Recientemente, se están incorporando por parte de las entidades bancarias cláusulas de exoneración de responsabilidad en los contratos de banca digital o multicanal, mediante los cuales se regulan las condiciones generales de todos los servicios que se prestan a través de la banca online y/o banca móvil, mediante las cuales se les impone la adopción de determinadas medidas de seguridad para acceder y utilizar dichos canales, con la finalidad de evitar usos fraudulentos.
La cuestión que, cada vez más, se plantea es, si en caso de imposibilidad de cumplimiento de dichas medidas de seguridad, contractualmente exigibles, en supuestos de ciberfraude ¿puede la entidad bancaria eludir su responsabilidad al amparo de cláusulas predispuestas en un contrato de adhesión suscrito por los usuarios de los servicios de pago?
Responsabilidad cuasi objetiva de los proveedores de servicios de pago
La responsabilidad exigida a las entidades bancarias es la que se deriva de la naturaleza de la prestación de los servicios de pago, lo que les obliga a adoptar una serie de medidas de seguridad y dotarse de mecanismos de supervisión que les permitan detectar operaciones fraudulentas.
Dicha responsabilidad es cuasi objetiva, por lo que las entidades bancarias son responsables por no adoptar las medidas de seguridad adecuadas para evitar este tipo de transacciones ya que la
seguridad o inseguridad en el canal de comunicación prestador y cliente opera a cargo y riesgo del proveedor de los servicios de pago.
El deber de diligencia exigido a dichas entidades no se considerará cumplido con una mera actividad informativa o divulgativa, sino que se exige de una conducta activa e implementar un mecanismo adecuado para evitar el fraude.
Dicha responsabilidad solo podrá ser eludida, cuando concurra fraude o negligencia grave del usuario, que servirá de causa liberatoria de su responsabilidad, de conformidad con lo dispuesto en el artículo 46.1 en relación con el 41 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (en adelante RPSP).
Extremo que, además, compete probar a los proveedores de servicios de pago, al establecerse la inversión de la carga de la prueba en estos supuestos en el artículo 44.3 del mismo texto legal.
¿Puede trasladarse la responsabilidad al usuario?
Con mayor frecuencia nos encontramos con cláusulas, predispuestas por las entidades bancarias en los contratos que suscriben con los usuarios de los servicios de pago, mediante las cuales se les exige la adopción de determinadas medidas de seguridad para acceder y usar los canales a distancia, mediante la banca online y/o la banca móvil, a través de sus propios dispositivos, con la finalidad de evitar usos fraudulentos.
No obstante, en caso de incumplir dichas medidas de seguridad, establecen, que el usuario será responsable, en todo caso, de la utilización indebida de los canales a distancia y, en consecuencia, de los daños y perjuicios que pudiera padecer a raíz de ello.
Las entidades bancarias suelen ampararse en dichas cláusulas habidas en las condiciones generales de la contratación bien para trasladar a los usuarios la carga de probar la inexistencia de su negligencia bien para exonerarse de su responsabilidad, en casos de reclamaciones efectuadas a consecuencia de estafas fraudulentas padecidas en el uso de la banca online y/o banca móvil.
Sin embargo, como hemos avanzado, la carga de la prueba recae en estos casos sobre la entidad, sin que pueda trasladarse al usuario una situación de «probatio diabólica» atribuyéndole las consecuencias de una falta de prueba de un hecho negativo, de práctica imposibilidad probatoria.
Además, no resulta proporcionado, desde la perspectiva del equilibrio contractual, tratar de reducir, implícita o explícitamente a través de la inserción de dichas cláusulas, la responsabilidad bancaria en casos de fraude o negligencia del usuario, desconociendo la posibilidad de captaciones subrepticias, con independencia de manipulaciones varias que puedan acontecer a causa de las deficiencias del sistema bancario, cuando es notorio que, en ciertas circunstancias, las entidades bancarias pueden advertir utilizaciones indebidas empleando la diligencia que les es exigible conforme a su experiencia y medios técnicos. Por lo tanto, no se trata de derivar la responsabilidad a la entidad bancaria, sino de estimar abusiva cualquier cláusula que establezca la exoneración de responsabilidad en todo caso, con arreglo a la legislación vigente y la jurisprudencia que viene aplicándola. Veamos.
Marco legal
En la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) nº 1093/2010 y se deroga la Directiva 2007/64/CE, se dispone en el considerando 72, lo siguiente: “Se deben considerar nulas las cláusulas contractuales y las condiciones de prestación y utilización de instrumentos de pago mediante las cuales aumente la carga de la prueba sobre el consumidor o se reduzca la carga de la prueba sobre el emisor. Además, en situaciones específicas y, más concretamente, cuando el instrumento de pago no esté presente en el punto de venta, como en el caso de los pagos en línea, resulta oportuno que el proveedor de servicios aporte pruebas de la presunta negligencia, puesto que los medios a disposición del ordenante son limitados en esos casos.”
Del apartado primero del artículo 34 del RPSP se infiere que las entidades bancarias no pueden establecer clausulas limitativas de responsabilidad, en su favor, a todos aquellos que ostenten la condición de consumidor o de microempresa.
Asimismo, el artículo 44.3 del RPSP dispone que: “Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave”, lo que se constituye como un derecho irrenunciable para los usuarios -consumidores y microempresas- del servicio.
Por otro lado, el artículo 86.2 del Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, califica de abusivas las cláusulas que limiten o priven al consumidor de los derechos reconocidos por normas dispositivas o imperativas y, en particular, aquellas estipulaciones que prevean la exclusión o limitación de la responsabilidad del empresario en el cumplimiento del contrato, por los daños causados por una acción u omisión de aquél.
Atendido lo anterior, las cláusulas de exoneración de responsabilidad en todo caso, predispuestas por las entidades bancarias en los contratos denominados de banca digital o multicanal pueden reputarse abusivas en tanto en cuanto van contra el régimen normativo imperativo que se deriva de la legislación anteriormente precitada.
Jurisprudencia aplicable
Dichas cláusulas ya fueron declaradas abusivas por la Sala Primera del Tribunal Supremo en su Sentencia número 792/2009 dictada el 16 de diciembre de 2009 en la que expresamente se dice que “son las entidades de crédito las que deben ser diligentes para detectar los usos indebidos de las claves de los clientes de conformidad a la experiencia y medios técnicos disponibles” así como que “Las cláusulas que eximen de total responsabilidad a la entidad bancaria de manera indiscriminada y sin matización o modulación alguna son abusivas (…) porque contradicen la buena fe objetiva con desequilibrio en el sinalagma contractual en perjuicio del consumidor”.
En el mismo sentido, se han pronunciado distintas audiencias provinciales en las resoluciones dictadas, destacando, entre otras, las sentencias de la Audiencia Provincial de Asturias, de 30 de septiembre de 2022, de la Audiencia Provincial de Zaragoza, de 17 de noviembre de 2022, de la Audiencia Provincial de Cáceres, de 16 de febrero de 2022, de la Audiencia Provincial de Madrid de 28 de febrero y 22 de mayo de 2022, de la Audiencia Provincial de Jaén, de 14 de diciembre de 2022, de la Audiencia Provincial de Cuenca, de 16 de mayo de 2023 y de la Audiencia Provincial de Teruel de 30 de junio de 2023.
Conclusión
Las entidades bancarias, no pueden declinar su responsabilidad por los daños y perjuicios causados a un consumidor y a una microempresa en su condición de usuarios del servicio de pagos, a consecuencia de operaciones fraudulentas no autorizadas, al amparo de cláusulas predispuestas en las condiciones generales de contratación incorporadas a los contratos de adhesión de banca digital o multicanal mediante los cuales se regulan los servicios prestados a través de la banca online y/o banca móvil.
Pues resulta desproporcionada la cláusula que limita la exoneración de responsabilidad, en todo caso, ante el incumplimiento genérico de determinadas obligaciones impuestas al usuario en relación con la adopción de determinadas medidas de seguridad para acceder y usar los canales a distancia, las cuales precisamente se exigen, por ley, a las propias entidades proveedoras de tales servicios.
Y no puede alterarse el régimen de responsabilidad legal por parte del prestador del servicio, en atención a lo dispuesto en condiciones generales, al no ser disponibles las garantías del cliente -consumidor y microempresa-sin poder oponer el pacto frente a la ley.
Vanesa Fernández Escudero / Abogada especializada en Derecho de los consumidores y usuarios