ENSXXI Nº 16
NOVIEMBRE - DICIEMBRE 2007
JORNADAS CONJUNTAS BANCO DE ESPAÑA Y COLEGIO NOTARIAL DE MADRID
La protección del consumidor en la contratación bancaria
MARÍA LUISA GARCÍA TALLÓN
Jefa del servicio de Reclamaciones del Banco de España
Se trata la compleja problemática derivada de la suplantación de la personalidad o robo de identidad en las transacciones financieras, en su doble vertiente, la tradicional de falsificación en las operaciones financieras de corte tradicional y la más novedosa suplantación de identidad digital que comenzó con los fraudes de tarjetas y ha continuado con el cada vez más preocupante fraude en la banca on line que va adquiriendo cada vez mayor importancia, debido a la impunidad con la que en la mayoría de los casos actúan los delincuentes, y las elevadas cantidades que se pueden defraudar. Este fraude es realizado mediante la captura previa de las claves privadas de los usuarios de este Servicio, siendo el más conocido, aunque no el único, el denominado phising. Y es esta segunda vertiente del problema la que más preocupación nos genera y más incertidumbres plantea ya que ante la ausencia de marco normativo en el que apoyarnos, nos vemos obligados a realizar un análisis en el que empleamos fundamentalmente principios de buenas prácticas bancarias, y en particular el principio de equidad, proporcionalidad y justo equilibrio de las contraprestaciones, a la hora de valorar de exención de responsabilidad en aquellos casos en los que las entidades no asumen ningún coste en los fraudes de los que han sido objeto sus clientes.
Cuestiones más reclamadas de "Suplantación de Identidad"
Las cuestiones que han venido siendo objeto de mayor número de reclamaciones, son las derivadas del uso fraudulento de tarjetas de crédito o débito por aquellos que no son sus legítimos titulares. Dicha utilización puede haberse realizado en establecimientos comerciales, en compras por Internet y en cajeros automáticos mediante la utilización de las mismas para la obtención de dinero en efectivo.
Las operaciones financieras realizadas a través de la Banca por Internet, en las que se denuncia una suplantación de personalidad con fines fraudulentos, hacen referencia principalmente a las transferencias de fondos de la cuenta de un titular a la de un intermediario de la que posteriormente se extraen los fondos en efectivo o mediante transferencia al extranjero a través de un establecimiento de gestión de transferencias, momento en el cual se hace muy difícil su recuperación. El fraude puede alcanzar las disposiciones de fondos con cargo al límite de la tarjeta, con las que se nutren los fondos de la cuenta del titular legítimo de la misma, para posteriormente proceder como en el caso anterior, e incluso se observan casos en los que se producen ordenes de ventas de valores por parte de un tercero suplantando la personalidad de su titular, para su abono bien en la cuenta de dicho titular, desde donde después se transfieren fraudulentamente, bien en la cuenta de un tercero de la cual se extraen los fondos simultáneamente.
"Se trata la compleja problemática derivada de la suplantación de la personalidad o robo de identidad en las transacciones financieras, en su doble vertiente, la tradicional de falsificación en las operaciones financieras de corte tradicional y la más novedosa suplantación de identidad digital"
Otros casos de suplantación de personalidad que tradicionalmente se han venido presentando han sido los de falsificación de firma para extracciones de dinero en efectivo, falsificación de cheques, pagarés o letras.
De forma más esporádica se reciben reclamaciones por contratación de operaciones de préstamo o crédito por terceros que suplantan la personalidad del reclamante, si bien estos casos son habitualmente tratados en la Central de Información de Riesgos, en la que aparecen como titulares de deudas que realmente no les corresponden.
Normativa aplicable
Para el caso de uso fraudulento de tarjetas de pago, nuestras resoluciones se basan en la siguiente normativa:
Normativa comunitaria:
a. Recomendación 88/590/CEE, de la Comisión, de 17 de noviembre, relativa a los sistemas de pago y, en particular, a las relaciones entre titulares y emisores de tarjetas.
b. Recomendación 97/489/CE, de la Comisión, de 30 de julio de 1997, relativa a las transacciones efectuadas mediante instrumentos electrónicos de pago, en particular las relaciones entre emisores y titulares de tales instrumentos.
Normativa nacional:
a. Código de Buena Conducta de la Banca Europea con respecto a los sistemas de pago mediante tarjeta, de 14 de noviembre de 1990.
b. Ley 7/1996, de 15 de enero de Ordenación del Comercio Minorista.
Las normas fundamentales que utilizamos son:
1. El Código de Buena Conducta de la Banca Europea, asumido voluntariamente por todo el sector, como adaptación de la Recomendación 88/590/CEE, y que limita la responsabilidad del titular de la tarjeta a 150 euros para el caso de uso fraudulento, que no implique negligencia en la custodia por parte del mismo,
2. La Ley 7/1996 de Ordenación del Comercio Minorista, en su artículo 46-1º, reformado por la Ley 47/2002 de 19 de diciembre, que establece para los pagos mediante tarjeta de crédito, que cuando el importe de una compra hubiese sido cargado fraudulenta o indebidamente utilizando el número de una tarjeta de pago, su titular podrá exigir la inmediata anulación del cargo. En tal caso, las correspondientes anotaciones de adeudo y reabono en las cuentas del proveedor y del titular se efectuarán a la mayor brevedad.
Utilización fraudulenta de tarjetas de pago
Utilizaciones en Terminales Punto de Venta físicos
Cuando se trata de utilizaciones fraudulentas en Terminales Punto de Venta físicos, tenemos que atenernos a los clausulados de los contratos de afiliación a los sistemas de pago suscritos entre la entidad financiera y el comercio, en el cual éste se compromete a admitir la retrocesión de aquellas operaciones que sean rechazadas por el titular, salvo que pueda acreditar, mediante la exhibición de la correspondiente boleta de compra firmada su autoría. Los reglamentos de las emisoras de tarjetas contemplan esta situación como motivo de rechazo del cargo.
Al margen de lo dicho la doctrina y jurisprudencia es poco pacífica en relación con la responsabilidad de la entidad del comercio por la utilización de tarjetas por quienes no son sus titulares, ya que hay sentencias que afirman que la entidad es una mera intermediaria y la responsabilidad cae sobre la sociedad que implantó el sistema (A.P. Madrid 11.4.987) y otras que mantienen lo contrario (A.P. Castellon 13.10.2004). En definitiva la resolución en estos casos debe ser objeto de consideración por los tribunales de justicia.
Cuando se produzca controversia sobre la realización de operaciones, porque éstas sean rechazadas por su titular, la entidad financiera deberá proceder a la inmediata retrocesión del apunte, pudiendo proceder de nuevo a su abono si el comercio justifica la realidad de las operaciones, aportando el justificante de la transacción.
Utilización en Terminales Punto de Venta virtuales
Con relación a las utilizaciones fraudulentas realizadas en Terminales Punto de Venta virtuales (el denominado e-comercio) El libre consentimiento prestado al uso del medio de pago elegido para la transacción comercial, debe tener los mismos efectos jurídicos que la firma de la factura expedida por el proveedor, que constituye una prueba escrita de la prestación de consentimiento.
Si el cliente negara la existencia de la transacción comercial, la entidad, ante tal argumento y con la diligencia exigible en estos casos, debería iniciar la retrocesión del apunte controvertido, hasta que reciba la acreditación documental de la existencia de la operación comercial y del consentimiento prestado por el titular de la tarjeta, incluyendo la comunicación del número de dicha tarjeta, sistema habitualmente utilizado en Internet para el uso de dicho medio de pago. La entidad está obligada, como mera intermediaria en este tipo de operaciones, al cumplimiento del reglamento del sistema de tarjetas correspondiente, en especial al plazo que se señale para poder reclamar la devolución de los cargos provenientes del pago con tarjetas de compras de bienes.
Como ya se ha señalado, en este punto, la Ley 7/1996 de Ordenación del Comercio Minorista en su artículo 46-1º, reformado por la Ley 47/2002 de 19 de diciembre, establece para los pagos mediante tarjeta de crédito, que cuando el importe de una compra hubiese sido cargado fraudulenta o indebidamente utilizando el número de una tarjeta de pago, su titular podrá exigir la inmediata anulación del cargo. En tal caso, las correspondientes anotaciones de adeudo y reabono en las cuentas del proveedor y del titular se efectuarán a la mayor brevedad.
Cuando se produzca controversia sobre la realización de operaciones, las entidades han de estar en condiciones de justificar la realidad de las que pretenden adeudar a sus clientes, aportando el justificante de la transacción que corresponda, uniendo el necesario respaldo contractual en aquellos casos que así se precise, remitiendo copia de los registros informáticos que reflejan la transacción cuestionada, acreditando corresponder la numeración de la tarjeta a la asignada al interesado y figurando la operación terminada normalmente. Si no es así, y además se aporta por el titular de la tarjeta una evidencia del carácter fraudulento o indebido del cargo, es indudable que no sería correcto por parte de la entidad adeudar o mantener en cuenta de su cliente las disposiciones cuestionadas.
Con independencia de lo anterior, creemos conveniente que las entidades, en general, procedan a actualizar los contratos, adaptándolos a las características de los comercios virtuales, pues debido a sus peculiares circunstancias, se hace preciso que su clausulado recoja las especialidades de la nueva operativa a través de Internet y se definan claramente las responsabilidades de cada parte contratante.
Utilización en cajeros automáticos
La utilización de tarjetas de pago en cajeros automáticos por quien no es el legítimo titular, es una cuestión ampliamente debatida y que ha sido objeto de múltiples pronunciamientos jurisprudenciales. Ya que en este caso entra en juego la responsabilidad del titular de la tarjeta en la custodia de sus claves, las distintas posibilidades de averiguar las mismas por parte de terceros, y los casos de clonaciones de tarjetas que tanto han proliferado en los últimos tiempos, con auténticas redes que funcionan a través de Internet.
En este punto el criterio de Servicio de Reclamaciones se encuentra bastante consolidado, apoyándose siempre en la cláusula de limitación de la responsabilidad impuesta por el Código de Buena Conducta de la Banca Europea, con un límite a cargo del titular de la tarjeta de 150 euros salvo que se acredite actuación negligente por parte del mismo, negligencia que deberá ser apreciada por los tribunales de justicia y no por las entidades como parte interesada. Existen numerosas resoluciones al respecto, que consideran que no es causa suficiente para enervar el límite de responsabilidad, las alegaciones de las entidades cuando éstas se limitan a señalar la imposibilidad de averiguación del número PIN si no es porque el cliente lo haya facilitado.
Fraude en la banca "on-line"
Los fraudes por Internet han crecido de manera alarmante durante los últimos años, y han empezado a tener su reflejo en el Servicio de Reclamaciones en el año 2006, con un fuerte incremento en los dos últimos meses del año que ha continuado durante el año 2007. El primer problema con el que nos encontramos es la falta de una regulación específica de las operaciones que se realizan a través de Internet. Es evidente que el mayor problema con el que nos enfrentamos es el de la correcta identificación del cliente, cuando las relaciones se mantienen a distancia a través de medios electrónicos.
La problemática planteada se centra fundamentalmente en la denuncia de disposiciones fraudulentas de las cuentas de los clientes de banca "on line" por terceros que han suplantado su personalidad utilizando sus claves de acceso previamente capturadas mediante la utilización de las técnicas de ingeniería social, entre las que se encuentran el tan conocido phising.
Pero el problema que se plantea en estos casos, es que en los contratos no existe (como en los de las tarjetas y otros medios de pago electrónico) una cláusula limitativa de responsabilidad para el titular, por lo que los importes defraudados pueden alcanzar límites tan elevados como la totalidad de los fondos que el cliente mantenga en las cuentas de la entidad. Es más, el clausulado de los contratos de servicio de banca on line, redactados por la entidad financiera, hacen recaer las consecuencias del uso indebido de su firma electrónica siempre en el cliente, asimilando dicho uso indebido con una negligente custodia de su firma electrónica de la que no pueden hacerse responsables.
¿Cuál ha sido la evolución del criterio del Servicio de Reclamaciones ante dicha situación?. En un primer momento se adoptó una postura de precaución, remitiendo a los Tribunales de Justicia para que determinaran la responsabilidad del presunto fraude cometido.
En un segundo momento y ante el aumento de casos presentados y las argumentaciones de los clientes, que manifestaban no haber hecho uso indebido de las claves, tener sus equipos debidamente protegidos o incluso no ser titulares de firma electrónica, sino tan solo de clave de acceso para consulta, se plantearon serias dudas a cerca de si se podía, desde el punto de vista de las buenas prácticas bancarias, hacer remisión sistemática a la resolución de tribunales de todas las reclamaciones que se nos planteaban.
Con objeto de hacer participes a entidades y otras organizaciones de este problema, se celebró el pasado mes de febrero de 2007 un Foro sobre fraude bancario a través de Internet.
Con posterioridad al mismo, las alegaciones recibidas de entidades reclamadas por este motivo fueron ampliándose y completándose, si bien siguieron manteniendo su ausencia de responsabilidad, alegando que sus clientes habían mostrado una custodia negligente de sus claves.
Ahora bien, desde el punto de vista de las buenas prácticas bancarias, el Servicio de Reclamaciones, para poder emitir un pronunciamiento no contrario a la entidad cuyo cliente haya sido objeto de fraude a través de la utilización de la banca electrónica deben cumplirse un mínimo de requisitos que sean objeto de acreditación por parte de la misma, no admitiéndose que la carga de la prueba recaiga exclusivamente en su cliente, que no solo es la parte más débil sino que, no olvidemos se ha visto en esa situación al aceptar un canal para operar que le ha sido ofrecido por la entidad financiera.
En primer lugar se requiere acreditar la información previa ofrecida sobre el conocimiento del compromiso y riesgo asumido en la contratación. En segundo lugar la formación y asesoramiento necesario para el uso adecuado del canal, y custodia de las claves, siendo recomendable la inclusión por parte del Banco en su sitio de Internet, de aspectos tales como: la identidad y dirección exacta del Banco (es importante dejar claro el URL, ya que se han dado casos de URLs prácticamente idénticos que son utilizados para sustraer datos).
En segundo lugar respecto el contrato debemos señalar que el mismo deber estar accesible al público antes de contratar el servicio, a fin de que el cliente pueda analizar todo su clausulado y corroborar que se le garantice la seguridad de sus datos, toda vez que éstos contratos son de adhesión y el cliente no puede hacerle modificaciones por lo que tiene que estar seguro de su contenido antes de suscribirlo.
En tercer lugar, la diligencia en la gestión de la recuperación de los fondos, en la que entran en juego los acuerdos de colaboración que las entidades financieras formalicen a estos efectos (carta de la AEB dando instrucciones de procedimiento). Por último entramos en el conflictivo campo de la responsabilidad. En nuestra opinión no podemos admitir una exención total de responsabilidad cuando son las entidades las que ofrecen el sistema y establecen los mecanismos de seguridad y autenticación que consideran convenientes. Que si es cierto que van siendo objeto de mejoras constantes, también es cierto que ello es porque son mejorables, y no parecería equitativo que los clientes que no pudieron beneficiarse en su momento de dichas mejoras, y fueron objeto de fraude, tengan que sufrir la totalidad de sus consecuencias, salvo que se realice una actividad probatoria que al menos permita determinar indicios de actuación negligente en el cliente.
Sobre la base de dichos razonamientos la resolución de cada reclamación tendrá en consideración todos estos factores, valorándose caso a caso la respuesta de las entidades, siendo recomendable que las mismas asumieran formalmente e hicieran pública la responsabilidad que por este motivo asumen.