En esta obra, Eugenio Ribón, abogado experto en protección de consumidores y usuarios, analiza de modo práctico y riguroso las obligaciones de ambas partes y desbribe el régimen de responsabilidad de los proveedores de servicios de pago ante operaciones no autorizadas por consumidores y empresas en los supuestos de nuevos fraudes bancarios (phishing, pharming, carding, vishing, duplicado de tarjetas…). Y ello, como nos tiene acostumbrado el autor, con una profusa cita de la jurisprudencia existente, la mejor doctrina y formularios prácticos para la defensa del afectado.
Especial referencia al phishing bancario
Frente a las sofisticadas técnicas de ciberdelincuencia, las entidades financieras no han adaptado suficientemente sus sistemas de seguridad, como si lo hicieron en sus oficinas físicas, exponiendo con ello a sus clientes a una situación de vulnerabilidad en la banca electrónica que estas mismas diseñaron y potenciaron.
Fraudes bancarios y defensa del afectado. Nuevas tendencias defraudatorias
Los fraudes informáticos suponen el mayor número de hechos delictivos conocidos en este último año en el ámbito de la cibercriminalidad. El crecimiento en los últimos diez años supera el 700%. Las últimas estadísticas ofrecidas en el Sistema Estadístico de Criminalidad elaborado por la Dirección General de coordinación y Estudios, dependiente de la Secretaría de Estado de Seguridad del Ministerio del Interior, informa de la existencia de 267.011 hechos conocidos en 2021 referidos a fraudes informáticos. Una de cada cuatro denuncias presentadas, ya se refiere a ciberdelincuencia. Esta tendencia continúa creciente.
FRAUDES BANCARIOS Y DEFENSA DEL AFECTADO AFECTADO. NUEVAS TENDENCIAS DEFRAUDATORIAS ESPECIAL REFERENCIA AL PHISHING BANCARIO
Eugenio Ribón
FRAUDES BANCARIOS Y DEFENSA DEL AFECTADO. NUEVAS TENDENCIAS DEFRAUDATORIAS Especial referencia al phishing bancario
COMITÉ CIENTÍFICO DE LA EDITORIAL TIRANT LO BLANCH María José Añón Roig
Marta Lorente Sariñena
Ana Cañizares Laso
Javier de Lucas Martín
Jorge A. Cerdio Herrán
Víctor Moreno Catena
Catedrática de Filosofía del Derecho de la Universidad de Valencia Catedrática de Derecho Civil de la Universidad de Málaga Catedrático de Teoría y Filosofía de Derecho. Instituto Tecnológico Autónomo de México
José Ramón Cossío Díaz
Ministro en retiro de la Suprema Corte de Justicia de la Nación y miembro de El Colegio Nacional
María Luisa Cuerda Arnau
Catedrática de Derecho Penal de la Universidad Jaume I de Castellón
Manuel Díaz Martínez
Catedrático de Derecho Procesal de la UNED
Carmen Domínguez Hidalgo
Catedrática de Derecho Civil de la Pontificia Universidad Católica de Chile
Eduardo Ferrer Mac-Gregor Poisot Juez de la Corte Interamericana de Derechos Humanos Investigador del Instituto de Investigaciones Jurídicas de la UNAM
Owen Fiss
Catedrático emérito de Teoría del Derecho de la Universidad de Yale (EEUU)
José Antonio García-Cruces González
Catedrático de Derecho Mercantil de la UNED
Catedrática de Historia del Derecho de la Universidad Autónoma de Madrid Catedrático de Filosofía del Derecho y Filosofía Política de la Universidad de Valencia Catedrático de Derecho Procesal de la Universidad Carlos III de Madrid
Francisco Muñoz Conde
Catedrático de Derecho Penal de la Universidad Pablo de Olavide de Sevilla
Angelika Nussberger
Catedrática de Derecho Constitucional e Internacional en la Universidad de Colonia (Alemania). Miembro de la Comisión de Venecia
Héctor Olasolo Alonso
Catedrático de Derecho Internacional de la Universidad del Rosario (Colombia) y Presidente del Instituto Ibero-Americano de La Haya (Holanda)
Luciano Parejo Alfonso
Catedrático de Derecho Administrativo de la Universidad Carlos III de Madrid
Consuelo Ramón Chornet
Catedrática de Derecho Internacional Público y Relaciones Internacionales de la Universidad de Valencia
Tomás Sala Franco
Catedrático de Derecho del Trabajo y de la Seguridad Social de la Universidad de Valencia
José Luis González Cussac
Ignacio Sancho Gargallo
Luis López Guerra
Elisa Speckmann Guerra
Catedrático de Derecho Penal de la Universidad de Valencia Catedrático de Derecho Constitucional de la Universidad Carlos III de Madrid
Ángel M. López y López
Catedrático de Derecho Civil de la Universidad de Sevilla
Magistrado de la Sala Primera (Civil) del Tribunal Supremo de España Directora del Instituto de Investigaciones Históricas de la UNAM
Ruth Zimmerling
Catedrática de Ciencia Política de la Universidad de Mainz (Alemania)
Fueron miembros de este Comité: Emilio Beltrán Sánchez, Rosario Valpuesta Fernández y Tomás S. Vives Antón Procedimiento de selección de originales, ver página web: www.tirant.net/index.php/editorial/procedimiento-de-seleccion-de-originales
FRAUDES BANCARIOS Y DEFENSA DEL AFECTADO. NUEVAS TENDENCIAS DEFRAUDATORIAS
Especial referencia al phishing bancario
EUGENIO RIBÓN Abogado
tirant lo blanch Valencia, 2024
Copyright ® 2024 Todos los derechos reservados. Ni la totalidad ni parte de este libro puede reproducirse o transmitirse por ningún procedimiento electrónico o mecánico, incluyendo fotocopia, grabación magnética, o cualquier almacenamiento de información y sistema de recuperación sin permiso escrito del autor y del editor. En caso de erratas y actualizaciones, la Editorial Tirant lo Blanch publicará la pertinente corrección en la página web www.tirant.com.
Directora de colección:
Carolina del Carmen Castillo Martínez
©
©
Eugenio Ribón
TIRANT LO BLANCH EDITA: TIRANT LO BLANCH C/ Artes Gráficas, 14 - 46010 - Valencia TELFS.: 96/361 00 48 - 50 FAX: 96/369 41 51 Email: tlb@tirant.com www.tirant.com Librería virtual: www.tirant.es ISBN: 978-84-1197-675-6 Si tiene alguna queja o sugerencia, envíenos un mail a: atencioncliente@tirant.com. En caso de no ser atendida su sugerencia, por favor, lea en www.tirant.net/index.php/empresa/politicas-de-empresa nuestro procedimiento de quejas. Responsabilidad Social Corporativa: http://www.tirant.net/Docs/RSCTirant.pdf
Índice Introducción.............................................................................................
11
I. CONDUCTA PENAL 1. FRAUDES BANCARIOS AL CONSUMIDOR: NUEVAS TENDENCIAS............................................................................................
15
2. EL DELITO DE ESTAFA. APROXIMACIÓN A LA ESTAFA INFORMÁTICA......................................................................................
21
3. PRINCIPALES TIPOLOGÍAS DELICTIVAS...................................
31
3.1. PHISHING......................................................................................
31
3.2. PHARMING....................................................................................
37
3.3. SCAM..............................................................................................
40
3.4. PROGRAMA TROYANO................................................................
40
3.5. KEYLOGGER..................................................................................
40
3.6. CARDING.......................................................................................
41
3.7. VISHING.........................................................................................
42
3.8. SIM SWAPPING..............................................................................
43
3.9. SMISHING Y FALSAS VENTAS.....................................................
44
3.10. FRAUDE DEL CEO........................................................................
45
3.11. INTERCEPTACIÓN DE FACTURAS U ÓRDENES DE PAGO Y MANIPULACIÓN DE CUENTAS POR TERCEROS (MAN IN THE MIDDLE - BUSINESS EMAIL COMPROMISE)..................
48
4. ACTUACIÓN DEL AFECTADO Y MEDIDAS DE PREVENCIÓN
53
II. DEFENSA CIVIL DEL AFECTADO 5. DILIGENCIA DEL USUARIO, DILIGENCIA DE LA ENTIDAD FINANCIERA Y EVENTUAL CORRESPONSABILIDAD..............
61
5.1. DILIGENCIA DE LAS PARTES: PATER FAMILIAS Y BONUS ARGENTARIUS....................................................................................
61
5.2. CORRESPONSABILIDAD.............................................................
76
8
Índice
6. OBLIGACIONES Y RESPONSABILIDAD DEL USUARIO DE SERVICIOS DE PAGO......................................................................
81
6.1. OBLIGACIONES DEL USUARIO DE SERVICIOS DE PAGO....
81
6.2. CONSENTIMIENTO DE LA AUTORIZACIÓN DE PAGO........
84
6.3. OPERACIONES DE PAGO NO AUTORIZADAS. RESPONSABILIDAD DEL ORDENANTE. LÍMITE CUANTITATIVO DE RESPONSABILIDAD.....................................................................
88
6.4. CLÁUSULAS ABUSIVAS EN LA TRASLACIÓN DE OBLIGACIONES, RESPONSABILIDAD DE LAS PARTES Y PRUEBA POR LA PRESTACIÓN Y UTILIZACIÓN DE MEDIOS DE PAGO.............................................................................................. 6.4.1. La comunicación sin demora........................................... 6.4.2. Cláusulas de exoneración de responsabilidad................
91 92 94
7. DAÑO IRROGADO Y FUNDAMENTO DE LA ACCIÓN..............
101
7.1. OBLIGACIONES DEL PROVEEDOR DE SERVICIOS DE PAGO EN RELACIÓN CON LOS INSTRUMENTOS DE PAGO.... 7.1.1. Superación del límite de disposición establecido...........
103 105
7.2. NOTIFICACIÓN Y RECTIFICACIÓN DE OPERACIONES DE PAGO NO AUTORIZADAS O EJECUTADAS INCORRECTAMENTE...........................................................................................
109
7.3. RESPONSABILIDAD DEL PROVEEDOR DE SERVICIOS DE PAGO EN CASO DE OPERACIONES NO AUTORIZADAS....... 7.3.1. La responsabilidad cuasi objetiva de la entidad.............. 7.3.2. Transferencias................................................................... 7.3.3. Cargos por recibos no autorizados.................................. 7.3.4. Cargos a través de otros sistemas de pago integrados (Apple Pay; Samsumg Pay; Google Pay; Amazon Pay y similares)........................................................................... 7.3.5. Cargos con Bizum............................................................. 7.4. RESPONSABILIDAD POR INCLUSIÓN INDEBIDA EN UN FICHERO DE SOLVENCIA PATRIMONIAL................................... 7.4.1. Los ficheros de solvencia patrimonial............................. 7.4.2. Requisitos para la inclusión en un fichero de solvencia patrimonial. Especial referencia a los supuestos de víctimas de fraudes bancarios: deuda cierta, vencida y exigible...................................................................................... 7.4.2.1. Existencia de una deuda cierta, vencida y exigible................................................................... 7.4.2.2. Requerimiento previo de pago........................ 7.4.2.3. Pertinencia, exactitud y actualidad.................. 7.4.2.4. Comunicación al interesado.............................
110 117 123 128 131 137 144 145
153 155 163 173 178
9
Índice
7.4.3. 7.4.4.
Responsabilidad por la indebida inclusión en un fichero patrimonial del afectado de un fraude bancario....... Daño moral derivado de la inclusión indebida en un fichero de solvencia patrimonial.....................................
179 183
8. DESARROLLO PROCESAL DE LA ACCIÓN CIVIL EN DEFENSA DEL AFECTADO..........................................................................
199
8.1. RECLAMACIONES PREVIAS.......................................................
199
8.2. CONCILIACIÓN............................................................................
202
8.3. JURISDICCIÓN Y COMPETENCIA............................................. 8.3.1. Prejudicialidad penal. Conexión entre el proceso civil y penal.................................................................................. 8.3.2. Particularidad de la acción por indebida inclusión en ficheros de solvencia patrimonial....................................
205
8.4. CAPACIDAD Y LEGITIMACIÓN.................................................. 8.4.1. Inexistente litisconsorcio pasivo necesario..................... 8.4.2. Responsabilidad solidaria en supuestos de duplicado indebido de tarjeta SIM (SIM Swapping).......................
217 219
8.5. POSTULACIÓN Y REPRESENTACIÓN.......................................
227
8.6. PROCEDIMIENTO. ACUMULACIÓN DE ACCIONES..............
228
8.7. CUANTÍA.......................................................................................
231
8.8. PLAZO PARA EL EJERCICIO DE ACCIONES............................ 8.8.1. Acción de responsabilidad frente al proveedor de servicios de pago por operaciones no autorizadas................. 8.8.2. Acción de responsabilidad por indebida inclusión en ficheros de solvencia patrimonial....................................
238
8.9. PRUEBA.......................................................................................... 8.9.1. Valoración de la prueba................................................... 8.9.2. Código OTP...................................................................... 8.9.3. Presentación de documentos y posición de la prueba...
245 247 254 256
8.10. INTERESES....................................................................................
261
8.11. GASTOS O COMISIONES ADICIONALES.................................
262
8.12. COSTAS.......................................................................................... 8.12.1. Del vencimiento objetivo.................................................. 8.12.2. De la mala fe o temeridad................................................ 8.12.2.1. Condena en costas en casos de allanamiento tras la reclamación previa del afectado........... 8.12.3. De la existencia de serias dudas de hecho o de derecho.....................................................................................
263 267 268
206 216
223
238 241
269 271
10
Índice
9. FORMULARIOS................................................................................
275
9.1. MODELO DE SOLICITUD DE CONCILIACIÓN JUDICIAL....
275
9.2. MODELO DE DEMANDA DE RESPONSABILIDAD FRENTE A ENTIDAD FINANCIERA POR DISPOSICIONES AJENAS NO AUTORIZADAS..............................................................................
277
9.3. ESCRITO DE OPOSICIÓN A LA EXISTENCIA DE PREJUDICIALIDAD PENAL.........................................................................
309
9.4. MODELO DE RECURSO DE APELACIÓN ANTE DESESTIMACIÓN DE DEMANDA DE RESPONSABILIDAD FRENTE A ENTIDAD FINANCIERA POR DISPOSICIONES NO AUTORIZADAS.............................................................................................
316
9.5. MODELO ORIENTADOR DE RECLAMACIÓN PREVIA AL TITULAR DEL FICHERO Y CEDENTE DE LOS DATOS..............
340
9.6. MODELO SIMPLIFICADO DE DEMANDA JUDICIAL POR RESPONSABILIDAD DERIVADA DE LA INDEBIDA INCLUSIÓN DEL USUARIO EN UN FICHERO DE SOLVENCIA PATRIMONIAL...................................................................................
341
BIBLIOGRAFÍA.......................................................................................
357
INTRODUCCIÓN Según los datos publicados en la Memoria Anual de la Fiscalía General del Estado de 2022 los fraudes informáticos suponen el mayor número de hechos delictivos conocidos en este último año en el ámbito de la cibercriminalidad. El crecimiento en los últimos diez años supera el 700%. Las últimas estadísticas ofrecidas en el Sistema Estadístico de Criminalidad elaborado por Dirección General de coordinación y Estudios, dependiente de la Secretaría de Estado de Seguridad del Ministerio del Interior, informa de la existencia de 267.011 hechos conocidos en 2021 referidos a fraudes informáticos. Una de cada cuatro denuncias presentadas, ya se refiere a ciberdelincuencia. Frente a las sofisticadas técnicas de ciberdelincuencia, las entidades financieras no han adaptado suficientemente sus sistemas de seguridad, como si lo hicieron en sus oficinas físicas, exponiendo con ello a sus clientes a una situación de vulnerabilidad en la banca electrónica que estas mismas diseñaron y potenciaron. En esta obra, Eugenio Ribón, abogado experto en protección de consumidores y usuarios, analiza de modo práctico y riguroso las obligaciones de ambas partes y describe el régimen de responsabilidad de los proveedores de servicios de pago ante operaciones no autorizadas por consumidores y empresas en los supuestos de los nuevos fraudes bancarios (phishing, pharming, carding, vishing, duplicado de tarjetas…). Y ello, como nos tiene acostumbrado el autor, con una profusa cita de la jurisprudencia existente, la mejor doctrina y formularios prácticos para la defensa del afectado.
I. CONDUCTA PENAL
1. FRAUDES BANCARIOS AL CONSUMIDOR: NUEVAS TENDENCIAS En la España de 2022, más del 99% de los hogares españoles cuenta con teléfono móvil y el 57,5% dispone de tablet según datos de la Encuesta sobre equipamiento y uso de tecnología de información y comunicación en los hogares 2021, publicado por el Instituto Nacional de Estadística1. La importancia de la presencia de este tipo de dispositivos se ve acrecentada por el hecho de que los ciudadanos recurren preferente a los mismos para acceder a Internet. Así lo demuestra el estudio de la Asociación para la Investigación de Medios de Comunicación (AIMC)2, donde el 92,5% de los encuestados afirman usarlo, seguido por el 72% que reconoce hacerlo mediante ordenador portátil y, un 47,5% a través de tablet. En consonancia con estos datos, según el estudio Digital Report España 2022 de Hootsuite y de We Are Social3, es el 90,4% de los usuarios los que acceden a través de smartphone. Según los datos publicados en la Memoria Anual de la Fiscalía General del Estado de 2022 y el Portal Estadístico de Criminalidad4 los fraudes informáticos suponen el mayor número de hechos delictivos conocidos en este último año en el ámbito de la cibercriminalidad. El crecimiento experimentado en los últimos años, y en particular desde la pandemia, arroja unas cifras alarmantes en lo referido a la evolución de la ciberdelincuencia. En los siguientes dos gráficos podemos apreciar la evolución del total de los delitos incluidos en las estadísticas de cibercriminalidad. En el primero de ellos, se integran las conductas referidas a: accesos e interceptación ilícita; amenazas y coacciones; contra el honor; con-
1 2 3
4
https://www.ine.es/prensa/tich_2021.pdf https://www.aimc.es/otros-estudios-trabajos/navegantes-la-red/ https://wearesocial.com/es/blog/2022/02/digital-report-espana-2022-nuevede-cada-diez-espanoles-usan-las-redes-sociales-y-pasan-cerca-de-dos-horas-al-diaen-ellas/ https://estadisticasdecriminalidad.ses.mir.es/publico/portalestadistico/portal/datos.html?type=pcaxis&path=/Datos5/&file=pcaxis
16
Eugenio Ribón
tra la propiedad industrial/intelectual; delitos sexuales; falsificación informática; interferencia en los datos y en el sistema; y fraudes informáticos. La curva superior representa el total de las distintas tipologías delictivas. Y la segunda curva, se refiere exclusivamente al fraude informático, de lo que se colige sin dificultad su particular relevancia.
Fuente: Secretaría de Estado de Seguridad. Ministerio del Interior.
En este segundo gráfico, se observa con mayor claridad el crecimiento del fraude informático
Fuente: Secretaría de Estado de Seguridad. Ministerio del Interior.
Fraudes bancarios y defensa del afectado
17
Las últimas estadísticas ofrecidas en el Sistema Estadístico de Criminalidad elaborado por Dirección General de coordinación y Estudios, dependiente de la Secretaría de Estado de Seguridad del Ministerio del Interior, informa de la existencia de 267.011 hechos conocidos en 2021 referidos a fraudes informáticos. Como también se hacía eco la revista jurídica Economist & Jurist5, la ciberdelincuencia ha crecido un 716,52% desde que existen estadísticas en 2011. Este crecimiento se ha centrado fundamentalmente en los denominados “fraudes informáticos” que han pasado de los 21.075 casos registrados en 2011 a los 257.907 del año 2020, lo que supone un incremento acumulado del 713,02%. En el análisis estadístico de las distintas tipologías delictivas en el ámbito de la cibercriminalidad, los fraudes informáticos ocupan, con notable prevalencia, la posición más destacada. Del total de los 305.477 hechos conocidos por infracciones de ciberdelincuencia en 2021, los fraudes informáticos suponen un 87,41%.
Fuente: Secretaría de Estado de Seguridad. Ministerio del Interior.
5
https://www.economistjurist.es/articulos-juridicos-destacados/ciberdelincuencia-situacion-actual-y-nuevas-estadisticas-oficiales/
18
Eugenio Ribón
Por Comunidades Autónomas, Cataluña reporta un total de 47.314 hechos conocidos; Madrid 46.978; Andalucía 35.288; Comunidad Valenciana 24.428; Galicia 19.496; País Vasco 15.016; Castilla y León 14.457; Castilla-La Mancha 9.797; Canarias 8.916; Aragón 7.310; Islas Baleares 7.005; Región de Murcia 6.754; Asturias 6.187; Extremadura 4.594; Comunidad Foral de Navarra 3.673; Cantabria 3.243; La Rioja 1.794; Ceuta 402; Melilla 348.
Fraudes bancarios y defensa del afectado
Fuente: Secretaría de Estado de Seguridad. Ministerio del Interior.
19