Un familiar ha presentado una reclamación ante el Banco de España por el uso fraudulento de su tarjeta de ING, con la que se realizaron compras recientes en Francia, país que no ha visitado en los últimos tiempos.
Presentada la reclamación, el Defensor del Cliente denegó la retrocesión basándose en las siguientes premisas, que resumo:
"Los cargos se han realizado y se han validado las credenciales sin detectar fallo técnico ni de seguridad, ya que la orden fue correctamente emitida de forma presencial o telemática.
La valoración de la posible existencia de un vicio en la formación del consentimiento no pertenece al ámbito de competencia del Defensor, debiendo ser considerada por los órganos jurisdiccionales."
Se reproducen las condiciones particulares de la tarjeta financiera, incluidas en el contrato de prestación de servicio, donde se establece como obligación:
"Acreditar la identidad mediante la exhibición del DNI, en cuanto a la utilización de los servicios, a la vez que introducir personalmente la clave secreta (PIN)."
El Defensor también reproduce los artículos 41 y 44 del Real Decreto-ley 19/2018, según los cuales se establece que el usuario deberá tomar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas.
El Defensor concluye que las operaciones se realizaron mediante la modalidad de pago Apple Pay, para cuya activación es necesaria la numeración de la tarjeta, el CVV y la fecha de caducidad, contando además con la validación adicional del código OTP enviado al móvil dado de alta como factor de doble autenticación. Para ello, acompaña el identificador único de enrolamiento.
Lo más curioso es que la compra fue presencial, en un establecimiento físico, con lo cual no se pudo mostrar la identificación del DNI, y que fue el propio banco el que avisó del posible uso fraudulento tras la tercera compra.
¿Generan las obligaciones para la utilización de los servicios derechos para el usuario al firmar las condiciones particulares de la tarjeta? Entre ellas, se establece la necesidad de introducir personalmente la clave secreta de la tarjeta.
¿Estando en España, cómo puede introducirla en Francia?
Ahora, lo que según la prensa establece la sentencia:
El alto tribunal, en un fallo del 9 de abril, del que fue ponente el magistrado Manuel Almenar Belenguer, analiza con profundidad la Directiva Europea de Servicios de Pago y la normativa española al respecto. Concluye que la única obligación del usuario es avisar lo antes posible a las entidades de que se ha realizado una operación no autorizada en sus cuentas. A partir de ahí, el banco, a menos que pueda demostrar que el cliente ha actuado de forma fraudulenta o con negligencia grave, debe asumir la responsabilidad y reponer el dinero de inmediato o, como máximo, al final del siguiente día hábil.
El Supremo señala que los operadores de servicios de pago, como son las entidades financieras, tienen la obligación de elevar su nivel de diligencia y buenas prácticas, lo que incluye incrementar la seguridad y el control para detectar operaciones fraudulentas. Les insta a desarrollar herramientas que identifiquen operaciones anómalas, como aquellas de alto importe o realizadas de madrugada, a fin de poder bloquear posibles fraudes.
En este sentido, el Supremo concluye que el hecho de que un tercero acceda a las claves del cliente no supone, por sí mismo, una negligencia grave por parte del usuario. Y que, aunque la filtración o el conocimiento de dichas claves no sea imputable a la entidad bancaria, tampoco la libera de la obligación de responder, ni traslada al usuario la carga de soportar las pérdidas.
El proveedor del servicio de pago, además de demostrar que el servicio se prestó correctamente (lo cual no ocurrió), debía acreditar la existencia de fraude o incumplimiento deliberado o gravemente negligente por parte del usuario.
Esta sentencia me anima a acudir a los tribunales si el Servicio de Reclamaciones del Banco de España no atiende mis pretensiones. Pero la pregunta clave es:
¿Qué acciones y controles exige el Banco de España a las entidades financieras para minimizar los fraudes?
¿Es proactivo en este mundo tecnológico? ¿Está avanzando en las auditorías informáticas en este sentido?
Ignoro estas cuestiones, y las respuestas a las memorias de reclamaciones del Banco de España tampoco me ofrecen mucha luz.
¿Dónde puedo obtener más información al respecto?
El Defensor concluye que las operaciones se realizaron mediante la modalidad de pago Apple Pay, para cuya activación es necesaria la numeración de la tarjeta, el CVV y la fecha de caducidad, contando además con la validación adicional del código OTP enviado al móvil dado de alta como factor de doble autenticación. Para ello, acompaña el identificador único de enrolamiento.
Lo más curioso es que la compra fue presencial, en un establecimiento físico, con lo cual no se pudo mostrar la identificación del DNI, y que fue el propio banco el que avisó del posible uso fraudulento tras la tercera compra.
¿Generan las obligaciones para la utilización de los servicios derechos para el usuario al firmar las condiciones particulares de la tarjeta? Entre ellas, se establece la necesidad de introducir personalmente la clave secreta de la tarjeta.
¿Estando en España, cómo puede introducirla en Francia?
Ahora, lo que según la prensa establece la sentencia:
El alto tribunal, en un fallo del 9 de abril, del que fue ponente el magistrado Manuel Almenar Belenguer, analiza con profundidad la Directiva Europea de Servicios de Pago y la normativa española al respecto. Concluye que la única obligación del usuario es avisar lo antes posible a las entidades de que se ha realizado una operación no autorizada en sus cuentas. A partir de ahí, el banco, a menos que pueda demostrar que el cliente ha actuado de forma fraudulenta o con negligencia grave, debe asumir la responsabilidad y reponer el dinero de inmediato o, como máximo, al final del siguiente día hábil.
El Supremo señala que los operadores de servicios de pago, como son las entidades financieras, tienen la obligación de elevar su nivel de diligencia y buenas prácticas, lo que incluye incrementar la seguridad y el control para detectar operaciones fraudulentas. Les insta a desarrollar herramientas que identifiquen operaciones anómalas, como aquellas de alto importe o realizadas de madrugada, a fin de poder bloquear posibles fraudes.
En este sentido, el Supremo concluye que el hecho de que un tercero acceda a las claves del cliente no supone, por sí mismo, una negligencia grave por parte del usuario. Y que, aunque la filtración o el conocimiento de dichas claves no sea imputable a la entidad bancaria, tampoco la libera de la obligación de responder, ni traslada al usuario la carga de soportar las pérdidas.
El proveedor del servicio de pago, además de demostrar que el servicio se prestó correctamente (lo cual no ocurrió), debía acreditar la existencia de fraude o incumplimiento deliberado o gravemente negligente por parte del usuario.
Esta sentencia me anima a acudir a los tribunales si el Servicio de Reclamaciones del Banco de España no atiende mis pretensiones. Pero la pregunta clave es:
¿Qué acciones y controles exige el Banco de España a las entidades financieras para minimizar los fraudes?
¿Es proactivo en este mundo tecnológico? ¿Está avanzando en las auditorías informáticas en este sentido?
Ignoro estas cuestiones, y las respuestas a las memorias de reclamaciones del Banco de España tampoco me ofrecen mucha luz.
¿Dónde puedo obtener más información al respecto?