de la cosa depositada a una persona distinta de las expresadas en esa última norma no produce el efecto extintivo de la obligación del depositario relativa a la devolución del objeto del depósito. Y es lo que aquí ocurre cuando el Banco es engañado por persona no titular de la cuenta y transfiere indebidamente todo o parte de la cantidad depositada. En tal caso el Banco tiene la obligación derivada de los preceptos citados de reembolsar al depositario el importe indebidamente entregado a un tercero, sin perjuicio de que pueda ejercitar las acciones civiles que le correspondan contra los autores de la estafa o de la receptación. (Sentencia de la Audiencia Provincial de Granada, Sección 1ª de fecha 27 de Junio de 2008).
El objeto litigioso se nucleariza en una acción de reclamación de cantidad dimanante de un contrato celebrado entre las partes remitiéndose a lo que denomina apertura de libreta servicio y que en definitiva se trata de un contrato de servicios de banca electrónica; y ello como consecuencia de la realización de varias  transferencias bancarias por Internet a terceras personas, sin consentimiento ni orden del depositante.
Para que el comercio electrónico pueda desarrollarse con normalidad es preciso que la legislación aplicable a un contrato reconozca la equivalencia funcional de los actos empresariales electrónicos. Es decir, hay que atribuir equivalencia funcional a los actos jurídico-electrónicos, respecto de los actos jurídicos-escritos como autógrafos o incluso orales, mediante el reconocimiento de que la función jurídica que cumple la voluntad escrita y autógrafa respecto de todo acto jurídico, o su expresión oral, la cumple igualmente la instrumentación electrónica a través de un mensaje de datos, con independencia del contenido, extensión, alcance y finalidad del acto así instrumentado (art. 23,1 de la Ley de Comercio Electrónico).
Por otro lado, las normas específicamente dedicadas al comercio electrónico se encargan de poner de manifiesto que su materialización no implica, en principio, una modificación sustancial del derecho existente de obligaciones y contratos. (Art. 23,1, párrafo 2º de la Ley de Comercio Electrónico).
En la práctica, el principal problema que se plantea es el de la prueba de la existencia de las declaraciones de voluntad que dan lugar al contrato, cuando éste se lleva a cabo a través de un medio intangible como el electrónico. La solución viene dada por “la firma electrónica”. En la actualidad los mecanismos de firma electrónica han evolucionado hacia sistemas más sofisticados como la denominada criptografía asimétrica o de doble clave, que consigue solventar los problemas que la transmisión del mensaje por vía telemática plantea, al tiempo que globalizar el sistema de claves de forma que un universo indeterminado de usuarios puedan contratar entre sí, sin tener que comunicarse previamente sus claves secretas de forma individualizada.
En este sistema de criptografía asimétrica cada usuario cuenta con dos claves, una de las cuales es pública, porque se distribuye libremente a través de la red para que todo aquel que tenga interés en mantener una comunicación con su titular pueda conocerla. Pero, además, hay una clave privada, únicamente conocida por su titular, que se corresponde con la pública. La combinación sucesiva de ambas claves de la manera que se describe a continuación permite imputar la autoría de los mensajes a quien dice ser su emisor, y ofrece otro tipo de ventajas como el mantenimiento de la confidencialidad de sus contenidos : 1º) Autentificación, integridad y no rechazo en origen; 2º) No rechazo en destino y, 3º) Confidencialidad.
Además de todo ello, para solventar una serie de déficits de seguridad se han apuntado dos remedios: a) la creación de un registro de claves públicas que responda de la autenticidad de la información registrada; b) el recurso a un tercero de confianza que certifique la clave pertenece a la persona en cuestión; es decir, una autoridad de certificación.
Así las cosas, la Ley atribuye a la firma electrónica avanzada o reconocida respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel (art. 3,4 de la Ley de Firma Electrónica).
Ello conduce a que pueda imputarse la autoría de una declaración de voluntad negocial, según el artículo 24 de la Ley de Comercio Electrónico.
Cuanto acaba de dejarse expuesto conduce a que el uso de la firma digital permite establecer una presunción iuris tantum de que la declaración de voluntad, cifrada por este sistema y acompañada por el correspondiente certificado, ha sido emitida por su titular, presunción que puede ser destruida mediante la prueba por parte del mismo de que su firma ha sido utilizada ilegítimamente por un tercero no autorizado. En este sentido pueden plantearse supuestos de sustracción de la firma privada, dado que no hay una comprobación física de la identidad de la persona que emite cada declaración de voluntad, sino únicamente del solicitante del certificado.
La operativa suele ser la siguiente: en el correo electrónico remitido por el sustractor se comunica al cliente de una determinada entidad de crédito que, debido a un fallo en el sistema informático de la misma, es necesario proceder a verificar la información sobre todos sus clientes, por lo cual se le solicita que consigne en un formulario sus datos de identificación y clave de acceso. A veces añade la amenaza de anular la cuenta de los clientes que no procedan a esta verificación. Cuando el cliente accede a transmitir esta información lo hace a través de una página web trucada que reproduce fielmente la de la entidad de crédito (web spoofing, phishing), alojada en un servicio de hosting anónimo bajo un nombre de dominio muy similar al de la entidad de crédito. Cuando los delincuentes tienen los datos de identificación del cliente y su clave secreta, proceden a vaciar el saldo de sus cuentas en la entidad de crédito mediante unas órdenes de transferencia. Sentencia  del Juzgado de Primera Instancia nº 2 de Castellón, de 25 junio 2008.
Y como dice la Sentencia de la Audiencia Provincial de Madrid,  Sección 13ª, de 11 de febrero de 2005, las cláusulas desplazan la responsabilidad que incumbe al Banco hacia su cliente que no ha tenido ninguna participación en el daño causado, infringiendo así lo contemplado en la cláusula 14 de la Disposición Adicional primera de la Ley General para la Defensa de Consumidores y Usuarios en cuanto impone limitación de los derechos del consumidor.

Eduardo Laraño Diaz.