El VIII Informe sobre Cibercriminalidad, correspondiente a la delincuencia informática registrada en el año 2020, publicado por el Ministerio del Interior, destaca que los delitos informáticos se han incrementado un 31,9% en relación con el año anterior y de esta cifra el 89,6% corresponde a fraudes informáticos (estafas).
Dentro de las estafas tienen especial importancia las estafas bancarias, en las que los ciberdelincuentes emplean diferentes técnicas (fishing, smishing, swapping, …) por las que éstos consiguen acceder a la banca online de la víctima y desvían el dinero hacia otras cuentas bancarias.
Luego, conseguir la restitución de los importes, es prácticamente imposible, aun en el caso de que se encuentre al ciberdelincuente.
En este tipo de delitos, la recuperación de los importes puede conseguirse, en el procedimiento penal, por la vía de la responsabilidad civil subsidiaria de la entidad bancaria que no haya adoptado medidas tecnológicas adecuadas para evitar este tipo de estafas. Para la exposición de los siguientes párrafos hemos seguido el texto de la Sentencia del Tribunal Supremo, de fecha 20 de abril de 2016, Roj: STS 1840/2016.
Aunque en este tipo de responsabilidad hay un transfondo civil y estas normas no pueden ser obviadas, la cuestión, en sede penal, debe examinarse desde la perspectiva de las normas penales que determinan los casos en los que procede declarar la responsabilidad civil subsdiaria respecto de la indemnización procedente en tanto que derivada de un delito. Por ello la línea argumentativa que ha de seguirse es aquella que se refiera a la omisión de las cautelas necesarias por parte de la entidad bancaria o de sus responsables o empleados, para evitar las acciones constitutivas de estafas bancarias.
Por ello, cuando se acredite la realización de conductas como phishing, utilización de programas maliciosos, inoculación de virus Troyanos, etc., en primer lugar ello excluye la negligencia de la víctima. Y en segundo lugar, habrá de ser la entidad bancaria la que acredite la adopción de medidas adecuadas, pues la víctima no está en condiciones de acreditar cuáles fueron los fallos de seguridad, en tanto que no está obligada a conocer cuáles son las medidas de prevención y seguridad adoptadas por la entidad bancaria.
Cuando la entidad bancaria guarde silencio sobre este punto, ha de entenderse que tales medidas no existían o que fueron insuficientes para garantizar la seguridad de la operativa online, de manera que la infracción de normas exigida por el artículo 120.3 del Código penal ha de considerarse producida al menos por omisión de medidas suficientemente eficaces. Porque el requisito que exige el artículo 120.3 para poder apreciar esa responsabilidad civil subsidiaria, consistente en que haya tenido lugar una infracción de normas, se colma con la infracción del deber objetivo de cuidado que afecta a toda actividad para evitar daños a terceros.
Concluye la citada sentencia con los siguientes párrafos: “En casos como el presente, es claro que la actividad propuesta por la entidad bancaria a sus clientes mediante la operativa online presenta algunos riesgos derivados de la posibilidad de suplantación de la identidad de quien contrata con la entidad para la realización de operaciones sin la autorización del auténtico contratante. Es claro también que, excluyendo actuaciones dolosas o gravemente negligentes por parte de los clientes, la entidad bancaria es responsable de ofrecer y poner en práctica un sistema seguro, de manera que las consecuencias negativas de los fallos en el mismo no deberán ser trasladados al cliente. Todo ello con independencia de la determinación de quien sea el auténtico perjudicado en estos casos, en atención a la correcta interpretación de los preceptos que regulan esta clase de depósitos.
En el caso, no consta que la entidad bancaria, que intervino en la causa como responsable civil subsidiario, haya acreditado la adopción de medidas de seguridad que pudieran considerarse adecuadas al estado de la técnica y a los riesgos existentes, por lo que ha de concluirse que se ha producido una infracción de las normas que le obligan a adoptar tal clase de medidas, suficiente para declarar su responsabilidad civil subsidiaria.”