El contracte de banca a distància i compte corrent

El Tribunal Suprem d’Espanya va dictar el mes d’abril passat una interessant sentència relacionada amb el títol d’aquest article d’opinió. Una breu relació dels fets que van passar entre el client i el banc es poden resumir, breument, així: el client va rebre un avís de Google, en què se l’informava que s’havia detectat una vulneració del seu compte de correu electrònic @gmail, comprovant-se un accés no autoritzat. Minuts després, i com a mesura de prevenció, el client va procedir al canvi de contrasenya del compte de correu. El mateix dia, i uns minuts després, va rebre al seu telèfon mòbil diversos missatges SMS amb codis per a la materialització a través del sistema digital de transferències que no obeïen a ordres emeses per ell, fet que va posar en coneixement del personal de la sucursal del banc. Tres dies després, Google Play i Google Ads van realitzar diversos càrrecs no autoritzats al seu compte, per certa quantitat d’euros, utilitzant la seva targeta VISA, fet que client va comunicar a l’entitat bancària, reiterant la seva preocupació pels SMS rebuts, alhora que presentava la pertinent reclamació a Google, que la va rebutjar, perquè no havia pogut confirmar que s’hagués produït cap mena d’activitat fraudulenta. També, dos o tres dies després, es van realitzar quinze transferències bancàries des del compte corrent del client, fet que va comportar per al client un cost de 83.692,73 euros. Interposada una denúncia per part del client davant la policia, el banc li va restituir una part dels diners abans esmentats, però no tots, així que va iniciar una acció judicial de responsabilitat contractual de reclamació de quantitat davant del banc, pels danys i perjudicis causats per les obligacions assumides pel banc en el contracte de banca a distància i el contracte de comte corrent.

El cas transcrit es denomina canvi de SIM fraudulenta

El camí processal del client s’inicià amb una demanda, en primera instància, la sentència de la qual va ser totalment estimada. El banc va interposar recurs d’apel·lació que va ser desestimat. Finalment, l’entitat bancària va interposar un recurs de cassació davant del Tribunal Suprem que també va ser totalment desestimat. L’entitat bancària en el recurs denuncia que la sentència d’apel·lació infringeix l’art. 36 del Reial decret llei 19/2018, de serveis de pagament, en relació amb els art. 2 i 3 del Reglament Delegat (UE) 2018/389 de la Comissió Europea, en presumir, per la sola declaració de l’actor, que les transferències controvertides han de ser considerades operacions no autoritzades, per haver estat realitzades per tercers que haurien utilitzat les credencials.

El Tribunal Suprem recorda la Directiva (UE) 2015/2366 del Parlament Europeu i del Consell (veg. Llei 8/2018, del 17 de maig, dels serveis de pagament i el diner electrònic d’Andorra), que diu: en els darrers anys, han augmentat els riscos de seguretat dels pagaments electrònics, a causa de la major complexitat tècnica d’aquests, l’increment incessant del volum de pagaments electrònics a tot el món i els nous tipus de serveis de pagament. Disposar de serveis de pagament fiables i assegurances és condició essencial per al bon funcionament del mercat de serveis de pagament, per la qual cosa els usuaris d’aquests serveis han de gaudir de la deguda protecció davant d’aquests riscos. Els serveis de pagament són essencials per al manteniment d’activitats econòmiques i socials de vital importància. Després d’analitzar la normativa nacional i comunitària, raona que: la responsabilitat del proveïdor dels serveis de pagament, en els casos d’operacions no autoritzades o executades incorrectament, té caràcter quasi objectiu, en el doble sentit que, primer, notificada l’existència d’una operació no autoritzada o executada incorrectament, el proveïdor ha de respondre llevat que acrediti l’existència de frau; i, segon, quan l’usuari negui haver autoritzat l’operació o al·legui que aquesta es va executar incorrectament, correspon al proveïdor acreditar que l’operació de pagament va ser autenticada, registrada amb exactitud i comptabilitzada, i que no es va veure afectada per una fallada tècnica o una altra deficiència del servei, sense que el simple registre de l’operació n’hi hagi prou per demostrar que ha incomplert deliberadament o per negligència greu i, concreta que per “deficiència del servei” no significa error o fallada del sistema informàtic o electrònic –possibilitat que estaria prevista en el concepte de “fallida tècnica”–, sinó que abraça qualsevol manca de diligència o mala praxi en la prestació del servei, en l’enteniment que el grau de diligència exigible al proveïdor dels serveis de pagament no és el propi del bon pare de família, sinó que la naturalesa de l’activitat i els riscos que comporta el servei que es presta, sobretot en una relació empresari/consumidor, obliga a elevar el nivell de diligència a un pla superior, com és el de l’ordenat i expert comerciant, i, a més, que l’entitat bancària acrediti que l’operació va ser autenticada, registrada amb exactitud i comptabilitzada, no és suficient per eximir-lo de responsabilitat. Ha de provar que l’operació no va resultar afectada per una decisió tècnica o una altra deficiència del servei prestat, i, atès que el client nega que l’operació fos consentida, que no hi va haver per part d’aquest darrer frau, l’incompliment deliberat o la negligència greu.

El cas transcrit es denomina SIM swapping (en català, suplantació de SIM o canvi de SIM fraudulenta), que és una tècnica de frau cibernètic en què un delinqüent aconsegueix que el proveïdor de telefonia cel·lular transfereixi el número de telèfon d’una víctima a una targeta SIM que controla. El funcionament és el següent, l’estafador recopila informació personal de la víctima (nom, adreça, número de telèfon, respostes a preguntes de seguretat, etc.), sovint mitjançant phishing, filtracions de dades, xarxes socials o enginyeria social. Contacta a l’operador mòbil fent-se passar per la víctima, al·legant que ha perdut o malmès el telèfon/SIM, i sol·licita un canvi de SIM a una nova targeta (que ell posseeix). Si el proveïdor cau en l’engany, transfereix el número a la nova SIM de l’estafador. I l’estafador, un cop té el control del número telefònic, rep missatges de text de verificació (2FA). I així, pot accedir a comptes bancaris, correus electrònics, xarxes socials, etcètera, i restablir contrasenyes mitjançant enllaços o codis enviats per SMS.

Per aquest motiu la forma de protegir-se és no compartir informació personal a les xarxes públiques. Usar aplicacions d’autenticació en comptes d’SMS. Establir un PIN addicional de seguretat amb el vostre proveïdor mòbil. Estar alerta a senyals com ara pèrdua sobtada de senyal al telèfon. Amb aquestes mínimes proteccions els usuaris podran evitar molts disgustos i llargs litigis, amb el patiment moral i econòmic que tot això comporta.