Joan Andreu Reverter
Advocat
En els darrers anys, la ciberdelinqüència s'ha consolidat com una de les grans preocupacions per a particulars i empreses. Malauradament, el nombre de modalitats i de casos s'han multiplicat fins al punt que, qui més qui menys, n'ha estat víctima o coneix algú que l'ha patit. Prova de l'impacte d'aquesta tendència indesitjable són les campanyes governamentals o, fins i tot, que els grans operadors tecnològics ja posen la seguretat com un dels seus grans arguments a l'hora de vendre'ns les seves solucions. Estem al davant d'una autèntica epidèmia.
També les entitats bancàries, com a damnificades, han reforçat la seva seguretat informàtica i, d'altra banda, la pedagogia als seus clients per mirar de frenar l'onada delictiva. Però sovint s'oblida la seva responsabilitat quan hi ha un robatori digital. Fins i tot en els casos de sostracció de fons als comptes corrents perquè el titular ha facilitat les seves dades a algú que es feia passar pel banc. És obvi que el lladre és un tercer al que serà difícil perseguir policialment, però també que l'entitat ha fallat.
Així ho diuen tant la normativa europea (la 2015/2366 de serveis de pagament) com l'estatal (el Reial-Decret Llei 19/2018, de 23 de novembre, de serveis de pagament) que estableixen aquesta responsabilitat que podem exigir a les entitats bancàries. Les entitats bancàries, com a dipositàries i custòdies dels nostres diners, han de vetllar perquè les transferències digitals es facin correctament, de la mateixa manera que hi ha una responsabilitat també de les entitats bancàries en els casos de pagament de xecs falsificats.
Això implica l'obligació de dotar-se de les mesures tecnològiques suficients que garanteixin a l'usuari la seguretat de les operacions. Si hi ha una omissió, insuficiència o defectuós funcionament d'aquestes mesures, han de ser les pròpies entitats bancàries les que han d'assumir les conseqüències derivades de la fallida del sistema de seguretat. La jurisprudència cada cop va més en aquesta línia, tot i que la primera resposta que donen alguns bancs és netejar-se les mans i imputar les responsabilitats -i les quanties- als clients.
Però hi ha un altre àmbit en què els bancs també tenen responsabilitat, en aquest cas d'una manera més indirecta, però igualment reclamable. L'exposo a partir d'un cas real, que recentment ha acabat bé per a la víctima després de no pocs esforços i argumentacions legals del nostre despatx per defensar els seus drets. Es tracta d'un empresari que havia de pagar un servei i que ho va fer a un nou número de compte que el seu proveïdor li va facilitar per e-mail. Com probablement hauran endevinat, el correu electrònic que va rebre era fals, i el remitent suplantava a qui havia de cobrar la factura. L'import es va ingressar al compte corrent d'un important banc espanyol i, al dia següent, ja havia estat redirigit a un altre compte registrat a un altre país, en aquest cas de l'Est d'Europa. Impossible recuperar els diners.
Després de la preceptiva investigació vam descobrir que el titular del compte d'aquesta entitat era una persona estrangera, amb nacionalitat de les Illes Seychelles, que no va acreditar cap NIE, simplement un passaport. Això si, va comprar una assegurança de vida a l'entitat financera i va respondre determinades preguntes sobre la seva salut i el seu estil de vida, que sembla que és més important per a que un banc t'accepti que si el teu perfil denota determinats dubtes sobre la teva identitat, les teves activitats i els riscos financers que es deriven de tot plegat.
El Codi Civil espanyol, en el seu article 1902, estableix que qui causa un dany, ja sigui per acció o omissió, per culpa o negligència, està obligat a reparar-lo. És evident que en aquest cas, sense la participació del banc el delicte no s'hauria pogut consumar. Un banc ha de verificar que les dades d'algú que obre un compte son reals. Per això, tot i que l'estafa no l'ha practicat el banc, n'és responsable. No exigir el NIE a un estranger no és de rebut i és un símptoma de prioritzar l'afany de lucre per captar clients abans que la seguretat del mateix banc i de la societat en general. Per això els bancs també son responsables en aquests casos de ciberdelinqüència i és legítim reclamar-la judicialment.
En tots dos àmbits, el directe i l'indirecte cal estudiar la cadena de fets que han permès la comissió del delicte digital per avaluar les diferents responsabilitats. I superar la primera resposta que acostumen a donar les entitats, que, com sempre posaran el focus en la negligència de la víctima. Afortunadament, cada cop hi ha més jutges que no ho veuen així.