Responsabilidad de las Entidades Financieras Ante el Hackeo de Cuentas Bancarias. En Particular, Casos de “Phishing”


Financial Institutions Liability in Case of Bank Accounts Hacking. In Particular, “Phishing” Cases


Autor:


Araya Alicia Estancona Pérez

Resumen:

El control de las operaciones de pago no autorizadas ha sido objeto de especial atención en el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (en transposición de la Directiva (UE) 2015/2366 del Parlamento y del Consejo, de 25 de noviembre, sobre Servicios de Pago en el Mercado Interior y derogando la Ley 16/2009, de 13 de noviembre, de servicios de pago), con el firme propósito de generar un entorno más seguro y fiable en el aprovechamiento de las innovaciones derivadas de los cambios tecnológicos en los servicios de pago. A lo largo de estos últimos años, han proliferado diversos medios fraudulentos para conseguir una transferencia de activo patrimonial, con ánimo de lucro y en perjuicio de terceros, a través de manipulación informática o artificio semejante (art. 248.2.a. CP): creación de órdenes de pago o de transferencias no autorizadas, duplicidad de tarjetas de pago, suplantación de identidad de la propia entidad financiera u organismos públicos, etc., como muestra el último informe del Banco de España -Memoria de Reclamaciones de 2020-. Sin perjuicio de que todos estos métodos pueden ser calificados como fraudulentos, la principal dificultad que habremos de solventar para determinar el sujeto responsable es la clasificación de la operación de pago como autorizada por el titular de la cuenta o si, por el contrario, nos encontramos ante una operación de pago no autorizada o ejecutada incorrectamente. Incluso encontrándonos ante el primer tipo de operaciones – presuntamente autorizadas por el titular-, la entidad financiera será responsable del perjuicio patrimonial sufrido por el titular de la cuenta que ha sido víctima de fraude o hackeo (art. 44 Real Decreto-ley 19/2018), como viene siendo estimado por la jurisprudencia menor más reciente. A lo largo del presente trabajo se llevará a cabo un análisis doctrinal y jurisprudencial con el que se pretende arrojar algo de luz y sistemática a una manera tan controvertida y que tanta indignación ha causado a clientes –consumidores y microempresas- víctimas de fraudes en los servicios de pago contratados con las entidades financieras.


Abstract:

The control of unauthorized payment transactions has received special attention in Royal Decree-Law 19/2018, of November 23, on payment services and other urgent financial measures (in transposition of Directive (EU) 2015/2366 of Parliament and the Council, of November 25, on Payment Services in the Internal Market and repealing Law 16/2009, of November 13, on payment services), with the purpose of generating a safer and reliable environment in taking advantage of the innovations derived from technological changes in payment services. Throughout recent years, various fraudulent activities have proliferated to achieve a transfer of patrimonial assets, for profit and to the detriment of third parties, through computer manipulation or similar artifice (art. 248.2.a. CP): creation payment orders or unauthorized transfers, duplication of payment cards, impersonation of the financial institution itself or public bodies, etc., as shown in the latest report from the Bank of Spain -2020 Complaints Report-. Without prejudice to the fact that all these methods can be classified as fraudulent, the main difficulty that we will have to solve to determine the person responsible is the classification of the payment operation as authorized by the account holder or if, on the contrary, we are before an unauthorized or incorrectly executed payment operation. Even when we are faced with the first type of operations - presumably authorized by the account holder -, the financial entity will be responsible for the patrimonial damage suffered by the account holder who has been a victim of fraud or hacking (art. 44 Royal Decree-Law 19/2018), as has been estimated by the most recent minor jurisprudence. In the present work, a doctrinal and jurisprudential analysis will be carried out with which it is intended to shed some light and systematically on such a controversial way and that has caused so much indignation to clients -consumers and micro-enterprises- victims of fraud in services payment contracted with financial institutions.


Palabras clave:


Phishing; servicios de pago; hackeo; operaciones no autorizadas; entidades bancarias.


Key words:


Cybersecurity; payment services; hacking; unauthorized transactions; financial institutions.


Texto completo:


PDF