¿Estamos protegidos como usuarios de tarjetas de pago?

Expongo a continuación los ámbitos de responsabilidad ante usos fraudulentos en los que las reglas de la ley de servicios de pago no son adecuados, puesto que dejan en una situación un tanto desprotegida al titular de las tarjetas de pago :

En primer lugar, la ley no tiene en cuenta que el caso mayoritario de uso fraudulento ocurre con pequeñas cantidades y periódicamente, justamente lo menos protegido antes de la notificación.

burglar-157142_960_720

La mayoría de situaciones no son tan puntuales y con cantidades superiores a 150 euros, sino periódica e inferiores a 150 euros, lo que significa que la desprotección está servida para los titulares que acontecen estas situaciones. Pensemos en el caso de que se realicen por medio de un hábil hacker, clonaciones de tarjetas y realice operaciones de pago o transacciones a través de transferencias con pequeñas cantidades de dinero y periódicamente. Por ejemplo, me refiero a las situaciones que están ocurriendo recientemente, por las que se detecta operaciones desconocidas de cantidades de 30 euros mensuales.

Bien la ley de servicios de pago (LSP, ahora en adelante) hace responsable a la entidad de crédito desde el momento que se comunique la situación fraudulenta, es decir , si el afectado se da cuenta a los 5 meses, deberá asumir la responsabilidad él (primeros 150 euros) y si justo en ese 5º mes sin haberse percatado deja de producirse las extracciones de dinero, resultaría que deberá asumir el la total y absoluta responsabilidad por ser una cantidad igual o inferior a los 150 euros.

 Ahora bien, lo normal es que el usuario del servicio de pago tenga conocimiento de estas operaciones no autorizadas accediendo a los datos de los movimientos de su cuenta,normalmente ocurre con cantidades grandes (+1.000 euros) o bien por comunicación de la entidad por SMS, pero ojo, no ocurre lo mismo cuando se trata de pagos o transacciones de cantidades como 20 euros (al mes), ya que requiere de una intervención activa y más minuciosa por parte del titular, que por falta de tiempo, no se percata en el momento justo, lo cual no lo comunica hasta pasados unos meses.

Se presupone que se trata de un límite máximo, pudiendo las entidades de crédito dar condiciones más favorable a sus titulares de tarjetas, tal como expresa el artículo 86.3 de la Directiva de Servicios de Pago. Así, autores como Rojo Álvarez Manzaneda establece que el objeto de este límite es: ``que el titular despliegue un comportamiento preventivo del daño y este incentivo carece de utilidad y justificación cuando el hecho del que trae causa la operación de pago no autorizada queda fuera del ámbito de conducto del titular, como ocurre en los caso de clonación o falsificación…´´

Dicho esto ¿resulta del todo justo que tenga que cargar el titular con la responsabilidad? Se necesitará delimitar “claramente” de los hechos en los que hay clonación, puesto que en estos casos, ni con la máxima diligencia se puede evitar. Aunque hay expertos que piensan que es justo puesto que la entidad de crédito se hace cargo del resto, y que se trata de “incentivar a que el titular actúe diligentemente”, no es correcta esta suposición puesto que no está delimitado correctamente ésta actitud, como hemos dicho anteriormente. Tampoco nos podríamos excusar advirtiendo de que 150 euros es una cantidad pequeña y simbólica para el titular, puesto que si no ha sido culpa suya el uso fraudulento o indebido, no debería asumir la responsabilidad.

 bank-robbery-400300_960_720

Solución :  Debería existir alguna manera posible de “trasladar una cierta responsabilidad solidaria” como ente “in vigilando”de las transacciones. Puede resultar difícil, pero es un hecho que la ciberseguridad y sus afectados particulares es generalizado y en crecimiento. La carga de la responsabilidad, en estas situaciones, no puede reposar por completo en el titular de la tarjeta y afectado, que son además como hemos dicho, las más frecuentes. No olvidemos que el TITULAR DE LA TARJETA ES LA PARTE MÁS DÉBIL tal y como señala jurisprudencia.

 Ya el TS resolvió que no podía excluirse la responsabilidad de las entidades de crédito debido a que:“no cabe desconocer la posibilidad de captaciones subrepticias, con independencia de otras manipulaciones varias a causa de las deficiencias del sistema de tarjetas, que no permiten sentar una cláusula que exonere de responsabilidad, cuando es notorio que, en ciertas circunstancias, las entidades bancarias pueden advertir utilizaciones indebidas empleando la diligencia que les es exigible en armonía con su experiencia y medios técnicos´´.

El procedimiento para imputar las pérdidas a las entidades de crédito y su responsabilidad ya se había previsto antes de la LSPa través de jurisprudencia menor, en la STC SAP Tarragona 20/2004 entre otras. En la misma se dice lo siguiente : “El cliente es la base del negocio (sea venta de bienes de consumo, sea de productores financieros), y por tanto, los sujetos profesionales de la relación, comerciantes y entidades financieras, el propio “sistema”, necesitan al cliente para obtener beneficios, y, en consecuencia, les es más fácil soportar -siquiera sea vía una posterior redistribución al consumidor, en forma más diluida-,las cargas que el riesgo del uso de tarjetas conlleva. (…) Y es que no puede ocultarse que todos obtienen beneficio del uso de la tarjeta por su titular; el comerciante, el banco emisor, y el sistema que autoriza el uso de la marca de la tarjeta y presta sus programas informáticos, interconectados a sus propios bancos de datos. Es lógico, por tanto, que respondan, precisamente por esa actividad de riesgo, frente al perjudicado titular de la tarjeta, cuando se producen utilizaciones ilegítimas de la misma (…)”

   

En segundo lugar, faltaría que la ley de servicios de pago dejara claro cuándo es el titular el que actúa negligentemente o fraudulentamente.

 La ley de servicios de pago (LSP, ahora en adelante) establece que “el titular de la tarjeta responderá por el total de los fondos sustraídos si ha actuado fraudulentamente o ha incumplido de forma negligente alguna de sus obligaciones (por ejemplo, en la custodia de la tarjeta o de los datos de la misma. (Art. 32.2 LSP).”

 password-866981_960_720

No establece cuándo, por lo que para encontrar la explicación deberemos acudir a la jurisprudencia civil. Un aspecto en el que ha incidido la jurisprudencia menor es sobre el deber de custodia, aceptándose que para establecerlo hay que tener en cuenta el artículo 1104 del Código Civil que establece: “como módulo de diligencia el que corresponde a las circunstancias de las personas, del tiempo y, del lugar, y que la doctrina considera diligencia de un buen padre de familia´´.

 wallet-1013789_960_720

Así por ejemplo y en el caso de robos de tarjetas de crédito, la SAP de Madrid, nº. 192/2008, establece que se responsabiliza al banco al considerar que el riesgo no ha de caer sobre la parte más débil, además, consideró que no se incumplió el deber de custodia por dejarlo dentro de una bolsa de deportes en un vestuario. Pero en cambio, otras sentencias considerar negligente llevarla suelta dentro del bolso, y manifestando que “la más mínima prudencia exige efectuar tal comprobación, al regresar al hogar, al guardar el bolso, o cada vez que se va a utilizar.´´ Por lo que el deber de custodia, en principio, requeriría de una cierta vigilancia de la tarjeta -cuando no la tenemos a mano-, requiriéndose una “ comprobación inmediata” de que no fue robada

 Y respecto a la conservación del pin, el cual solo debe conocer el usuario, la jurisprudencia estable que `no puede presumirse laexistencia de negligencia grave en la custodia de la clave secreta o de la tarjeta en todos aquellos casos en que las operaciones no reconocidas por el titular hayan sido validadas electrónicamente con el PIN.´´ 1. ¿Pero y si el cliente cede los datos a un tercero creyendo que es el banco? Este ilícito es conocido como phising y se ha considerado que el usuario actuó negligentemente en la sentencia del SAP Valencia 43/2013 del 31 de enero.

  En conclusión, aparentemente existe una base normativa para los fraudes de tarjetas de pago, pero cabe preguntarnos si está delimitado lo suficientemente el concepto de lo “negligente” en perjuicio del afectado y titular. ¿Realmente son justos los contratos entre entidades de crédito y titulares de tarjeta que se eximen de absoluta responsabilidad? ¿en qué manera no los son?

La ley de servicios de pago debería de delimitar cuáles son las conductas negligentes y cuáles no, máxime teniendo en cuenta las discrepancias jurisprudenciales que podemos encontrar.

 En tercer lugar, la LSP no establece claramente cuándo será tardanza “injustificada” del titular.

 La LSP establece que la comunicación deberá producirse en un plazo máximo de 13 meses desde la fecha del adeudo o del abonosin tardanza injustificada2desde que conoció dicha operación. Pero, ¿qué situaciones contemplan la justificación de la tardanza en la comunicación a la E.C.? Imaginemos el caso de una persona que se encuentra fuera del país o lo que es peor, en 13 meses no se ha percatado de la clonación de su tarjeta por Internet, que sería lo más frecuente. ¿Sería de aplicación el art. 48 de la LSP, que prevé que no se aplica el régimen de responsabilidad:“ en caso de circunstancias excepcionales e imprevisibles fuera del control de la parte que invoca acogerse a estas circunstancias, cuyas consecuencias hubieran sido inevitables a pesar de todos los esfuerzos en sentido contrario´´ ( se exonera a la entidad de pago en el caso de fuerza mayor, pero no de caso fortuito ya que en este caso el evento cae dentro de su ámbito de control.)

Solución:Eliminar el plazo de 13 meses, puesto que como hemos manifestado deja al consumidor en una situación precaria,máxime si aún conociendo el hecho fraudulento, no puede ponerse en contacto con la entidad de crédito o si no tiene la opción ni siquiera de percatarse. Además la ley debería ser más explícito en que casos estaría justificada dicha tardanza en la comunicación.

 En cuarto lugar, y hablando de otros aspectos : ¿El usuario es realmente conocedor de los deberes de la entidad de crédito cuando se encuentra en estas situaciones?

 Nos referimos al deber de garantizar la disponibilidaden todo momento de medios adecuados y gratuitos3que marca la LSP para que el titular pueda notificar -de forma gratuita- el extravío, la sustracción o utilización no autorizada de la tarjeta. El titular también debería de conocer que cuando lo solicite que la entidad deberá facilitarle, también de forma gratuita, medios que le permitan demostrar que ha efectuado dicha comunicación, durante los 18 meses siguientes a la misma. Posiblemente, el titular también desconoce que la entidad de crédito tiene que impedir la utilización de la tarjeta una vez efectuada la notificación de su extravío o sustracción, o el uso no autorizado de la forma que sea.

Solución :Dicho esto, la entidad debe garantizar un teléfono gratuito o una plataforma que pueda servir al titular de la tarjeta que ya informó del uso fraudulento o el extravío. Existe total desprotección en este sentido. -Además aunque más en la línea de legislación de consumidores, y en el caso de sustracción en cajeros automáticos debería de haber un convenio donde facilitara la interoperabilidad entre entidades de crédito para poder facilitar la entrega de la tarjeta que fue “tragada” en una e.c.concreta y diferente a la del titular, evitando demoras innecesarias en la entrega a su cliente, al ser enviada a la central, viéndose el titular de la tarjeta perjudicado no sólo por la extracción de la tarjeta sino que además sufre demoras en su devolución.

En quinto lugar, respecto a la escasa regulación firme (también en la LSP y ley de consumidores) para hacer efectiva la obligatoriedad de la identificación en las transacciones de pago a través de Internet.

 Los comercios son conscientes de sus responsabilidades pero prefieren asumirlas en su contra que “espantar”en excesivos pasos burocráticos a los potenciales clientes en el proceso de compra electrónica. El proyecto del Código Mercantil establecía que la legitimación del titular de la tarjeta recae sobre el establecimiento. la comprobación se exige en los casos en los que puede ser cumplido –cuando la operación es presencial y hay una “presentación material” de la tarjeta-; no se exigirá, por tanto, en los supuestos en los que no exista presentación material porque la operación de pago se realiza a distancia (por ejemplo, por teléfono o en forma electrónica.

Por lo que en el caso de comercio a distancia como no se puede comprobar -algo que podría hacer con el dni electrónico si estuviera efectivamente implantado-, no se eximiría de la responsabilidad.

En conclusión, el titular es la parte más débil respecto las entidades de crédito y los comercios, por lo que toda protección jurídica puede parecer poca para éstos. Debería existir alguna manera posible de “trasladar una cierta responsabilidad solidaria” como ente“in vigilando” de las transacciones. La ley de servicios de pago debería de delimitar cuáles son las conductas negligentes y cuáles no, máxime teniendo en cuenta las discrepancias jurisprudenciales que podemos encontrar. Por otro lado, en la práctica no se cumplen los requisitos de medios adecuados y gratuitos para la notificación e información del extravío o robo. Tenemos que tener en cuenta en la era digital que vivimos, y regularizar la ley paralelamente a los ilícitos que acontecen : ciberseguridad, phising, …etc…

 credit-card-1080074_960_720

Saludos a todos.

 ____________________________________

1   Ver Sentencia SAP de Elche/Elx 566/2006

2 Alvarado Herrera, Lucía :Las operaciones de pago no autorizadas: http://e-archivo.uc3m.es/bitstream/handle/10016/20996/operacionespago_alvaradoherrera_RIO_2015.pdf?sequence=1

 3   La Directiva sobre servicios de pago no hace referencia al carácter gratuito de la notificación, por lo que en este aspecto la Ley española incrementa el nivel de protección del usuario.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s