ENSXXI Nº 16
NOVIEMBRE - DICIEMBRE 2007
JORNADAS CONJUNTAS BANCO DE ESPAÑA Y COLEGIO NOTARIAL DE MADRID
La protección del consumidor en la contratación bancaria
FERNANDO GOMÁ LANZÓN
Notario
La ponencia versará sobre, y alrededor de, la cláusula que suele aparecer en los contratos de banca electrónica, en la que se exime de responsabilidad a la entidad en los casos de pérdida o sustracción de las claves, y hasta que estos hechos se les hayan notificado.
Un ejemplo real de esta cláusula de un contrato de una entidad cualquiera es el siguiente: “El Banco no responderá de los perjuicios que pudieran derivarse para el Usuario en los siguientes supuestos: a) Cuando, en su caso, el dispositivo de creación de firma electrónica, el NIP y/o contraseñas fueran utilizadas por otra persona, cualquiera que fuera el motivo por el que hubieran llegado a conocimiento o posesión de dicha persona, salvo que se hubiese notificado al Banco la pérdida, sustracción o copia de la Tarjeta y/o el conocimiento indebido del NIP y/o contraseñas.”
En estos contratos se usan términos como firma electrónica, NIP, contraseñas, claves, etc. ¿Cómo funcionan en la práctica? Como curiosidad, el ponente ha realizado una recopilación de las que personalmente utilizo en banca electrónica (con nueve entidades), y resulta que:
Para entrar:
Siete de ellas utilizan el par de usuario + contraseña. El Usuario puede ser el DNI, el NIF, los datos de una tarjeta de crédito, o un número aleatorio. La contraseña es siempre aleatoria, y a veces se piden solamente algunos dígitos de la contraseña total. En uno de ellos, se permite entrar también utilizando el DNI electrónico.
Hay un octavo que requiere usuario + contraseña + tarjeta de coordenadas.
Y el noveno, usuario (NIF) +fecha de nacimiento + contraseña (parte de ella).
"La cláusula contractual que estamos tratando lo que hace en realidad es elevar voluntariamente el valor jurídico de la firma básica, que es la que usa la banca para el acceso y para las operaciones por vía electrónica, al rango de firma reconocida, y por tanto al de firma manuscrita"
Para operar:
También siete requieren la tarjeta de coordenadas. Uno, contraseña sin más, y otro, una contraseña de un solo uso por medio de SMS. Y en uno de ellos se permite, alternativamente, validar por medio del certificado de la F.N.M.T.
¿Qué son, jurídicamente, estas claves y contraseñas? Pues son firma electrónica, dado que la ley 59/2003 de firma electrónica, en su artículo 3.1 dice que:
Artículo 3. Firma electrónica, y documentos firmados electrónicamente.
1. La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.
Son, por tanto, firma electrónica “básica”, pero no son firma electrónica avanzada o reconocida, puesto que éstas precisan de mayores requisitos técnicos, según los dos párrafos siguientes.
2. La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.
3. Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma.
Solamente a la firma reconocida se le concede el valor de firma manuscrita, y no a las de rango inferior, conforme al párrafo 4º:
4. La firma electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel.
¿Qué eficacia jurídica tiene entonces la firma básica? Pues, como dice el párrafo 9º:
9. No se negarán efectos jurídicos a una firma electrónica que no reúna los requisitos de firma electrónica reconocida con relación a los datos a los que esté asociada por el mero hecho de presentarse en forma electrónica.
Lo que no se dice es qué efectos jurídicos son los que tendrá, sino solamente que no se le negarán, pero el párrafo siguiente, el 10º, dice que:
10. A los efectos de lo dispuesto en este artículo, cuando una firma electrónica se utilice conforme a las condiciones acordadas por las partes para relacionarse entre sí, se tendrá en cuenta lo estipulado entre ellas.
Este párrafo 10º es en realidad una aplicación concreta del 1255 CC, o, si se quiere, una indicación de que los párrafos anteriores no son normas de derecho necesario. De hecho, ya en el año 2000, el ponente escribió acerca de la posibilidad de una escritura pública de reconocimiento mutuo de firmas digitales, en la cual las partes regularían particularmente los efectos de la firma electrónica que utilicen en sus relaciones.
"Una cláusula con la redacción actual en materia de responsabilidad, de exención incondicionada al banco, sin matices y atribuyéndola toda ella al usuario, parece difícil de sostener"
La cláusula contractual que estamos tratando lo que hace en realidad es elevar voluntariamente el valor jurídico de la firma básica, que es la que usa la banca para el acceso y para las operaciones por vía electrónica, al rango de firma reconocida, y por tanto al de firma manuscrita. Y, en principio, con la posibilidad de pacto recogida en el párrafo 10º, podría entenderse que la cláusula, tal y como suele redactarse, sería admisible sin más investigación. Sin embargo, lo cierto es que ambas partes contratantes no se encuentran equilibradas, sino que por el contrario existe una posición dominante por parte de la banca, que hace que entren en juego otras normas que ponen en cuestión esta afirmación:
1) La ley 7/1998, de 13 de abril, de condiciones generales de la contratación, porque evidentemente la cláusula tipo que estamos tratando es una condición general de contratación. De esta norma simplemente quiero destacar que exige conocimiento y aceptación total de las condiciones generales por parte del consumidor, y si no existen, ello determinaría la no incorporación de la cláusula al contrato, conforme al artículo 7 párrafo 1º.
2) La ley 26/1984, de 19 de julio, de defensa de los consumidores y usuarios, Esta ley regula las cláusulas abusivas, las cuales son estipulaciones no negociadas individualmente que en contra de las exigencias de la buena fe causen en perjuicio del consumidor un desequilibrio importante de derechos y obligaciones entre las partes, y en todo caso lo son las que establece como un listado en la disposición adicional 1ª.
En ese listado desde luego no hay ninguna en la que la cláusula que estamos analizando encaje exactamente. Sin embargo, la número 19 dice que es abusiva:
19. La imposición de la carga de la prueba en perjuicio del consumidor en los casos en que debería corresponder a la otra parte contratante.
En este caso no hay asunción de la carga por parte del consumidor, sino algo más, como es la imposibilidad de prueba en contrario. Y aparte de este punto concreto, sí hay ciertos factores en la misma que eventualmente podrían hacer que una instancia judicial apreciara la existencia de ese “desequilibrio importante contrario a la buena fe” exigido por la ley con carácter general:
1. No es contra la buena fe, porque la custodia de las claves y la obligación de notificar la pérdida o sustracción son obligaciones lógicas, pero no tiene en cuenta la propia buena fe del cliente, en un mundo como el de las Nuevas Tecnologías a veces tan ajeno al cotidiano.
2. En este mismo sentido, objetiva una responsabilidad independientemente de la culpa real del usuario, con presunción iuris et de iure.
3. No causa un desequilibrio importante de derechos y obligaciones, pero sí un desequilibrio en las posiciones relativas de los contratantes, puesto que excluye la posible culpa de la entidad.
4. Son cláusulas aceptadas por el cliente, pero es problemático que siempre lo sean con el grado de conocimiento y aceptación que exige la ley de condiciones generales de la contratación en su artículo 7.1 para que no queden excluidas del contrato.
Quizá no sea cláusula abusiva, pero, como alguna vez el ponente ha expresado en tono jocoso, podría considerarse que al menos es un poco abusona sobre todo por no contemplar la posibilidad de que el consumidor pueda ser completamente inocente, puesto que siempre se le atribuye la responsabilidad.
No obstante, esta reflexión no debe hacernos pasar al extremo contrario, que sería el afirmar que la entidad estaría obligada en todo caso a demostrar su falta de culpa en caso de una reclamación por supuesto fraude en banca electrónica.
Federico de Castro, el ilustre civilista, dijo, refiriéndose al Código Civil español, que es un texto que se dirige fundamentalmente a los propietarios, a los que considera por “ciudadanos libres y conscientes, fundamentalmente iguales, y capaces de ejercer y defender sus derechos”. De ahí que su regla fundamental sea lo que De Castro llama la “isonomía”, la justicia conmutativa entre iguales.
No estamos, ciertamente, hablando de propiedades, sino de cuestiones bien distintas, pero creo que uno de los principios de nuestra sociedad civil, naturalmente matizado por otros muchos, es precisamente, ese carácter de “consciente” del ciudadano.
Hay ordenamientos jurídicos de otros países en los que la judicialización completa del sistema permite entablar demandas contra los proveedores de bienes y servicios sobre la base de que el propio demandante es una persona de pocas luces, y lo que es más importante, obtener suculentas indemnizaciones. Por eso en muchas ocasiones leemos instrucciones para el manejo de determinados aparatos que incluyen advertencias que pueden parecernos una tanto estrambóticas, pero que obedecen a ese designio de protegerse contra las demandas de ese consumidor “tan ignorante”. Así, se advierte de que no se debe agarrar el cuchillo por la hoja, o de que el piloto automático no toma las curvas de la carretera por sí mismo.
No ocurre así en España, afortunadamente, sino que por el contrario, el ordenamiento jurídico, con mucho mejor criterio, presupone en cada persona una cierta dosis de sentido común, y una responsabilidad “estándar”, acorde con ello.
1. En concreto, en el caso de las claves o NIP, parece bastante evidente que son secretas, del mismo modo que lo son, por ejemplo, las claves de las tarjetas de cajero o de crédito y en general parecería difícil argumentar por parte de un cliente que desconocía completamente esa circunstancia. La responsabilidad, ciertamente, debe ser suya en el caso de que las revele voluntariamente a otra persona salvo supuestos verdaderamente excepcionales.
2. Sin embargo, a veces el cliente las da, voluntariamente, pero por medio de engaños, creyendo que la propia entidad las solicita, a través del denominado phising, o del novedoso smishing (lo mismo que el phising pero a través el móvil). Aunque las entidades se esfuerzan en alertar a sus clientes, muchas veces esa información no llega, o, por su complejidad intrínseca, no es entendida por los destinatarios. Aquí la delimitación de la responsabilidad puede volverse más nebulosa, puesto que en muchas ocasiones es el propio nombre de la entidad el verdadero gancho que es utilizado para el engaño.
3. Y luego existe un tercer grupo de casos, que son aquellos en los que puede haber existido un fallo en el sistema del banco y una fuga de datos (informático o humano, culpable o no por parte de la entidad), que ha determinado que las claves de una persona estén en poder de otra. Hay reclamaciones de clientes que aseguran que no han proporcionado las claves de ninguna manera, o incluso, que solamente poseen claves de acceso, y no de operaciones. No será un supuesto frecuente, pero, de hecho, si se puede entrar en los ordenadores de Pentágono, cualquier ordenador es, en principio, vulnerable, y en un juicio no se podría descartar esta posibilidad.
"Sartori trata de la actual preponderancia de lo visible sobre lo inteligible. Contempla cómo la revolución multimedia está transformando al «homo sapiens», producto de la cultura escrita, en un «homo videns», para el cual la palabra ha sido anulada por la imagen"
En conclusión de todo lo expuesto, una cláusula con la redacción actual en materia de responsabilidad, de exención incondicionada al banco, sin matices y atribuyéndola toda ella al usuario, parece difícil de sostener. Pero tampoco es fácil deslindar responsabilidades, porque a la “probatio diabolica” que supondría al cliente demostrar que no es culpa suya, se opone la misma dificultad del banco en justificar que no se trata de un agujero en su sistema.
¿Es una cláusula ideal, la que reflejaría fielmente la posición de cada parte, necesaria, pero de redacción imposible? ¿Es una cláusula necesaria pero imposible?
Lo que está claro es que, como suele suceder con frecuencia, cuando ahondamos en este tema nos damos cuenta de que se trata de un problema más complejo de lo que parece, y que no se soluciona exclusivamente con un cambio de redacción o de colocación de la cláusula, aunque estos sean necesarios.
Al principio el ponente indicó que no solamente iba a hablar de la cláusula, sino también alrededor de la misma, y por ello a continuación ofrece una serie de propuestas que tratan de abordar la cuestión desde otros puntos de vista.
1.- Hacer “visible” el contenido de la cláusula –sea cual sea el contenido que tenga que tener-, eliminando su carácter de condición general de contratación. El ponente es consciente de las dificultades que ello entraña. Vivimos en una sociedad extremadamente visual y aunque plenamente alfabetizada, en algunos aspectos y sectores podría decirse que es funcionalmente ágrafa.
Tenemos la necesidad de continuos y breves impactos de información que nos estimulen: titulares, mensajes y avisos en el móvil, comentarios por SMS en los programas, interactividad inmediata con blogs, etc. La información con cierto peso en el contenido, con enjundia, encuentra un rechazo casi instintivo en lo que el politólogo italiano Giovanni Sartori denomina el “homo videns”. Sartori trata de la actual preponderancia de lo visible sobre lo inteligible. Contempla cómo la revolución multimedia está transformando al «homo sapiens», producto de la cultura escrita, en un «homo videns», para el cual la palabra ha sido anulada por la imagen. Los medios visuales priman a la imagen, lo cual lleva a ver sin entender y acaba con el pensamiento abstracto, con las ideas claras y distintas
Estemos o no de acuerdo con esta opinión un tanto apocalíptica de Sartori, lo cierto es que formatos estrella como el móvil o internet (y para muchos los formatos casi únicos de comunicación) no son adecuados para contener grandes dosis de información. El homo videns lo que dice es: no me aburra, no me encadene ideas complejas, diviértame. Notables esfuerzos de comunicación, que no tengan en cuenta estos parámetros, no tendrán probablemente la eficacia deseada. Aquí van algunas ideas que cumplen estas premisas:
a) Que el usuario redacte de su puño y letra, y, por ejemplo, en un espacio reservado antes de la firma, dos frases en el contrato, en primera persona – es más impactante-, alusivas al contenido de la cláusula. Por ejemplo:
“Las claves de acceso y de operaciones son secretas. No debo dárselas NUNCA A NADIE”.
“El banco jamás me pedirá las claves. Quien lo haga, por correo o por teléfono, es probablemente un estafador”.
Este tipo de acción,
- Visualiza el mensaje
- Es “lúdico e interactivo”, como pide el homo videns,
- Hace que el contenido deje de ser una triste condición general perdida en el conjunto de ellas
- Y permite una conversación sobre el tema.
b) La segunda idea es precisamente esta conversación. En el momento de firmar el contrato en la sucursal, es sencillo explicar, siempre de una manera muy visual, los peligros concretos de Internet. Se le puede mostrar en un ordenador ejemplos reales de correo phising, o lo mismo en el móvil, cómo reconocer una página falsa que simula ser de la entidad, y asimismo sitios como www.nomasfraude.es, en los que se puede informar. Un empleado preparado dedicaría muy poco tiempo y el efecto informativo sería muy superior a todas las advertencias que se colocan en las páginas de los bancos.
c) Hacer un test de inicio. Cuando un cliente utilice por primera vez el sistema de banca electrónica, que deba completar un test sencillo, visual y no muy largo, incluso dando notas al final, sobre este tema, ofreciendo la posibilidad de mejorar la nota o incluso bloqueando el paso si es muy baja.
Este test podría repetirse cuando existieran novedades de importancia en materia de seguridad, por ejemplo cuando aparezcan nuevas modalidades de estafa.
En general, una pantalla inicial que ocupe todo el espacio de la misma, que no se pueda cerrar inmediatamente y que proporcione información (del mismo modo que en muchos periódicos on-line se hace publicidad de esta forma) e interactividad, puede ser un medio interesante.
2.- Estimular el cambio voluntario de contraseñas en periodos cortos. Es evidente que el cambiar las contraseñas mejora la seguridad, por lo que si el cliente colabora en este sentido, hay bastante terreno ganado.
3.- Estimular el uso de certificados de firma electrónica reconocida: no solamente existe la firma reconocida del D.N.I electrónico o el certificado de la Fábrica Nacional de Moneda y Timbre, sino que hay otros, expedidos por diversos Prestadores de Servicios de Certificación (PSC). No hay en España, como es sabido, un registro de PSC, pero la Agencia Tributaria funciona de facto como un verificador, de suerte que los certificados que la Agencia admite para pagar impuestos, pueden considerarse certificados “serios” de firma. Y son muchos: FNMT, Generalitat Valenciana, Autoridad de Certificación de la Abogacía, Firmaprofesional S.A., Consejo Superior de Cámaras de Comercio industria y Navegación, Camerfirma SA, Agencia Catalana de Certificacio, IZENPE S.A., Agencia Notarial de Certificación (ANCERT), Servicio de Certificación del Colegio de Registradores (SCR), etc. Si se abren los canales a los usuarios de estos certificados, la utilización de firma reconocida aumentaría notablemente.
"Hacer un test de inicio. Cuando un cliente utilice por primera vez el sistema de banca electrónica, que deba completar un test sencillo, visual y no muy largo, incluso dando notas al final, sobre este tema, ofreciendo la posibilidad de mejorar la nota o incluso bloqueando el paso si es muy baja"
Desde el punto de vista legal, la responsabilidad en la utilización de los certificados de firma electrónica es mucho más clara, puesto que el titular está obligado a la conservación y custodia del certificado, tiene valor de firma manuscrita, y además, la posibilidad de conocimiento de la clave privada por parte de extraños en un sistema de infraestructura PKI (infraestructura de clave pública), como es sabido, es casi de cero, por lo que en caso de utilización de estos certificados, no cabe realmente la posibilidad de que sea porque un tercero haya crackeado las claves al banco.
4.- Ofrecimiento de contraprestaciones: probablemente estarán pensando que algunas de las propuestas que he formulado – test de inicio, pantalla inicial, cambio de contraseñas, firma electrónica- no son viables porque el cliente no las va aceptar, y puede que sea así... a menos que se le ofrezca algo a cambio. Esa contraprestación puede ser muy variada: rebaja o eliminación de comisiones y gastos con carácter temporal o permanente, constitución de un seguro que indemnice en caso de estafa en banca electrónica, sinergias con otros productos, especialmente TDT, móviles o similares, ofreciendo rebajas u ofertas especiales, o también mejores condiciones en general en los productos de la entidad, etc.
Podría pensarse incluso el establecer diferentes categorías de cliente en banca electrónica, y del mismo modo que en las hipotecas a veces se rebaja el tipo de interés si se contratan otros productos del banco, el cliente que colabore con la entidad en la lucha contra el fraude se le podría primar por ese compromiso de colaboración, constituyéndolo como cliente especial.
5.- Autolimitaciones en las operaciones bancarias. Podría reflexionarse sobre la posibilidad de que el cliente se autolimitara respecto de las entidades bancarias con las que puede efectuar operaciones por medio de banca electrónica. Por ejemplo, solamente con las españolas o las acreditadas convenientemente ante el Banco de España, de modo que no fuera posible una operación fraudulenta de envío del dinero a una entidad financiera con la que no se tenga ninguna capacidad operativa real, porque el sistema no lo permite. Ello probablemente redundaría en una mayor capacidad de seguir el rastro de la operación y perseguir a los delincuentes.
Una posibilidad intermedia es que las limitaciones se apliquen cuando las claves son firma electrónica básica, pero que con firma electrónica reconocida, o por algún otro medio extra (por ejemplo contraseñas de un solo uso) sean posibles.
Las autolimitaciones pueden ser muy variadas, puesto que también pueden referirse al tipo de operación, a las cuantías, al país del destinatario, etc
6.- “Phising empresarial” o “falso phising”: llamada así la actividad que consiste en que el propio banco haga lo que siempre ha dicho que nunca haría: phising. Por supuesto, con el consentimiento y control de todos los organismos públicos procedentes. El banco enviaría “falsos correos falsos”, o “falsos SMS falsos” fingiendo ser el propio banco del mismo modo que lo haría un estafador. Para evitar problemas de seguridad e incluso protección de datos, en vez de pedir todas las claves bastaría con pedir una de ellas, o incluso solamente parte de una, o un sólo dígito. Es una forma sencilla de saber qué cliente es potencialmente vulnerable. El que “pique” y dé la información está en peligro y el banco puede actuar rápidamente por medio de información personal o incluso bloqueo temporal del acceso (o, si se quiere, no del acceso sino solamente de la posibilidad de efectuar operaciones, de modo que cuando entre en su banca electrónica un aviso le informe de lo que ha pasado).
7.- Y una nueva redacción de la cláusula de responsabilidades, eliminando la presunción iuris et de iure en contra del cliente, que es lo que entiendo que puede calificarse de desequilibrante y matizando las responsabilidades. Incluso se podría diferencia entre diversos tipos de clientes, como hemos dicho antes, los cuales podrían tener a su vez diversos grados de responsabilidad.