Diálogos para el futuro judicial LXXXVII. El ciberfraude y su respuesta jurídica

Diálogos para el futuro judicial LXXXVII. El ciberfraude y su respuesta jurídica

En este post se recogen las aportaciones de Vanesa Fernández en los Diálogos para el futuro judicial LXXXVII. El ciberfraude y su respuesta jurídica publicados en Diario La Ley.


Coordinación e introducción:

Álvaro Perea González (Letrado de la Administración de Justicia)
Autores: Adrián Gómez-Linacero Corraliza (Letrado de la Administración de Justicia)
Vanesa Fernández Escudero (Abogada)
Iñigo Serrano Blanco (Socio fundador y CEO en Sello Legal. Abogado)
Patricia Romero Macipe (Abogada)

1º.- En parámetros generales, ¿qué está ocurriendo con el ciberfraude en España? ¿por qué los datos son tan alarmantes?

«El ciberfraude en España aumenta de forma exponencial y preocupante. Ello se debe, según los especialistas del Centro Criptológico Nacional y del Instituto Nacional de Ciberseguridad, a distintos factores.


Destacaría el incremento de la actividad digital, la vulnerabilidad de las redes domésticas y la falta de capacitación de la población española en ciberseguridad.


El panorama resulta preocupante, atendida la escasa punibilidad penal de los autores si se consigue su detención, la
gran ganancia económica que obtiene el delincuente en poco tiempo y sin demasiada logística invertida, utilizando
tácticas de ataque cada vez más avanzadas y la minusvaloración de los daños reales y cuantificables que conlleva un
ciberataque para las empresas y los hogares.»

2º.- De forma paralela al aumento normativo de la regulación en materia de protección de datos observamos también un incremento progresivo de la ciberdelincuencia en todos los campos, sobre todo en el patrimonial. ¿Está siendo ineficaz la protección jurídica del dato? ¿Por qué? ¿Qué debería cambiar en el panorama legislativo europeo o nacional?

«Más que ineficaz, el aumento normativo en protección de datos ha resultado insuficiente para evitar la
ciberdelincuencia, por muchas razones, entre las que destacaría: la rápida evolución de las amenazas, la falta de
inversión en la protección de canales informáticos, la falta de implementación efectiva de las normativas aplicables,
el enfoque limitado de la normativa que no abarca la prevención integral del ciberfraude patrimonial, la falta de una
cultura sólida de ciberseguridad en las empresas y la inexistencia de sanciones disuasorias suficientes para la
adopción de medidas de seguridad adecuadas.


Estimo que la Unión Europea necesita «regular» y no tanto «legislar». De esta manera se acotarían más los riesgos,
sus posibles soluciones y se reducirían los impactos reales en la economía, así como la existencia de las empresas
ciberatacadas.


Para ello, ayudaría la elaboración de pocas leyes, pero más específicas y detalladas respecto de la ciberdelincuencia,
especialmente en sectores críticos como el financiero y el sanitario, una regulación única y no fragmentada, que sin
duda debería ser dinámica y cambiante para poder actualizarse acorde con la evolución del ciberfraude.


Además, dado que el ciberfraude es transnacional, se requiere de una mejor cooperación entre los Estados de la UE y
a nivel global para investigar, perseguir y sancionar a los ciberdelincuentes. Para ello, el Convenio de Bucarest reduce
la burocracia procesal entre Estados para ejecutar la detención una vez detectada la IP originaria del ciberataque.
Aún así, sigue siendo un reto procesal penal con aquellos países no adscritos a dicho Convenio.


Por último, se requiere mayor inversión en formación, estableciendo programas obligatorios de educación en ciberseguridad, empezando por las escuelas.»

3º.- Phishing, hacking, pharming… ¿Cuántas modalidades de ciberfraude existen? ¿Cuál debe ser la respuesta del ciudadano o la empresa ante ellos? ¿Está siendo efectiva la investigación policial? ¿Y la judicial? ¿Qué obstáculos encuentran con mayor frecuencia Fuerzas y Cuerpos de Seguridad y órganos judiciales?

«El ciberfraude abarca una amplia variedad de modalidades, debido a la evolución constante de las técnicas
utilizadas por los ciberdelincuentes, siendo los más habituales en la actualidad el phishing, el smishing, vishing, ecommerce fraud, ransomware, scams financieros, fraude del CEO, man in the middle, business email compromise,
malware, spyware, click fraud,typostquatting, etc…


Los ciudadanos y empresas deben tomar medidas proactivas y reactivas para minimizar riesgos de un ciberataque y
actuar rápidamente en caso de ser víctimas.


Las investigaciones policiales son muchas veces eficaces gracias al establecimiento de unidades especializadas como
7 / 13 la Unidad Técnica de Investigación (UIT) y la cooperación con instituciones como INCIBE (Instituto Nacional de
Seguridad Cibernética) y Europol también han mejorado la capacidad de perseguir los delitos cibernéticos a nivel
internacional.


A nivel judicial, se están adaptando los marcos y procedimientos legales para combatir el delito cibernético y se han
creado áreas especializadas. Sin embargo, la falta de recursos adecuados y la lenta adaptación a nuevas amenazas
continúan limitando la efectividad de las investigaciones en esta área.


Respecto a los obstáculos, el primero y más relevante es la identificación y localización de los ciberdelincuentes,
también la recopilación de pruebas. Los procesos judiciales se enfrentan a barreras jurídicas y burocráticas que
retrasan la cooperación entre jurisdicciones y la falta de recursos y formación especializada limita la capacidad para
abordar eficazmente el ciberfraude.»

4º.- El Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, es una norma trascendental en la lucha contra el ciberfraude. ¿Qué valoración general merece? ¿Y el régimen jurídico de la responsabilidad del proveedor de servicios de pago?

«Es crucial en la lucha contra el ciberfraude al alinear la normativa española con la Directiva Europea de Servicios de
Pago (PSD2) (LA LEY 20018/2015), sin embargo, el régimen jurídico de la responsabilidad del proveedor de servicios
de pago presenta varios problemas a nivel jurídico.


A mi juicio la normativa es ambigua en cuanto a determinadas responsabilidades específicas de los proveedores de
servicios de pago en casos de fraude o errores en las transacciones.


Esto conlleva la existencia de controversias sobre quién es responsable de los fondos perdidos y dificulta
enormemente a los usuarios la recuperación de los mismos, sin que el proveedor de servicios de pago se avenga y
colabore a tal fin, ya que en la mayoría de ocasiones fuerzan a los afectados a acudir a la vía judicial.»

5º.- En lo que atañe a la recuperación del dinero sustraído por un usuario de servicios de
pago… ¿Qué papel está jugando el Banco de España? ¿Y los proveedores de servicio? ¿Se ha
conseguido mejorar la seguridad en el uso de sistemas de pago a través de Internet tal y como
pretendía la regulación europea original (Véase: Directiva (UE) 2015/2366 del Parlamento
Europeo y del Consejo, de 25 de noviembre de 2015)?

«El Banco de España, como supervisor e intermediario en la recuperación de fondos sustraídos por los usuarios de
servicios de pago, debería garantizar que las instituciones financieras cumplieran con las regulaciones de protección
al consumidor y debería supervisar la gestión adecuada de las reclamaciones relacionadas con el fraude.


Sin embargo, a mi modo de ver, el Banco de España no está actuando de forma eficaz ni en el proceso de
recuperación de fondos robados ni está protegiendo efectivamente los derechos de los consumidores, garantizando la adecuada gestión de los casos de fraude. Hay margen de mejora.


Por su parte, los proveedores de servicios de pago no están implementando grandes empeños en la recuperación de
los fondos sustraídos ante reclamaciones de afectados, y en muchas ocasiones hasta que no se judicializa el asunto
no responden.


Sí, en general, desde la implementación de la Directiva (UE) 2015/2366 (LA LEY 20018/2015) la seguridad al utilizar
los sistemas de pago ha mejorado. Aun así, persisten desafíos, que requieren de una adaptación continua para
abordar nuevos retos y amenazas de los ciberdelincuentes que están adaptando sus técnicas para explotar nuevas
vulnerabilidades.»

6º.- 509,1% más de ciberfraude en 2023 con relación a 2016. ¿Cómo estaremos en 2030?
¿Cuál es el horizonte que dibujan los datos? ¿Qué prioridades normativas, operativas y de otro
tipo deben asumirse en el corto plazo?

«Sobre la base de esta tasa de crecimiento, el aumento tenderá a subir hasta 2030. A partir de ahí, es probable que
tienda a estancarse, para empezar una reducción progresiva. Todo dependerá del afianzamiento progresivo de las
medidas de defensa a nivel público y privado, junto con la mentalización colectiva en todos los sectores de la
población.


En definitiva, dependerá de la eficacia de las estrategias implementadas para combatirlo, no obstante, lo que está
claro es que, sin una intervención significativa de seguridad e inteligencia, es probable que el fraude cibernético
continúe aumentando si las tendencias actuales continúan. La clave radicará en la capacidad de la tecnología, la
regulación y la educación para adaptarse y contrarrestar eficazmente las amenazas emergentes.


Es necesario abordar varias prioridades regulatorias, operativas y de otro tipo para frenar eficazmente el aumento del
fraude cibernético.


Normativamente, es importante actualizar y fortalecer las leyes y regulaciones de ciberseguridad. Desde el punto de
vista operativo, las empresas deberían invertir en tecnologías avanzadas de ciberseguridad. Es determinante
aumentar la formación y concienciación en ciberseguridad entre los usuarios para reducir el riesgo de error humano
que puede facilitar el fraude. Debe fomentarse la cooperación y el intercambio de información entre instituciones
financieras, empresas de tecnología y agencias gubernamentales para crear un frente común contra el fraude
cibernético.»

Para aquellos interesados en profundizar más sobre las perspectivas abordadas y conocer en detalle las respuestas de los profesionales que han participado en esta conversación pueden acceder a través del siguiente enlace: Diálogos para el futuro judicial: El ciberfraude y su respuesta jurídica.

Vanesa Fernández Escudero / Abogada especializada en Derecho de los consumidores y usuarios

¿Son abusivas las cláusulas de exoneración de responsabilidad en los contratos de banca digital en casos de ciberfraude?

¿Son abusivas las cláusulas de exoneración de responsabilidad en los contratos de banca digital en casos de ciberfraude?

Recientemente, se están incorporando por parte de las entidades bancarias cláusulas de exoneración de responsabilidad en los contratos de banca digital o multicanal, mediante los cuales se regulan las condiciones generales de todos los servicios que se prestan a través de la banca online y/o banca móvil, mediante las cuales se les impone la adopción de determinadas medidas de seguridad para acceder y utilizar dichos canales, con la finalidad de evitar usos fraudulentos.

La cuestión que, cada vez más, se plantea es, si en caso de imposibilidad de cumplimiento de dichas medidas de seguridad, contractualmente exigibles, en supuestos de ciberfraude ¿puede la entidad bancaria eludir su responsabilidad al amparo de cláusulas predispuestas en un contrato de adhesión suscrito por los usuarios de los servicios de pago?

Responsabilidad cuasi objetiva de los proveedores de servicios de pago

La responsabilidad exigida a las entidades bancarias es la que se deriva de la naturaleza de la prestación de los servicios de pago, lo que les obliga a adoptar una serie de medidas de seguridad y dotarse de mecanismos de supervisión que les permitan detectar operaciones fraudulentas.

Dicha responsabilidad es cuasi objetiva, por lo que las entidades bancarias son responsables por no adoptar las medidas de seguridad adecuadas para evitar este tipo de transacciones ya que la

seguridad o inseguridad en el canal de comunicación prestador y cliente opera a cargo y riesgo del proveedor de los servicios de pago.

El deber de diligencia exigido a dichas entidades no se considerará cumplido con una mera actividad informativa o divulgativa, sino que se exige de una conducta activa e implementar un mecanismo adecuado para evitar el fraude.

Dicha responsabilidad solo podrá ser eludida, cuando concurra fraude o negligencia grave del usuario, que servirá de causa liberatoria de su responsabilidad, de conformidad con lo dispuesto en el artículo 46.1 en relación con el 41 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (en adelante RPSP).

Extremo que, además, compete probar a los proveedores de servicios de pago, al establecerse la inversión de la carga de la prueba en estos supuestos en el artículo 44.3 del mismo texto legal.

¿Puede trasladarse la responsabilidad al usuario?

Con mayor frecuencia nos encontramos con cláusulas, predispuestas por las entidades bancarias en los contratos que suscriben con los usuarios de los servicios de pago, mediante las cuales se les exige la adopción de determinadas medidas de seguridad para acceder y usar los canales a distancia, mediante la banca online y/o la banca móvil, a través de sus propios dispositivos, con la finalidad de evitar usos fraudulentos.

No obstante, en caso de incumplir dichas medidas de seguridad, establecen, que el usuario será responsable, en todo caso, de la utilización indebida de los canales a distancia y, en consecuencia, de los daños y perjuicios que pudiera padecer a raíz de ello.

Las entidades bancarias suelen ampararse en dichas cláusulas habidas en las condiciones generales de la contratación bien para trasladar a los usuarios la carga de probar la inexistencia de su negligencia bien para exonerarse de su responsabilidad, en casos de reclamaciones efectuadas a consecuencia de estafas fraudulentas padecidas en el uso de la banca online y/o banca móvil.

Sin embargo, como hemos avanzado, la carga de la prueba recae en estos casos sobre la entidad, sin que pueda trasladarse al usuario una situación de «probatio diabólica» atribuyéndole las consecuencias de una falta de prueba de un hecho negativo, de práctica imposibilidad probatoria.

Además, no resulta proporcionado, desde la perspectiva del equilibrio contractual, tratar de reducir, implícita o explícitamente a través de la inserción de dichas cláusulas, la responsabilidad bancaria en casos de fraude o negligencia del usuario, desconociendo la posibilidad de captaciones subrepticias, con independencia de manipulaciones varias que puedan acontecer a causa de las deficiencias del sistema bancario, cuando es notorio que, en ciertas circunstancias, las entidades bancarias pueden advertir utilizaciones indebidas empleando la diligencia que les es exigible conforme a su experiencia y medios técnicos. Por lo tanto, no se trata de derivar la responsabilidad a la entidad bancaria, sino de estimar abusiva cualquier cláusula que establezca la exoneración de responsabilidad en todo caso, con arreglo a la legislación vigente y la jurisprudencia que viene aplicándola. Veamos.

Marco legal

En la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) nº 1093/2010 y se deroga la Directiva 2007/64/CE, se dispone en el considerando 72, lo siguiente: “Se deben considerar nulas las cláusulas contractuales y las condiciones de prestación y utilización de instrumentos de pago mediante las cuales aumente la carga de la prueba sobre el consumidor o se reduzca la carga de la prueba sobre el emisor. Además, en situaciones específicas y, más concretamente, cuando el instrumento de pago no esté presente en el punto de venta, como en el caso de los pagos en línea, resulta oportuno que el proveedor de servicios aporte pruebas de la presunta negligencia, puesto que los medios a disposición del ordenante son limitados en esos casos.”

Del apartado primero del artículo 34 del RPSP se infiere que las entidades bancarias no pueden establecer clausulas limitativas de responsabilidad, en su favor, a todos aquellos que ostenten la condición de consumidor o de microempresa.

Asimismo, el artículo 44.3 del RPSP dispone que: “Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave”, lo que se constituye como un derecho irrenunciable para los usuarios -consumidores y microempresas- del servicio.

Por otro lado, el artículo 86.2 del Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, califica de abusivas las cláusulas que limiten o priven al consumidor de los derechos reconocidos por normas dispositivas o imperativas y, en particular, aquellas estipulaciones que prevean la exclusión o limitación de la responsabilidad del empresario en el cumplimiento del contrato, por los daños causados por una acción u omisión de aquél.

Atendido lo anterior, las cláusulas de exoneración de responsabilidad en todo caso, predispuestas por las entidades bancarias en los contratos denominados de banca digital o multicanal pueden reputarse abusivas en tanto en cuanto van contra el régimen normativo imperativo que se deriva de la legislación anteriormente precitada.

Jurisprudencia aplicable

Dichas cláusulas ya fueron declaradas abusivas por la Sala Primera del Tribunal Supremo en su Sentencia número 792/2009 dictada el 16 de diciembre de 2009 en la que expresamente se dice que “son las entidades de crédito las que deben ser diligentes para detectar los usos indebidos de las claves de los clientes de conformidad a la experiencia y medios técnicos disponibles” así como que “Las cláusulas que eximen de total responsabilidad a la entidad bancaria de manera indiscriminada y sin matización o modulación alguna son abusivas (…) porque contradicen la buena fe objetiva con desequilibrio en el sinalagma contractual en perjuicio del consumidor”.

En el mismo sentido, se han pronunciado distintas audiencias provinciales en las resoluciones dictadas, destacando, entre otras, las sentencias de la Audiencia Provincial de Asturias, de 30 de septiembre de 2022, de la Audiencia Provincial de Zaragoza, de 17 de noviembre de 2022, de la Audiencia Provincial de Cáceres, de 16 de febrero de 2022, de la Audiencia Provincial de Madrid de 28 de febrero y 22 de mayo de 2022, de la Audiencia Provincial de Jaén, de 14 de diciembre de 2022, de la Audiencia Provincial de Cuenca, de 16 de mayo de 2023 y de la Audiencia Provincial de Teruel de 30 de junio de 2023.

Conclusión

Las entidades bancarias, no pueden declinar su responsabilidad por los daños y perjuicios causados a un consumidor y a una microempresa en su condición de usuarios del servicio de pagos, a consecuencia de operaciones fraudulentas no autorizadas, al amparo de cláusulas predispuestas en las condiciones generales de contratación incorporadas a los contratos de adhesión de banca digital o multicanal mediante los cuales se regulan los servicios prestados a través de la banca online y/o banca móvil.

Pues resulta desproporcionada la cláusula que limita la exoneración de responsabilidad, en todo caso, ante el incumplimiento genérico de determinadas obligaciones impuestas al usuario en relación con la adopción de determinadas medidas de seguridad para acceder y usar los canales a distancia, las cuales precisamente se exigen, por ley, a las propias entidades proveedoras de tales servicios.

Y no puede alterarse el régimen de responsabilidad legal por parte del prestador del servicio, en atención a lo dispuesto en condiciones generales, al no ser disponibles las garantías del cliente -consumidor y microempresa-sin poder oponer el pacto frente a la ley.

Vanesa Fernández Escudero / Abogada especializada en Derecho de los consumidores y usuarios

¿Cuáles son las consecuencias jurídicas de la determinación inexacta de la TAE en los préstamos al consumo?

¿Cuáles son las consecuencias jurídicas de la determinación inexacta de la TAE en los préstamos al consumo?

La cuestión prejudicial que ha dado lugar a la Sentencia dictada por el Tribunal de Justicia de la Unión Europea (TJUE), el pasado 21 de marzo de 2024, ha sido planteada por un Tribunal de Primera Instancia de Sofía, en el ámbito de un litigio existente entre un consumidor y una entidad de crédito búlgara, asunto C‑714/22.

En dicha resolución se abordan los problemas derivados de la determinación inexacta de la TAE y sus consecuencias jurídicas en los contratos de crédito al consumo.

Concretamente, el TJUE responde a distintas preguntas planteadas en relación con el cálculo de la TAE, así como las implicaciones de su posible omisión para la validez del contrato y la protección de los consumidores.

En primer lugar, se plantea si la determinación de la Tasa Anual Equivalente (TAE) debe contener los gastos de servicios accesorios que conceden al consumidor que los adquiere prioridad en el estudio de la solicitud de crédito y en la puesta a disposición de la cantidad prestada, así como permiten aplazar la devolución de las mensualidades o reducir el importe de estas.

En segundo lugar, se pregunta acerca de las consecuencias legales de una TAE inexactamente determinada, comparándolas con la falta de indicación de la TAE y las posibles repercusiones sobre la nulidad del contrato de crédito al consumo.

¿Qué responde el TJUE?

Que la TAE debe contener todos los costes conocidos, incluidos servicios accesorios, si éstos son fundamentales para la concesión del crédito o sus condiciones específicas, por lo que adopta una interpretación amplia del «coste total del crédito para el consumidor«.

Estima que el artículo 3, letra g), de la Directiva 2008/48 debe interpretarse en el sentido de que los gastos por los referidos servicios accesorios a un contrato de crédito al consumo se incluyen en el coste total del crédito y consiguientemente en el concepto de TAE, como se define en la letra i) del artículo 3, cuando esos servicios son de obligada adquisición para obtener el crédito o bien un montaje urdido para disimular el verdadero coste del mismo.

En consecuencia, el consumidor está obligado únicamente a devolver el capital prestado, excluyendo intereses y gastos adicionales ante una TAE inexacta, reforzando así su protección y sancionando las prácticas comerciales no transparentes.

La indicación de la TAE en un contrato de crédito al consumo resulta esencial para que el consumidor pueda conocer sus derechos y obligaciones, por lo que la indicación inexacta de la misma priva al consumidor de la posibilidad de determinar el alcance de su compromiso.

Atendido lo anterior, el TJUE concluye que privar al prestamista de su derecho a los intereses y gastos constituye una sanción acorde con la gravedad de su incumplimiento y tiene carácter disuasorio y proporcionado.

¿Qué puede exigirse al órgano jurisdiccional nacional?

La verificación rigurosa de la TAE y que se asegure de que la que ha sido comunicada al consumidor abarca todos los gastos relevantes enfatizando la influencia directa en la carga financiera total del contrato de crédito al consumo.

En consecuencia, el órgano jurisdiccional nacional deberá comprobar si con la falta de inclusión del precio de los servicios accesorios en la TAE se busca, en realidad, eludir alguna prohibición contenida en la normativa nacional.

Además, habida cuenta de la importancia esencial que para el consumidor reviste la indicación de la TAE, podrá aplicarse de oficio la normativa nacional que determine que, en caso de que no se indique la TAE o ésta sea inexacta, el crédito concedido se considera exento de intereses y gastos.

En ese sentido, deberá interpretarse lo dispuesto en el artículo 16.2.g) de la Ley 16/2011, de 24 de junio, de contratos de crédito al consumo y en consecuencia la penalización a la que se refiere el artículo 21.2, al no constar en el documento contractual la TAE exactamente determinada.

La sentencia impacta directamente en cómo se interpretan los costes en los contratos de crédito al consumo, así como en el cálculo de la TAE, reforzando la protección del consumidor frente a prácticas no transparentes.

Los profesionales del sector deberán adaptar tanto los contratos como sus prácticas informativas para alinearse con las directrices de transparencia en la determinación y desglose de la TAE, evitando cláusulas potencialmente abusivas, y posibles conflictos legales, como el expuesto.

Vanesa Fernández Escudero / Abogada especializada en Derecho de los consumidores y usuarios

Líneas de Avales ICO Covid19: ¿Hubo mala praxis bancaria en su concesión a empresas y autónomos?

Líneas de Avales ICO Covid19: ¿Hubo mala praxis bancaria en su concesión a empresas y autónomos?

La crisis sanitaria desencadenada por la Covid-19 no solo puso a prueba la capacidad de respuesta de los sistemas de salud, sino que también desafió la solidez y ética de los sistemas financieros. En el epicentro de esta tormenta financiera encontramos las Líneas de Avales ICO Covid19, diseñadas para proporcionar apoyo a empresas y autónomos en estos tiempos difíciles. Sin embargo, detrás de esta máscara de apoyo emergen cuestiones controversiales y mala praxis bancaria. En este artículo nos sumergimos en las profundidades de estas cuestiones analizando las implicaciones para el sector financiero y aquellos que confiaron en su ayuda.

Sumario:

El presente artículo aborda los problemas derivados de la mala praxis bancaria en la concesión de las Líneas de Avales ICO diseñadas para ayudar a empresas y autónomos durante la crisis de la Covid-19. Se centra en tres áreas principales:

  1. Incumplimiento de la prohibición de vincular seguros a los créditos ICO. Se descubrió que algunas entidades bancarias exigían a las PYMES y autónomos la contratación obligatoria de seguros de vida para acceder a los préstamos ICO, a pesar de que esto estaba prohibido. Esta acción contravenía varias normativas y legislaciones. La Comisión Nacional de los Mercados y la Competencia (CNMC) inició investigaciones y sanciones contra entidades como Banco Sabadell, Banco Santander, CaixaBank y Bankia por prácticas anticompetitivas relacionadas con estas líneas de avales.
  2. Incumplimiento de la obligación de informar sobre el aval. A pesar de la publicidad sobre el aval del Estado en las Líneas ICO Covid19, en muchos casos, se exigía a las PYMES el aval personal de los administradores por el 100% de la operación, generando confusión entre los prestatarios.
  3. Incumplimiento de la finalidad de la concesión de los ICO. Algunas entidades bancarias usaron los ICO para mejorar su condición respecto de los créditos y/o préstamos dispuestos por sus clientes, empresas y autónomos, los cuales procedieron a amortizar y cancelar, pese a no estar vencidos, cuando la finalidad de la concesión de los ICO era precisamente ayudar a las empresas y autónomos a mantener su actividad económica ante las graves consecuencias de la pandemia por Covid-19.

Parte I: incumplimiento de la prohibición de vincular seguros a los créditos ICO.

Se constata cómo algunas entidades procedieron a vincular la contratación obligatoria de seguros de vida -a través de sus propias compañías aseguradoras- a la concesión y suscripción de las Líneas de crédito ICO y otras ayudas financieras para empresas, derivadas de la normativa extraordinaria dictada para la gestión de la situación de la crisis sanitaria ocasionada por el Covid19.

Ante la necesidad de financiación de las PYMES y autónomos para hacer frente a la difícil situación causada por la pandemia y para acogerse a la línea de avales ICO, que había sido aprobada por el Gobierno en su primera versión de 3 de abril de 2020 así como sus posteriores adendas, se les requiere para la concesión del préstamo en cuestión, la contratación de un seguro de vida obligatorio a favor de los fiadores del mismo.

Sin embargo, la vinculación de productos en la concesión de este tipo de financiación estaba terminantemente prohibida por la normativa de aplicación.

Efectivamente, la venta combinada del seguro de vida con ocasión de la concesión del préstamo ICO chocaba frontalmente con los mejores usos y prácticas bancarias que le eran exigibles al banco, de conformidad con lo dispuesto en el Real Decreto Ley 8/2020, de 17 de marzo, de medidas urgentes extraordinarias para hacer frente al impacto económico y social del Covid19 y la Resolución de 10 de abril de 2020, de la Secretaría de Estado de Economía y Apoyo a la Empresa por la que se publica el Acuerdo del Consejo de Ministros de 10 de abril de 2020 (ACM 10-04-20).

Precisamente, en dicha Resolución de 10 de abril de 2020 se contenía explícitamente la prohibición de condicionar la concesión de un préstamo ICO a la contratación por parte del cliente de otros productos. En ese sentido, del redactado de los requisitos a cumplir por parte de las entidades bancarias en la concesión de dichos créditos se desprende literalmente lo siguiente:

En consecuencia, es claro que, con dicha actuación, las entidades bancarias incumplieron con una prohibición expresa recogida en el precitado Real Decreto Ley así como con los mejores usos y prácticas bancarias que les eran exigidas de conformidad con lo dispuesto en el Anexo I, primero, de la resolución antedicha.

Asimismo, si la entidad estaba adherida al Código de Buenas Prácticas, incumplió también con el mismo, al haber impuesto un seguro de vida a un cliente, con evidente negligencia y mala fe.

En lo relativo al Código de Buenas Prácticas, las entidades adheridas al mismo se comprometen a adoptar una serie de medidas sobre las operaciones de financiación recogidas en el artículo 6 del RDL 5/2021, como la extensión, a solicitud del deudor que cumpla con los requisitos de elegibilidad detallados en el anexo II, del plazo de vencimiento de las operaciones de financiación que han recibido aval público; la consideración de la posibilidad de convertir las operaciones de financiación con aval público en préstamos participativos no convertibles en capital; la valoración de la reducción del principal pendiente de las operaciones de financiación con aval público, en los términos establecidos en el anexo IV de este Acuerdo o el no condicionamiento de la concesión de ninguna de las medidas contenidas en el Código de Buenas Prácticas a la comercialización de otros productos, entre otras.

Dicha actuación, pudo suponer, además, una infracción del artículo 3 de la Ley 15/2007, de 3 de julio, de Defensa de la Competencia (LDC), en relación con el artículo 4 de la Ley 3/1991, de 10 de enero, de Competencia Desleal.

La propia Comisión Nacional de los Mercados y la Competencia, en adelante CNMC, recibió cientos de denuncias sobre conductas anticompetitivas relacionadas con el Covid19 y concretamente con el sector financiero, que dieron lugar al inicio de investigaciones en las que se analizó la exigencia por parte de algunas entidades financieras de una garantía adicional, en particular, la suscripción de un seguro de vida en este tipo de operaciones.

En fecha 16 de junio de 2021 la CNMC inició un expediente sancionador contra las entidades Banco Sabadell, S.A., Banco Santander, S.A., CaixaBank, S.A. y Bankia, S.A. por posibles prácticas restrictivas de la competencia en la comercialización de las Líneas de Avales ICO Covid19, por haber condicionado la concesión de los préstamos a la contratación de otros productos a pequeños minoristas.

Si bien es cierto que dichas entidades fueron finalmente absueltas, resulta reveladora la Resolución de la Sala de la Competencia de la CNMC, “Préstamos ICO COVID S/0016/20” por cuanto de forma minuciosa, detalla la normativa de aplicación y las conductas terminantemente prohibidas de las entidades en la formalización de dichas operaciones.

A tenor de lo anterior debemos señalar que desde el momento en el que el personal de las oficinas de dichas entidades bancarias manifestaba a sus clientes la necesidad de suscribir el seguro de vida para la concesión de los créditos ICO, el banco actúa como operador de banca de seguro, en tanto distribuidor de seguros.

Ello sin tener en cuenta la estrecha relación entre las dos entidades -la bancaria y la aseguradora- y la forma de actuar en la que únicamente es visible para el cliente, una sola figura, la del propio banco a través de su empleado de confianza de la sucursal correspondiente.

En consecuencia, a mi entender, la responsabilidad de dichas entidades no solo podría derivar del incumplimiento de la prohibición de vincular la contratación de seguros de vida a la concesión de los créditos ICO, sino también de los incumplimientos de obligaciones -que en su caso se produzcan- bajo su condición de operador de banca de seguros.

En ese sentido, es abundante la jurisprudencia de distintas Audiencias Provinciales que estiman la responsabilidad solidaria de la entidad que comercializa el seguro de vida como distribuidor de seguros y la estrecha vinculación de esta con la aseguradora, de la propia entidad.

En este sentido puede concurrir corresponsabilidad de dichas entidades, en tanto distribuidoras de los seguros de vida impuesto, por los incumplimientos derivados de su actividad como operadores de banca de seguro, y ello, insisto, sin tener en cuenta las infracciones derivadas de la imposición del referido seguro.

Parte II: Incumplimiento de la obligación de informar debidamente respecto al aval.

A pesar de que en toda la publicidad de las Líneas ICO Covid19 se apelaba al aval del Estado, en el caso de pymes como máximo al 80% de la operación, la realidad es que en muchos supuestos se requirió, además, el aval personal de los administradores de las compañías del 100% de la operación.

Efectivamente, el banco exigía una fianza solidaria por el 100% del importe del crédito, tras haber ofrecido a sus clientes el préstamo condicionado a la obtención del aval, a primer requerimiento del ICO, respecto del 80% de su importe.

De lo anterior, es más que probable que los clientes entendieran y asumieran que, una vez conseguido el aval del ICO, a lo que se comprometían a avalar sería, como máximo, el 20% restante. Es decir, la parte no avalada en ese aval del ICO a primer requerimiento, lo que no se correspondía con la realidad.

En mi opinión, podría estimarse que el banco incumplió con su obligación de informar debidamente a sus clientes por no haber advertido a los prestatarios que se verían obligados a abonar el 100% del importe del préstamo en caso de impago por parte de la pyme, al no haber limitado la fianza al importe no afianzado por el aval a primer requerimiento del Estado, lo que denota obviamente una falta total y absoluta de transparencia

Asimismo, podría considerarse que la entidad bancaria actuó con mala fe contractual, al contar con la garantía del aval a primer requerimiento del Estado y -paradójicamente- no limitar la fianza al importe no avalado por el Estado.

Lo anterior, podría incluso haber viciado el consentimiento prestado por el avalista al haber concurrido, en tal supuesto, un error esencial, excusable y no imputable a quien lo padece, sino con motivo de la mala praxis bancaria.

¿Qué está sucediendo en caso de impago del ICO?

Algunas entidades bancarias están reclamando el 100% de dichos créditos ICO directamente contra los avalistas personales, administradores de las pymes.

En tales supuestos, podría oponerse, si nos hallamos ante un préstamo mercantil con aval del ICO, que es la empresa la que tiene el impago de dicho préstamo y, en consecuencia, el prestamista debería hacer uso del Fondo de Garantía de Inversiones (FGI), mediante el cual el Estado garantiza las inversiones realizadas por la entidad bancaria a la pyme demandada.

En caso de hallarnos ante una póliza de Línea ICO Avales Covid-19, hay que tener en cuenta que en las propias estipulaciones del contrato se señala que se formaliza para que quede al amparo del Contrato Línea ICO Avales COVID-19, suscrito entre el ICO y la entidad bancaria, que tiene por objeto establecer los términos y condiciones de la colaboración entre el ICO y el Banco en relación con la Línea ICO Avales COVID-19

En tales supuestos, en caso de impago o incumplimiento, el Estado cubrirá el 80% de las pérdidas sufridas por el prestamista, por lo que este régimen especial permite a las entidades bancarias tener la garantía del Estado para cubrir una parte de las pérdidas sufridas por el prestamista.

Por ello es fundamental que la entidad bancaria se dirija contra el avalista (en el caso de los préstamos ICO, es el Estado quien interviene como avalista). Y deberá ser la entidad bancaria la que ejecute dicho aval determinando con toda claridad la suma de dinero que está cubierta por el aval del ICO y qué parte no lo está.

A mi entender, la entidad bancaria solo podría reclamar al avalista personal la parte no cubierta por el aval del Estado y en ese sentido ya se han pronunciado algunos Juzgados de Primera Instancia al rebajar la responsabilidad de las PYMES al 20%.

Parte III.- Incumplimiento de la finalidad de la concesión de los ICO.

Se constata cómo algunas entidades bancarias usaron la concesión de los ICO para mejorar su condición respecto de los créditos y/o préstamos dispuestos por sus clientes, los cuales procedieron a amortizar y cancelar pese a no estar vencidos, en muchas de las ocasiones.

El hecho de que ese préstamo o línea de crédito, que gozaba del aval del Estado, fuese dedicado exclusivamente al pago de una deuda que se mantenía con la entidad bancaria puede suponer una irregularidad que implica una flagrante vulneración de la finalidad que tenía la concesión de ese aval del Estado, a mi entender.

Pues no puede obviarse que, el art. 29.2 del Real Decreto Ley 8/2020, que fue el que previó la concesión de una línea de avales del Estado para apoyar a empresas y autónomos ante las consecuencias económicas de la Covid-19, señala en su inciso final que las condiciones aplicables y requisitos a cumplir, incluyendo el plazo máximo para la solicitud del aval, se establecerán por Acuerdo de Consejo de Ministros, sin que se requiera desarrollo normativo posterior para su aplicación.

En consonancia con esa previsión legislativa, el Consejo de Ministros adoptó el Acuerdo de 24 de marzo de 2020, por el que se aprobaron las características del primer tramo de la línea de avales del ICO para empresas y autónomos, que fue publicado por resolución de 25 de marzo de 2020, de la Secretaría de Estado de Economía y Apoyo a la Empresa.

En ese acuerdo se recoge lo siguiente: “Dado que se trata de avales en rango «pari passu», en los que se comparte riesgo con las entidades financieras, se movilizarán también importantes cantidades por parte de las entidades privadas. Por tanto, las cantidades que por medio de esta línea de avales se ponen a disposición para mantener la actividad económica de empresas y autónomos han de entenderse como un mínimo, que vendrá complementado por recursos adicionales del sector privado”.

Lo que está claro es que la finalidad de la concesión de los ICO era precisamente ayudar a las empresas y autónomos a mantener su actividad económica ante las graves consecuencias de la pandemia por Covid-19.

El pago o amortización de los créditos que, en su caso, pudieran mantener los clientes con las entidades bancarias no pudo fundamentar ni la concesión ni la ejecución de los ICO, por lo que no hay duda de que dicha actuación supone, en mi opinión, una vulneración de la normativa que resulta de aplicación.

Además, si dicha operación no fue fruto de la casualidad ni de la intención de los propios clientes está claro que, a mi entender, puede suponer una vulneración de los principios de orden público y buena fe contractual, que se produce con abuso de la posición contractual dominante y conflicto de interés, en aplicación de lo dispuesto en el artículo 1255 del Código Civil, en los artículos 7.1 y 1258 del mismo cuerpo legal.

Artículo publicado originariamente en LA LEY

Estado actual de la transparencia y algunas claves posibles para su aplicación real y efectiva en el sector asegurador

Estado actual de la transparencia y algunas claves posibles para su aplicación real y efectiva en el sector asegurador

En mi participación en la III Jornada sobre derecho de consumo y derecho bancario, con mi ponencia “Estado actual la transparencia y algunas claves posibles para su aplicación real y efectiva en el sector asegurador” he abordado el principio de transparencia en el contrato de seguro como medida para reequilibrar la situación inicial de desigualdad existente, tanto a nivel de información como de capacidad negociadora, entre el adherente y predisponente.

Los principales puntos que he tratado son los siguientes:

¿Cómo se incorporó el principio de transparencia al contrato de seguro?

Dicho principio se incorporó a la Ley de Contrato de Seguro a través de su artículo 3, introduciendo los siguientes controles: (i) control de incorporación, formal cuando hace referencia a la póliza y su entrega con redacción clara y sencilla de su clausulado y (ii) control de transparencia y contenido, referido al carácter no lesivo de las cláusulas y la permisibilidad de las limitativas cuando cumplan los requisitos formales de validez.

En el año 1980, dichos controles resultaron novedosos e innovadores, pero el problema es que no pueden aplicarse a cláusulas que tengan por objeto la delimitación del riesgo cubierto, al afectar a la definición de los elementos principales del contrato, como son el precio y la prestación.

¿Qué ha motivado la evolución de la aplicación del principio de transparencia al contrato de seguro?

La Directiva 93/13, que aborda el fenómeno de la contratación seriada y que constituye el instrumento central para lograr la equidad del mercado en el espacio europeo, aplicable de oficio y de forma transversal, también al sector asegurador.

¿Cómo ha evolucionado la aplicación de la transparencia a los seguros?

El TS ha ido cumpliendo con una labor de integración y adecuación a la realidad social con su jurisprudencia y tras la STJUE de 23 de abril de 2015, asunto c-96/14 J.C. VAN HOVE, dictó distintas resoluciones en las que abordó la exigencia de transparencia y el control de abusividad en el ámbito de los seguros.

A consecuencia de los problemas surgidos en el sector asegurador, que tienen como fundamento ultimo la deficiente información sobre el contenido concreto de los seguros, dicha jurisprudencia se ha visto obligada a avanzar para declarar la ineficacia de determinadas cláusulas insertas en los seguros a través de categorías que casan mejor con el concepto amplio de abusividad o abuso de derecho.

¿Cuáles son las consecuencias de la aparición de esa nueva categoría de ineficacia comunitaria?

Principalmente que nos permite pedir la nulidad de la cláusula predispuesta en el contrato de seguro, por incumplimiento de la Directiva 93/13, si el predisponente no cumple con el deber de transparencia o el justo equilibrio de las prestaciones, conforme a los parámetros que ha ido delimitando el TJUE.