Responsabilidad por daños derivados del phishing
| Autor | Manuel Alba Fernández |
| Cargo | Profesor Titular Interino - Derecho Mercantil - Universidad Carlos III de Madrid |
El año 2008 nos deja la primera sentencia en el ámbito civil que de forma directa se refiere a los daños derivados de la práctica fraudulenta conocida como phishing , en el marco de las relaciones entre la entidad de crédito y los clientes o usuarios de sus servicios, incluido el de banca electrónica. La señalada práctica, como se sabe, se caracteriza por el envío de mensajes de correo electrónico por parte de terceros, que suplantan a la entidad bancaria empleando los elementos característicos de su imagen corporativa, requiriendo al destinatario que acceda a una página web a través de un hipervínculo (página supuestamente correspondiente al sistema de comunicación de la entidad suplantada) y que facilite la información relativa a los mecanismos de seguridad e identificación dispuestos para sus relaciones con el banco o caja bajo diversos pretextos.
La propia sentencia proporciona en su Fundamento de Derecho (FD) Cuarto una completa descripción de la práctica, que emplea para ubicar los hechos que considera probados y dar un perfil de los mismos:
La operativa suele ser la siguiente: en el correo electrónico remitido por el sustractor se comunica al cliente de una determinada entidad de crédito que, debido a un fallo en el sistema informático de la misma, es necesario proceder a verificar la información sobre todos sus clientes, por lo cual se le solicita que consigne en un formulario sus datos de identificación y clave de acceso. A veces añade la amenaza de anular la cuenta de los clientes que no procedan a esta verificación. Cuando el cliente accede a transmitir esta información lo hace a través de una página web trucada que reproduce fielmente la de la entidad de crédito ( web spoofing, phishing ), alojada en un servicio de hosting anónimo bajo un nombre de dominio muy similar al de la entidad de crédito. Cuando los delincuentes tienen los datos de identificación del cliente y su clave secreta, proceden a vaciar el saldo de sus cuentas en la entidad de crédito mediante unas órdenes de transferencia.
En el caso de la sentencia, dos clientes de una cierta entidad de crédito, vinculados a la misma presumiblemente a través de un contrato de depósito en cuenta corriente que incluía el servicio de banca electrónica (y decimos presumiblemente porque la sentencia aclara únicamente este último dato), resultaron víctimas del engaño descrito, como consecuencia de lo cual un tercero ordenó, empleando las claves facilitadas por la entidad de crédito a sus clientes, y por éstos a su vez a dicho tercero, la realización de dos transferencias.
A raíz de la demanda dirigida contra la entidad de crédito por sus clientes, el Juez de Primera Instancia, estimando dicha demanda en su integridad, condena a aquélla al pago de la cantidad correspondiente al importe de las dos transferencias ilegítimamente ordenadas y ejecutadas por la demandada; para lo cual emplea diversos argumentos que suscitan no pocas (y serias) dudas.
La sentencia comienza (FD Segundo, Tercero y Cuarto) planteando y tratando de dar respuesta a los diversos problemas que en el terreno formal conlleva el empleo de medios electrónicos con finalidad contractual, tal como sucede en el caso de autos (validez y efecto de los documentos escritos electrónicos y la firma electrónica). Tales problemas en muy buena medida se hallan ya resueltos en nuestro Derecho (tal como pone de relieve el cuerpo de la sentencia) por la Ley 34/2002, de 11 de julio, de los Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE), así como por la Ley 59/2003, de 19 de diciembre, sobre Firma Electrónica (LFE). Lo más destacado del razonamiento a este respecto desarrollado es la inclusión en la noción de firma electrónica (vid. art. 3.1 LFE) de las claves y mecanismos análogos de identificación que se acuerdan y emplean en las relaciones contractuales de banca electrónica (como en otras), de la que la sentencia parece partir. Sin embargo, la labor de subsunción que parece intentar el tribunal comienza a adolecer de una más que dudosa orientación ya en este punto. Efectivamente, en lugar de someter el tratamiento de las claves al régimen que la ley dispone para la firma electrónica distinta de la firma avanzada y de la reconocida [art. 3, aps. 9 y 10 LFE, en especial este último: (...) cuando una firma electrónica se utilice conforme a las condiciones acordadas por las partes para relacionarse entre sí, se tendrá en cuenta lo estipulado entre ellas ], la sentencia centra su discurso en la firma electrónica avanzada o reconocida (sic), para relativizar el valor probatorio y vinculante de la firma en cualquier caso, equiparándolo al de una presunción iuris tantum de la identidad del firmante. Sin perjuicio de que esta idea sin duda necesita de mayores matizaciones en función de las circunstancias y el tipo de firma ante el que nos hallemos, lo cierto es que las ideas en es te punto aportadas en el cuerpo de la sentencia parecen estar dirigidas a proporcionar fundamento a la decisión final, ya adelantada, sobre la premisa de que a la entidad de crédito no le resulta suficiente alegar con ánimo exoneratorio...
Para continuar leyendo
Solicita tu prueba