La culpa in vigilando es un clásico del derecho pero a su vez es un gran desconocido. Si hablamos del art 1903 del código civil, en su redacción original de 1889 -ya pasó un tiempo-, nos sorprendería saber que el ochenta por ciento de la redacción es casi idéntica a la actual.
Finaliza el artículo 1903CCiv con este párrafo: La responsabilidad de que trata este artículo cesará cuando las personas en él mencionadas prueben que emplearon toda la diligencia de un buen padre de familia para prevenir el daño.
A nadie sorprenden las siguientes afirmaciones que contiene dicho artículo: «Los padres son responsables de los daños causados por los hijos que se encuentren bajo su guarda», «La obligación que impone el artículo anterior es exigible no sólo por los actos u omisiones propios, sino por los de aquellas personas de quienes se debe responder» o «Lo son igualmente los dueños o directores de un establecimiento o empresa respecto de los perjuicios causados por sus dependientes en el servicio de los ramos en que los tuvieran empleados, o con ocasión de sus funciones»
El padre responde del hijo, el empresario responde por el empleado. Todos entendemos que esto es normal. Si un órgano de administración tiene un fraude importante en su empresa, podría que tener que responder ante sus socios. Es lógico, ¿no?
En el aspecto civil familiar, si tu hijo rompe el cristal del vecino, es comprensible que unos padres paguen. Había un dicho que venía a decir: «quien rompe viejo, paga nuevo». Nadie lo discute. El ámbito empresarial es más difícil.
El ámbito empresarial tiene una doble vertiente anudada en la falta de control, negligencia en la obligación de vigilancia que lleva a causar un daño a terceros o a la propia sociedad. Tiene una vertiente patrimonial -todo daño tiene una valoración económica- y tiene una vertiente penal que, desde el año 2010, regula el artículo 31 bis del CódigoPenal; que es el origen de los programas de compliance penal. Programas de compliance que no dejan de ser unos códigos de conducta y formativos para evitar la comisión de delitos que beneficien a la empresa.
También tiene su acomodo en un ámbito mercantil esta culpa in vigilando en la «bussines judgment rule» que viene a ser en la regla de la discrecionalidad empresarial que es una de las múltiples aristas del deber de diligencia de un ordenado empresario y el deber de lealtad, introducida en por la Ley 31/2014 de 3 de diciembre.
El resumen ejecutivo de todo este sistema podría explicarse en que todos tenemos derecho a equivocarnos en la toma de decisiones siempre y cuando hayamos tomado las decisiones de acuerdo con los protocolos establecidos en la compañía. Si lo extrapolamos al ámbito de derecho público, sería que el funcionario ha tomado la decisión siguiendo el procedimiento previamente establecido. Cualquiera puede equivocarse, pero siguiendo los procesos. Procesos preparados con sus precauciones. Por ejemplo, informes técnicos vinculantes.
En una empresa mediana, hoy en día tenemos comités de empresa, comités de dirección, consejos de administración, juntas de socios, planes de igualdad, protocolos antiblanqueo, pero me voy a detener en los protocolos de protección de datos.
El artículo de hoy viene orientado hacia las nuevas formas de responsabilidad por culpa in vigilando que aquella primigenia redacción de 1889 nunca pudo imaginar: la responsabilidad in vigilando por fraude derivado de phishing.
Los datos y las nuevas tecnologías traen nuevos tipos de delincuencia. Hace quince días, a una buena amiga, le desaparecieron sus puntos de una compañía aérea. Puede parecer una broma, ¿quién los usa? Bueno, en este caso, es una persona que viaja mucho por trabajo y sus puntos podían ser canjeados por varios vuelos intercontinentales. ¿Cuánto valen dos billetes a Nueva York? Hicimos unas gestiones y aparecieron, por suerte.
Una de las formas más actuales de fraude es el consistente en cargos de pagos en la cuenta bancaria no realizados sin la autorización del titular. Intentando explicar el sistema de un modo sencillo consistiría en que un tercero roba los datos del titular de la cuenta, este tercero hace unos cargos no autorizados y el afectado reclama al banco aduciendo que la entidad no tiene las medidas mínimas exigibles en la prestación de servicios de pago.
El Real Decreto-Ley 19/2018, de 23 de noviembre, de Servicios de Pago y otras medidas urgentes en materia financiera regula estos servicios que ha llevado a numerosas audiencias provinciales a considerar que se establece una responsabilidad cuasi objetiva para la entidad bancaria, de la que solo puede eximirse si acredita la concurrencia de actuación fraudulenta o culpa grave del cliente.
Dicha interpretación de responsabilidad cuasi objetiva, se desprende de lo establecido en el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, el cual indica en su artículo 36.1 que las operaciones de pago se considerarán autorizadas «cuando el ordenante haya dado el consentimiento para su ejecución» También indica este precepto que, a falta de este consentimiento, «la operación de pago se considerará no autorizada». Además, el artículo 44 establece una presunción de falta de autorización cuando es negada por el usuario.
De los artículos 45 y 46 de la misma norma, se desprende que, en el caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago deberá devolver al cliente el importe de la misma, salvo que este último haya actuado de manera fraudulenta o con negligencia grave. Si concurriera este último supuesto, el cliente “soportará todas las pérdidas derivadas de operaciones de pago no autorizadas”. Además, en virtud del artículo 44.3 del mismo texto legal, en referencia a la carga de la prueba, en estos casos corresponde a la entidad bancaria “probar que el usuario del servicio de pago cometió fraude o negligencia grave”.
Una de las múltiples sentencias que empiezan a aparecer contiene el siguiente razonamiento:
En este sentido, no se ha alegado ni mucho menos probado que la mercantil demandada hubiera proporcionado a la actora de forma personalizada los mecanismos anti-phishing de supervisión suficientes, de carácter reforzado, para detectar y evitar este tipo de fraude, sin que puedan resultar suficientes los avisos de carácter genérico de la web del banco.
La Audiencia Provincial de la Rioja de 17 de febrero de 2023 lo deja claro: “El banco debe actuar con la diligencia exigible, que no es sólo la reglamentariamente prevista sino la adecuada a las circunstancias de personas, lugar y tiempo. Entre estas, cobran especial relevancia datos tales como el perfil del cliente, los movimientos inusuales, los importes dispuestos, la hora en que se hace la operación, etc. (…). Y no basta con medidas genéricas de protección o avisos estereotipados de cuidado, pues tales avisos ostentarían la calificación de «formulas predispuestas», vacías de contenido. No son los clientes los que deben prevenir ni averiguar las modalidades de riesgos que el sistema conlleva, o estar al tanto de lo mismos, ni prevenir con su asesoramiento experto dichos riesgos”.
Este deber especial de diligencia que cabe atribuir a la entidad bancaria habría de llevarle también a diseñar sistemas de control ante movimientos inusuales o ante cargos que se salgan de lo habitual. En la sentencia señalada, en el contexto del engaño fraudulento, se produjo una modificación del límite máximo de seguridad diario establecido en el contrato de tarjeta de crédito, sin que la entidad bancaria efectuara las comprobaciones que confirmaran que era su cliente la que había llevado a cabo esa variación contractual tan relevante. Precisamente, esta circunstancia es la que lleva al Banco de España a emitir el informe aportado en la demanda, en el que se indica que la mercantil demandada se ha apartado de los buenos usos y prácticas financieras, al no haber restituido a su cliente la cuantía de la operación no autorizada.
En definitiva, si son víctimas de un phishing consulten a un abogado porque tienen la posibilidad de recuperar su dinero.
Si les ha pasado, no se queden parados. Denuncien. Tendrán suerte.
