La última Memoria de Reclamaciones publicada por el Banco de España pone de manifiesto que, durante el año 2022, se han duplicado las reclamaciones relacionadas con operaciones que los usuarios de las entidades bancarias califican como fraudulentas.
En concreto, según dicha Memoria, las reclamaciones relacionadas con pagos fraudulentos (realizados concretamente mediante tarjeta o transferencia) suponen el 30,3% de todas las reclamaciones cursadas durante el año 2022 al Banco de España, terminando por judicializarse gran parte de estos casos por la presunta comisión de un delito de fraude informático del artículo 249.1 a) del Código Penal (CP). Así, de conformidad con dicho artículo, cometerán estafa:
“Los que, con ánimo de lucro, obstaculizando o interfiriendo indebidamente en el funcionamiento de un sistema de información o introduciendo, alterando, borrando, transmitiendo o suprimiendo indebidamente datos informáticos o valiéndose de cualquier otra manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro”.
En los procedimientos penales seguidos por este delito, la responsabilidad civil de las entidades bancarias desde las que se han realizado las operaciones fraudulentas está configurada como una responsabilidad cuasi objetiva, basada especialmente en la teoría de la creación del riesgo, conforme a la cual “quien se beneficia de actividades que de alguna forma puedan generar un riesgo para terceros, debe soportar las eventuales consecuencias negativas de orden civil respecto de esos terceros cuando resultan perjudicados” (por todas, la STS núm. 49/2020 de 12 de febrero).
Por consiguiente, las entidades bancarias serán condenadas como responsables civiles subsidiarias del artículo 120.3º CP cuando exista por su parte una infracción de los reglamentos y normativa interna, de las disposiciones de la autoridad y/o incluso del deber objetivo de cuidado, debiendo ser la propia entidad bancaria (inversión de la carga de la prueba) quien acredite la implantación, cumplimiento y seguimiento de las medidas de ciberseguridad adecuadas para evitar la comisión de este tipo de fraudes.
De acuerdo con doctrina de nuestro Tribunal Supremo, el delito del artículo 249.1 a) CP se caracteriza por constituir una modalidad de estafa con configuración propia, que no exige entre sus elementos la concurrencia del “engaño bastante” típico de la estafa genérica, ello por cuanto las propias manipulaciones informáticas utilizadas actúan directamente en perjuicio de un tercero, quedando integrado el engaño en el medio utilizado para conseguir la transferencia no consentida del activo patrimonial de que se trate.
Esa no exigencia de “engaño bastante” cuando nos encontramos ante este delito, deja fuera del debate penal el análisis y posible aplicación del principio de autorresponsabilidad de la víctima, lo que en la práctica dificulta enormemente la acreditación en sede penal -por parte de la entidad bancaria- de una posible negligencia grave que pudiera llegar a exonerar a dicha entidad de su responsabilidad civil.
No olvidemos que el delito del artículo 249.1 a) CP puede generar responsabilidad penal para la persona jurídica (artículo 251 bis CP, en relación con el artículo 31 bis CP), de forma que la entidad bancaria podría llegar a ser condenada penalmente como partícipe del delito.
En definitiva, el incremento de los fraudes informáticos en los últimos tiempos revela la enorme importancia de que las entidades bancarias tengan instauradas unas debidas políticas en materia de detección y lucha contra la ciberdelincuencia, pues, en caso contrario, corren el riesgo de poder ser condenadas como responsables civiles subsidiarias -e incluso como responsables penales- al haber propiciado o facilitado la comisión del delito de fraude informático, precisamente, con la infracción de sus propios deberes de cuidado.
