Responsabilidad del banco por las operaciones de pago no autorizadas realizadas mediante suplantación de identidad y SIM swapping debiendo reintegrar al cliente la cantidad sustraída.

 

La sentencia de la Audiencia Provincial de Burgos, sec. 3ª, de 23 de diciembre de 2024, nº 435/2024, rec. 341/2024, declara la responsabilidad del banco por las operaciones de pago no autorizadas realizadas mediante suplantación de identidad y SIM swapping, y debe reintegrar al cliente la cantidad sustraída.

La víctima sufrió una suplantación de identidad mediante SIM swapping que permitió a terceros realizar 19 transferencias no autorizadas desde su cuenta corriente en Ibercaja Banco, sustrajeron 133.129,87 euros, de los cuales se recuperaron 34.408,42 euros, reclamándose la devolución del saldo restante.

A) Introducción.

1º) El 'SIM swapping' es una estafa que consiste en duplicar de forma fraudulenta la tarjeta SIM del teléfono móvil de una persona. Primero, el ciberdelincuente suplanta su identidad para conseguir el duplicado. Después, una vez que la víctima se queda sin servicio telefónico, accede a su información personal y toma el control de su banca digital utilizando los SMS de verificación que llegan al número de teléfono.

Los ciberdelincuentes suelen contactar a través de una llamada con la operadora de telefonía o de forma presencial y proporcionan la información personal y privada de la víctima, como su número de DNI, para suplantar su identidad. Estos datos pueden haber sido recabados anteriormente realizando otros ataques de ingeniería social a los afectados (fraudes a través de SMS, email o llamada telefónica en los que se hacen pasar por compañías o entidades de confianza para intentar engañarlos) o indagando en sus redes sociales.

2º) Se considera responsable Ibercaja Banco y se confirma la condena a reintegrar al cliente la cantidad reclamada, desestimando el recurso de apelación.

La responsabilidad del banco se fundamenta en la Directiva 2015/2366 y su trasposición en la Ley de Servicios de Pago, que establecen la obligación del proveedor de servicios de pago de devolver el importe de operaciones no autorizadas salvo que pruebe negligencia grave o fraude del usuario, lo cual no se acreditó en este caso, y se reconoce que el sistema de autenticación reforzada fue vulnerado mediante SIM swapping, eximiendo al usuario de responsabilidad.

El demandante podía haber demandado no solo al banco sino también a Vodaphone para recuperar el dinero sustraído, y el banco demandado, una vez hecho el pago, tiene acción contra Vodaphone si ha sido su actuación la que ha permitido realizar las operaciones de pago no autorizadas.

B) Objeto de la litis.

La cuestión que se plantea en los presentes autos es la responsabilidad del banco demandado por la suplantación de identidad que se llevó a cabo el día 19 de mayo de 2021 del titular de una cuenta corriente en la entidad demandada cuando autores desconocidos utilizaron las claves de acceso a dicha cuenta, y también el código de autenticación reforzada, para sustraer de su cuenta mediante la realización de 19 trasferencias la cantidad de 133.129,87 euros, de los cuales el banco demandado ha conseguido recuperar 34.408,42 euros, por lo que se reclama la cantidad esponsabilidad del banco por las operaciones de pago no autorizadas realizadas mediante suplantación de identidad y SIM swapping, y debe reintegrar al cliente la cantidad sustraída.

Según la parte demandante el procedimiento utilizado por los defraudadores es el conocido como SIM swapping, que consiste en que estos obtienen de la compañía de telefonía móvil de la víctima una nueva tarjeta SIM, que una vez introducida en el móvil de los defraudadores, deja inoperativa la anterior, y por el contrario la nueva tarjeta SIM hace que el móvil de los suplantadores se utilice como si fuera el móvil de la víctima activando el servicio de claves y envío de SMS para poder operar desde el servicio de banca telefónica.

Así, informa Vodafone que el móvil del demandante tenía una tarjeta SIM numerada (...) NUM000, y que el 27 de noviembre de 2019 se envió una nueva tarjeta SIM con numeración (...) NUM001, que se solicitó desde un móvil que no era el del demandante, y que se envió a un destinatario y a un domicilio de Barcelona, que no era el actor ni su domicilio de Miranda de Ebro. No obstante, al parecer el actor siguió utilizando su móvil con la antigua tarjeta, hasta que el 19 de mayo de 2021 el actor constató que su móvil dejaba de funcionar. Ese mismo día, desde las 14:22:22 hasta las 18:19:16, se realizaron las siguientes operaciones en la cuenta corriente del demandante en Ibercaja mediante el envío por el banco de los siguientes SMS:

Fue a los dos días, el 21 de mayo de 2021, cuando el actor recibió una llamada telefónica desde la sucursal 4828 que IBERCAJA tiene abierta en la calle Estación nº 28 de Miranda de Ebro, por la que fue informado de la existencia de un considerable número de transferencias bancarias, por importes bastantes elevados, y algunas de ellas internacionales, preguntando al actor si él las había ordenado. A las 17.03 h. de ese día 21 de mayo de 2021, el actor compareció en la comisaría de policía de Miranda de Ebro y formuló la correspondiente denuncia, a la que adjuntó una relación de las transferencias que le había facilitado el banco.

Las transferencias se hacen a cuentas nacionales y extranjeras. La Comisaría de Policía de Miranda de Ebro informa de los titulares de algunas de las cuentas nacionales, concretamente de la NUM002 en Openbank, la NUM003 en Ibercaja, la NUM004 en Cajamar, la NUM005 en Laboral Kutxa, y la NUM006 en CaixaBank. Los titulares son todos ellos de nacionalidad sudamericana, y una vez recibidas las transferencias hacen movimientos desde sus cuentas apropiándose de parte del dinero. No obstante, la transferencia de mayor importe de 49.872,88 euros se hace una cuenta de la que se desconoce la entidad, y la de 14.987 euros se hace a Wells Cargo Bank.

C) Regulación legal.

A nivel europeo hay que tener en cuenta la Directiva 2015/2366 de 25 de noviembre de Servicios de pago en el mercado interior, cuya trasposición se lleva a cabo por el Real Decreto Ley 19/2018 de 23 de noviembre, Ley de Servicios de Pago. 

La finalidad de la Directiva es sobre todo la de dar entrada a nuevos servicios de pago, como los servicios de iniciación de pagos y los servicios de información sobre cuentas, que no son aquí de aplicación, aunque también se aprovecha para precisar las obligaciones del usuario y del proveedor de servicios en relación con los instrumentos de pago y la responsabilidad en caso de operaciones no autorizadas o ejecutadas incorrectamente. 

También se exige un reforzamiento de las medidas de seguridad en relación con la autenticación del usuario, introduciendo la llamada autenticación reforzada, aunque tales medidas serán objeto de desarrollo posterior por el Reglamento de la Comisión Europea 2018/389 de 27 de noviembre de 2017.

La principal disposición de la Directiva que lleva a la Magistrada de instancia a estimar la demanda es el artículo 73 (artículo 45 LSP) que dice:

"Sin perjuicio del artículo 71, los Estados miembros velarán por que, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devuelva a este el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito a la autoridad nacional pertinente. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada. Velarán asimismo por que la fecha de valor del abono en la cuenta de pago del ordenante no sea posterior a la fecha de adeudo del importe".

Y el artículo 71 de la Directiva (artículo 43 LSP) establece:

"El usuario de servicios de pago obtendrá la rectificación por parte del proveedor de servicios de pago de una operación de pago no autorizada o ejecutada incorrectamente únicamente si el usuario de servicios de pago se lo notifica sin demora injustificada, en cuanto tenga conocimiento de cualquiera de dichas operaciones que sea objeto de reclamación, incluso las cubiertas por el artículo 89, y, en todo caso, dentro de un plazo máximo de trece meses contados desde la fecha del adeudo".

D) Valoración jurídica, sobre la real existencia del Swappig o la suplantación de identidad para conseguir una nueva tarjeta SIM

1º) El primer motivo del recurso es la falta de prueba de que haya existido SIM Swapping. En realidad, en el motivo se alegan dos hechos distintos. En primer lugar, se pone en duda la propia existencia del swapping, como si hubiera sido la propia demandante la autora de las transferencias. En segundo lugar, se pone en duda que se trate de una operación de pago no autorizada, que son aquellas de las cuales el proveedor de servicios de pago responde, porque cada una de las operaciones, tanto la contratación del préstamo como las transferencias se han llevado a cabo utilizando el sistema de autenticación reforzada, introduciendo el nombre del usuario y la contraseña, y además el código alfanumérico que el banco envía al teléfono móvil del usuario.

Sobre la real existencia del Swappig o la suplantación de identidad para conseguir una nueva tarjeta SIM se invoca el informe de Vodaphone de 2 de febrero de 2024 sorbe los distintos cambios de tarjeta SIM que se han producido asociadas al teléfono del actor. Dice Vodaphone que el día 19 de mayo de 2021 a las 15 horas se produce el cambio de la antigua tarjeta SIM NUM000 a la NUM001 que se remitió el 27 de noviembre de 2019 a un domicilio de Barcelona. Con esa tarjeta se pudieron hacer las transferencias desde las 15:18:59 horas hasta las 15:42:35 horas. Sin embargo, sigue diciendo Vodaphone, que a las 15:49 horas se produce un cambio de la tarjeta SIM NUM001 a la antigua NUM000, previa solicitud a través del cabal telefónico mediante llamada al Departamento de atención al cliente. 

Esto le sirve a la parte apelante para presumir que se hicieron con la antigua tarjeta SIM NUM000 todas las transferencias desde las 15:51:24 horas hasta las 18:19:06 horas, y si son transferencias que se tuvieron que hacer con la antigua tarjeta SIM, forzoso es reconocer que tuvo que ser el demandante el que las realizara, y también las anteriores, pues tuvo que ser el que solicito el cambio de tarjeta.

Sobre la real existencia del swapping tiene razón la parte demandada cuando dice que la carga de la prueba de que ha existido una operación de pago no autorizada corresponde al usuario. Al proveedor de servicios de pago le corresponde la carga de la prueba de que, por su parte, se ha actuado siguiendo el protocolo de seguridad previsto para cada operación. Y es el usuario quien debe acreditar que, a pesar de ello, su identidad ha sido suplantada. Sin embargo, la suposición de la parte apelante no se acepta por falta de prueba.

El contenido del oficio de Vodaphone no ha sido contrastado al no haberse pedido prueba sobre su contenido. No se aportan justificantes de llamadas ni de registros en el teléfono del actor que pudieran haberse hecho a partir de las 15:49 horas del 19 de mayo de 2021. Se ha practicado una prueba pericial sobre el teléfono del actor donde no constan registros ni SMS, porque se dice que el actor los ha borrado. Pero la falta de registros de SMSs en el teléfono también puede ser indicativo de que no fue el teléfono del actor el que los recibió. Y en todo caso el registro de las llamadas que se pudieran haber hecho con el teléfono del actor desde las 15:49 horas se podía haber acreditado pidiendo a Vodaphone la lista de posibles llamadas. Por el contrario, si desde las 15:49 horas del 19 de mayo hasta las 13:01 horas del día 20 de mayo, en que se instala una nueva tarjeta SIM en el teléfono del actor, no constan llamadas, ello puede ser indicativo de que el teléfono del actor no funcionaba a pesar de lo que informa Vodaphone sobre el uso de la antigua tarjeta Sim a partir de las 15:49 horas.

Sobre el informe de Vodaphone se pregunta a los peritos que han redactado el informe pericial, pero se hace por la letrada de la parte demandada en el acto del juicio, sin haber visto los peritos antes el informe, y más como una simple opinión, pues era una cuestión que no formaba parte de la pericial.

Frente a ello tenemos el hecho cierto de que se produce un vaciamiento de la cuenta corriente del actor mediante el envío sistemático de transferencias a una serie de personas y cuentas que no guardan ninguna relación con él.

Como decíamos en la sentencia de la AP de Burgos de 13 de noviembre de 2023 (recurso 229/2023):

"Los casos de utilización fraudulenta de los servicios de pago o phishing se acreditan normalmente por el hecho de que desaparece dinero de la cuenta de un titular para ser transferido a otra cuenta que nada tiene que ver con él, y en bastantes casos porque se produce una cadena de traspasos, lo que les sirve a los defraudadores para evitar la rápida actuación del banco, hasta llevar el dinero a una cuenta segura, normalmente fuera de España. Esta será la prueba más palmaria de que el fraude se ha cometido, como si alguien que no fuera el titular de la cuenta, o una persona autorizada por él, se personara en la sucursal bancaria y consiguiera retirar efectivo imitando la firma del titular. En tal caso deberá ser el banco el que pruebe la supuesta connivencia del titular de la cuenta con la persona que hace el reintegro".

2º) Como hemos dicho antes, la alegación de que no ha existido swapping se hace también desde el punto de vista de que ha sido una operación de pago autorizada, porque se ha hecho con arreglo al protocolo de seguridad establecido, introduciendo el nombre de usuario y contraseña, y recibiendo el código alfanumérico en el teléfono móvil.

Según el artículo 64.2 de la Directiva "el consentimiento para la ejecución de una operación de pago o de una serie de operaciones de pago se dará en la forma acordada entre el ordenante y el proveedor de servicios de pago. El consentimiento para la ejecución de una operación de pago podrá darse también por conducto del beneficiario o del proveedor de servicios de iniciación de pagos. En ausencia de consentimiento, la operación de pago se considerará no autorizada".

No estamos de acuerdo con la interpretación que hace la parte apelante. Por el contrario, toda operación de pago que, aun realizándose de la misma forma que lo hubiera hecho el ordenante titular, no haya sido ordenada por él mismo o por otra persona en su nombre, debe considerarse como no autorizada. Tampoco se trata de una operación de pago ejecutada incorrectamente a que se refiere el artículo 71, pues estas últimas se reservan para cuando existe algún error en la ejecución del pago, a que se refiere el capítulo III de la Directiva, no en la autorización de la operación de pago a que se refiere el capítulo II.

A esta tesis nos conduce una interpretación conjunta de los artículos 73 y 74 de la Directiva, que regulan la responsabilidad del proveedor de servicios de pago y del ordenante en caso de operaciones de pago no autorizadas. Los artículos citados se refieren claramente a operaciones de pago no autorizadas, que son las que dan lugar a la obligación de reintegro del importe de la operación conforme al artículo 71. Pero está claro que los artículos 73 y 74 se refieren a supuestos de actuación fraudulenta o con negligencia grave, por no haber adoptado las medidas de seguridad necesarias que garanticen la autenticación del ordenante del pago. Luego las operaciones de pago que han dado lugar a la interposición de la demanda son operaciones de pago no autorizadas en el sentir de la Directiva.

3º) Ahora bien, que haya existido una operación de pago no autorizada, no conlleva necesariamente que el proveedor de servicios de pago tenga que restituir de forma inmediata su importe. En otro caso estaríamos en el caso de una responsabilidad objetiva por el uso que cualquier persona distinta del usuario haya podido hacer de las claves de acceso al instrumento de pago. Lo dispuesto en los artículos 71 y 73 de la Directiva debe interpretarse conjuntamente con el artículo 74 que regula la responsabilidad del ordenante en caso de operaciones de pago no autorizadas.

 Dice el artículo 74.1 que: "el ordenante soportará todas las pérdidas derivadas de operaciones de pago no autorizadas si el ordenante ha incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 69. En esos casos, no será de aplicación el importe máximo contemplado en el párrafo primero". Y el artículo 69.2 establece que "en particular, a los efectos del apartado 1, letra a), el usuario de servicios de pago, en cuanto reciba un instrumento de pago, tomará todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas del instrumento de pago".

La extensión de la responsabilidad del usuario del instrumento de pago en el artículo 74 de la Directiva se pone en relación con el hecho de que el proveedor del servicio haya puesto o no a disposición del usuario el sistema de autenticación reforzada a que se refiere el artículo 97. Si el proveedor de servicios de pago no ha puesto a disposición del usuario el sistema de autenticación reforzada, en tal caso "el ordenante solo soportará las posibles consecuencias económicas en caso de haber actuado de forma fraudulenta". A sensu contrario, si el proveedor de servicios de pago exige el sistema de autenticación reforzada, el ordenante también soportará las pérdidas en caso de negligencia grave.

El sistema de autenticación reforzada se define en el artículo 3 de la Directiva como "la autenticación basada en la utilización de dos o más elementos categorizados como conocimiento (algo que solo conoce el usuario), posesión (algo que solo posee el usuario) e inherencia (algo que es el usuario), que son independientes- es decir, que la vulneración de uno no compromete la fiabilidad de los demás-, y concebida de manera que se proteja la confidencialidad de los datos de autenticación".

Se desarrolla el sistema de autenticación reforzada en el Reglamento 2018/389 de la Comisión Europea. El artículo 4.1 del Reglamento establece que "cuando los proveedores de servicios de pago apliquen la autenticación reforzada de clientes, de conformidad con el artículo 97, apartado 1, de la Directiva (UE) 2015/2366, la autenticación se basará en dos o más elementos categorizados como conocimiento, posesión e inherencia y tendrá como resultado la generación de un código de autenticación". Y el artículo 5.1 dispone que "cuando los proveedores de servicios de pago apliquen la autenticación reforzada de clientes (..) también deberán adoptar medidas de seguridad que reúnan todos los requisitos siguientes: a) que el ordenante sea informado del importe de la operación de pago y del beneficiario; b) que el código de autenticación generado sea específico para el importe y el beneficiario de la operación de pago aceptados por el ordenante al iniciar la operación; c) que el código de autenticación aceptado por el proveedor de servicios de pago se corresponda con el importe específico original de la operación de pago y con la identidad del beneficiario aceptados por el ordenante; d) que cualquier cambio del importe o del beneficiario suponga la invalidación del código de autenticación generado". Finalmente, los artículos 6, 7 y 8 del Reglamento precisan lo que debe entender como elementos que definan la posesión, el conocimiento o la inherencia por parte del usuario.

En este caso el instrumento de pago contaba con una autenticación reforzada consistente en un código que se enviaba al móvil del usuario para poder ejecutar cada operación de pago. Se trata de un sistema que cumple con los requisitos de posesión, puesto que se manda a un dispositivo en poder del usuario, y de conocimiento, que son las claves de autenticación. El banco demandado ha probado que cada una de las operaciones cumplió con el sistema de autenticación reforzada, remitiendo al teléfono móvil de la demandante el código de seguridad.

4º) Cumpliéndose los requisitos de autenticación, el usuario solo deberá soportar las pérdidas en caso de "haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 69".

En cualquier caso, la carga de la prueba de que el usuario ha actuado con negligencia grave corresponde al proveedor de los servicios de pago. Dice el artículo 72.1 de la Directiva (artículo 44 LSP) que "los Estados miembros exigirán que, cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que esta se ejecutó de manera incorrecta, corresponda al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago". Y el artículo 72.2 precisa que "la utilización de un instrumento de pago registrada por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos no bastará necesariamente para demostrar que la operación de pago ha sido autorizada por el ordenante, ni que este ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 69. El proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos aportará pruebas para demostrar que el usuario del servicio de pago ha cometido fraude o negligencia grave". Con esto se quiere decir que la utilización del instrumento de pago en la forma que el usuario lo hubiera utilizado de haber sido él mismo el autor de la operación, no exime al proveedor de los servicios de pago de la carga de probar que aquel ha obrado de manera negligente.

En este caso no se ha probado ninguna negligencia por parte del usuario demandante. Si las operaciones de pago no autorizadas se han producido por el sistema del SIM Swapping, mediante el cual un tercero puede solicitar y recibir en su domicilio una nueva tarjeta sin otro requisito que pedirla al servicio de atención al cliente, lo que el demandante no podía sospechar, no hay falta de custodia de las claves, ni descarga de mensajes sospechosos que permitan a los defraudadores hacerse con el control del uso del teléfono móvil. Se trata de un sistema que excusa de toda responsabilidad al usuario, a falta de una mayor explicación sobre si la nueva tarjeta SIM permite a los defraudadores recibir no solo los mensajes SINM, sino también, por ejemplo, acceder a las claves de acceso u otras coordenadas almacenadas en el teléfono móvil.

La aparente negligencia de Vodaphone al enviar una nueva tarjeta SIM a quien no acredita de forma suficiente ser el titular del teléfono móvil no impide apreciar la responsabilidad del banco demandado, porque ambas operan en planos y con base a títulos distintos. La del banco demandado al amparo de la Ley de Servicios de Pago y como consecuencia de una operación de pago no autorizada, la de Vodaphone con base en el contrato de telefonía móvil.

De esta forma el demandante podía haber demandado no solo al banco sino también a Vodaphone para recuperar el dinero sustraído, y el banco demandado, una vez hecho el pago, tiene acción contra Vodaphone si ha sido su actuación la que ha permitido realizar las operaciones de pago no autorizadas.

www.gonzaleztorresabogados.com

928 244 935

667 227 741