¿Son abusivas las cláusulas de exoneración de responsabilidad por ciberfraude en contratos de banca digital?

Por Vanesa Fernández

Recientemente, se están incorporando por parte de las entidades bancarias cláusulas de exoneración de responsabilidad en los contratos de banca digital o multicanal, mediante los cuales se regulan las condiciones generales de todos los servicios que se prestan a través de la banca online y/o banca móvil, mediante las cuales se les impone la adopción de determinadas medidas de seguridad para acceder y utilizar dichos canales, con la finalidad de evitar usos fraudulentos.

La cuestión que, cada vez más, se plantea es, si en caso de imposibilidad de cumplimiento de dichas medidas de seguridad, contractualmente exigibles, en supuestos de ciberfraude ¿puede la entidad bancaria eludir su responsabilidad al amparo de cláusulas predispuestas en un contrato de adhesión suscrito por los usuarios de los servicios de pago?

Responsabilidad cuasi objetiva de los proveedores de servicios de pago

La responsabilidad exigida a las entidades bancarias es la que se deriva de la naturaleza de la prestación de los servicios de pago, lo que les obliga a adoptar una serie de medidas de seguridad y dotarse de mecanismos de supervisión que les permitan detectar operaciones fraudulentas.

Dicha responsabilidad es cuasi objetiva, por lo que las entidades bancarias son responsables por no adoptar las medidas de seguridad adecuadas para evitar este tipo de transacciones ya que la

seguridad o inseguridad en el canal de comunicación prestador y cliente opera a cargo y riesgo del proveedor de los servicios de pago.

El deber de diligencia exigido a dichas entidades no se considerará cumplido con una mera actividad informativa o divulgativa, sino que se exige de una conducta activa e implementar un mecanismo adecuado para evitar el fraude.

Dicha responsabilidad solo podrá ser eludida, cuando concurra fraude o negligencia grave del usuario, que servirá de causa liberatoria de su responsabilidad, de conformidad con lo dispuesto en el artículo 46.1 en relación con el 41 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (en adelante RPSP).

Extremo que, además, compete probar a los proveedores de servicios de pago, al establecerse la inversión de la carga de la prueba en estos supuestos en el artículo 44.3 del mismo texto legal.

¿Puede trasladarse la responsabilidad al usuario?

Con mayor frecuencia nos encontramos con cláusulas, predispuestas por las entidades bancarias en los contratos que suscriben con los usuarios de los servicios de pago, mediante las cuales se les exige la adopción de determinadas medidas de seguridad para acceder y usar los canales a distancia, mediante la banca online y/o la banca móvil, a través de sus propios dispositivos, con la finalidad de evitar usos fraudulentos.

No obstante, en caso de incumplir dichas medidas de seguridad, establecen, que el usuario será responsable, en todo caso, de la utilización indebida de los canales a distancia y, en consecuencia, de los daños y perjuicios que pudiera padecer a raíz de ello.

Las entidades bancarias suelen ampararse en dichas cláusulas habidas en las condiciones generales de la contratación bien para trasladar a los usuarios la carga de probar la inexistencia de su negligencia bien para exonerarse de su responsabilidad, en casos de reclamaciones efectuadas a consecuencia de estafas fraudulentas padecidas en el uso de la banca online y/o banca móvil.

Sin embargo, como hemos avanzado, la carga de la prueba recae en estos casos sobre la entidad, sin que pueda trasladarse al usuario una situación de “probatio diabólica” atribuyéndole las consecuencias de una falta de prueba de un hecho negativo, de práctica imposibilidad probatoria.

Además, no resulta proporcionado, desde la perspectiva del equilibrio contractual, tratar de reducir, implícita o explícitamente a través de la inserción de dichas cláusulas, la responsabilidad bancaria en casos de fraude o negligencia del usuario, desconociendo la posibilidad de captaciones subrepticias, con independencia de manipulaciones varias que puedan acontecer a causa de las deficiencias del sistema bancario, cuando es notorio que, en ciertas circunstancias, las entidades bancarias pueden advertir utilizaciones indebidas empleando la diligencia que les es exigible conforme a su experiencia y medios técnicos.

Por lo tanto, no se trata de derivar la responsabilidad a la entidad bancaria, sino de estimar abusiva cualquier cláusula que establezca la exoneración de responsabilidad en todo caso, con arreglo a la legislación vigente y la jurisprudencia que viene aplicándola. Veamos.

Marco legal

En la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior establece que las cláusulas que aumentan la carga de prueba sobre el consumidor o reducen la carga del emisor son nulas.

Además, el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago, prohíbe a las entidades bancarias, en el artículo 34, limitar su responsabilidad a todos aquellos que ostenten la condición de consumidor y microempresa y en el artículo 44.3 otorga a los proveedores de servicios de pago la carga de probar fraude o negligencia grave por parte del usuario.

Por su parte, el artículo 86.2 de la Ley General para la Defensa de los Consumidores califica de abusivas las cláusulas que limitan los derechos del consumidor.

Atendido lo anterior, a mi entender, las cláusulas de exoneración de responsabilidad en todo caso, predispuestas por las entidades bancarias en los contratos de banca digital o multicanal pueden reputarse abusivas en tanto en cuanto van contra el régimen normativo imperativo que se deriva de la legislación anteriormente precitada.

Jurisprudencia aplicable

Dichas cláusulas ya fueron declaradas abusivas por la Sala Primera del Tribunal Supremo en su Sentencia número 792/2009 dictada el 16 de diciembre de 2009 en la que expresamente se dice que “son las entidades de crédito las que deben ser diligentes para detectar los usos indebidos de las claves de los clientes de conformidad a la experiencia y medios técnicos disponibles” así como que “Las cláusulas que eximen de total responsabilidad a la entidad bancaria de manera indiscriminada y sin matización o modulación alguna son abusivas (…) porque contradicen la buena fe objetiva con desequilibrio en el sinalagma contractual en perjuicio del consumidor”.

En el mismo sentido, se han pronunciado distintas audiencias provinciales en las resoluciones dictadas, destacando, entre otras, las sentencias de la Audiencia Provincial de Asturias, de 30 de septiembre de 2022, de la Audiencia Provincial de Zaragoza, de 17 de noviembre de 2022, de la Audiencia Provincial de Cáceres, de 16 de febrero de 2022, de la Audiencia Provincial de Madrid de 28 de febrero y 22 de mayo de 2022, de la Audiencia Provincial de Jaén, de 14 de diciembre de 2022, de la Audiencia Provincial de Cuenca, de 16 de mayo de 2023 y de la Audiencia Provincial de Teruel de 30 de junio de 2023.

Conclusión

Las entidades bancarias no pueden declinar su responsabilidad por los daños y perjuicios causados a un consumidor y a una microempresa en su condición de usuarios del servicio de pagos, a consecuencia de operaciones fraudulentas no autorizadas, al amparo de cláusulas predispuestas en las condiciones generales de contratación incorporadas a los contratos de adhesión de banca digital o multicanal mediante los cuales se regulan los servicios prestados a través de la banca online y/o banca móvil.

Pues resulta desproporcionada la cláusula que limita la exoneración de responsabilidad, en todo caso, ante el incumplimiento genérico de determinadas obligaciones impuestas al usuario en relación con la adopción de determinadas medidas de seguridad para acceder y usar los canales a distancia, las cuales precisamente se exigen, por ley, a las propias entidades proveedoras de tales servicios.

Y no puede alterarse el régimen de responsabilidad legal por parte del prestador del servicio, en atención a lo dispuesto en condiciones generales, al no ser disponibles las garantías del cliente -consumidor y microempresa-sin poder oponer el pacto frente a la ley.