Cuestiones generales.

Artículo 120.3 Código Penal.

El artículo 120 del Código Penal, establece que son también responsables civilmente, en defecto de los que lo sean criminalmente (…)

3º.- Las personas naturales o jurídicas, en los casos de delitos cometidos en los establecimientos de los que sean titulares, cuando por parte de los que los dirijan o administren, o de sus dependientes o empleados, se hayan infringido los reglamentos de policía o las disposiciones de la autoridad que estén relacionados con el hecho punible cometido, de modo que éste no se hubiera producido sin dicha infracción”.

 

Requisitos.

Se trata de un supuesto cuya vinculación lo es con el delito, y no con su autor, y cuya ejecutividad se producirá en los casos en los que el autor principal sea declarado insolvente, siendo los requisitos legales necesarios para el nacimiento de dicha responsabilidad civil los siguientes:

a) que se haya cometido un delito generador de un daño. La responsabilidad civil subsidiaria a que atiende el artículo 120.3 del CPparte necesariamente del reconocimiento judicial de haberse perpetrado un delito generador de un daño, ya sea a título de dolo o de culpa. La sentencia penal incorporará un dictado de condena indemnizatoria a cargo del acusado, primer y directo responsable civil (art. 116 CP).

b) que tal delito o falta haya ocurrido en un determinado lugar, un establecimiento dirigido por persona o empresa contra la cual se va a declarar esta responsabilidad, esto es, el sujeto pasivo de dicha pretensión;

c) que tal persona o empresa o alguno de sus dependientes, haya realizado alguna «infracción de los reglamentos de policía o alguna disposición de la autoridad«, debiendo entenderse estos reglamentos como normas de actuación profesional en el ramo de que se trate abarcando cualquier violación de un deber impuesto por ley o por cualquier norma positiva de rango inferior, incluso el deber objetivo de cuidado que afecta a toda actividad para no causar daños a terceros);

d) que dicha infracción sea imputable no solamente a quienes dirijan o administren el establecimiento, sino a sus dependientes o empleados. No es necesario precisar qué persona física fue la infractora de aquél deber legal o reglamento. Basta con determinar que existió la infracción y que ésta se puede imputar al titular de la empresa o cualquiera de sus dependientes, aunque por las circunstancias del hecho o por dificultades de prueba, no sea posible su concreción individual;

e) que tal infracción esté relacionada con el delito cuya comisión acarrea la responsabilidad civil examinada, es decir, que, de alguna manera, tal infracción penal haya sido propiciada por la mencionada infracción reglamentaria (SSTS. 1140/2005 de 3.10, 1546/2005 de 29.12, 204/2006 de 24.2, 229/2997 de 22.3).

 

 

Relación de causalidad.

Estas personas, naturales o jurídicas, han de ser conscientes del deber de velar por la observancia de las prescripciones reglamentarias o de consagrado uso que regulan las actividades que tienen lugar en el seno de los establecimientos o empresas de su pertenencia o titularidad. La omisión o desentendimiento, aparte de guardar relación con el suceso, tienen que ser de probada significación en la suscitación del «hecho punible cometido, de modo que éste no se hubiera producido sin dicha infracción«. Relación causal que no de alcanzar necesariamente un grado de exclusividad, bastando llegar a una conclusión de propiciación y razonabilidad en la originación del daño.

 

Inexistencia o insuficiencia de medidas de prevención.

Ante la inexistencia o insuficiencia de las medidas de prevención adoptadas entre ellas, básicamente el despliegue de los deberes de vigilancia y de control exigibles, podrán acordarse las resoluciones oportunas para llegar a la efectivación de la responsabilidad civil subsidiaria. Aquella inhibición o descuido genera un riesgo que es base y sustento de la responsabilidad” (SSTS. 963/2010 de 21.10, 768/2009 ).

 

Caso de estafa mediante transferencias bancarias mediante claves obtenidas ilegítimamente.

 

Hechos.

La Audiencia Provincial de Cádiz con fecha 4 de febrero de 2019 dictó sentencia que contiene, entre otros, los siguientes hechos probados: “Posteriormente, entre los días 23 y 29 de Junio de 2012 aprovechando que AAA se encontraba de viaje en un crucero y sin cobertura telefónica, el acusado llamó sobre las 21,30 horas a la compañera de piso de AAA, BBB, manifestándole que había extraviado las llaves del apartamento alquilado y que como sabía que había una copia en el piso de AAA le entregara las llaves de ésta, a lo que, BBB accedió, no recuperando éste juego de llaves sino hasta la mañana siguiente. De tal forma, el acusado consiguió acceder a la casa de AAA y se hizo con las claves y contraseñas tanto de la tarjeta de crédito, incluida la clave de coordenadas, como las claves del router y así realizó el 29/06/12 una transferencia desde la cuenta de AAA NUM001 de La Caixa, a su favor, por importe de 598 euros, dejando un saldo de 0,09 euros, y otra transferencia a su favor el día 7 de julio de 2012 por importe de 2.300 euros dejando un saldo de 454,12 euros, cantidades que el acusado simuló devolver mediante ingreso por cajero el día 10 de Julio de 2012 por importe de 3.000 euros, si bien, el día 11 de Julio la entidad bancaria canceló tal ingreso al encontrarse vacío el sobre de tal forma ingresado, no recuperando Almudena el dinero antes descrito, que reclama«.

La Audiencia condenó a XXX como autor de un delito continuado de estafa a la pena de 2 años y 3 meses de prisión, inhabilitación especial para el derecho de sufragio pasivo durante el tiempo de la condena, indemnización a AAA en 4.998 euros, con intereses legales, con la Responsabilidad Civil Subsidiaria de La CAIXA en 2.898 euros, así como las costas, incluidas las devengadas por la Acusación Particular.

Recurrida dicha Sentencia en casación, mediante STS nº 49/2020, de 12 de febrero (Ponente: Excma. Sra. D.ª Ana María Ferrer García), se desestimó la casación.

 

¿Por qué es responsable civil subsidiario el Banco?

 

La STS nº 49/2020, dice así:

En casos como el presente, es claro que la actividad propuesta por la entidad bancaria a sus clientes mediante la operativa on line presenta algunos riesgos derivados de la posibilidad de suplantación de la identidad de quien contrata con la entidad para la realización de operaciones sin la autorización del auténtico contratante. Es claro también que, excluyendo actuaciones dolosas o gravemente negligentes por parte de los clientes, la entidad bancaria es responsable de ofrecer y poner en práctica un sistema seguro, de manera que las consecuencias negativas de los fallos en el mismo no deberán ser trasladados al cliente. Todo ello con independencia de la determinación de quien sea el auténtico perjudicado en estos casos, en atención a la correcta interpretación de los preceptos que regulan esta clase de depósitos». Doctrina plenamente aplicable al supuesto que ahora nos ocupa. Los deberes de seguridad que los bancos deben observar para llegar a consolidar un espacio seguro de actuación, han tenido su reflejo legal armonizando nuestro ordenamiento interno con la normativa europea sobre la materia.

Y así, a fecha de los hechos estaba vigente la Ley 16/2009, de 13 de noviembre, de servicios de pago, que incorporó a nuestro ordenamiento la Directiva sobre servicios de pago en el mercado interior, que fue aprobada como Directiva 2007/64/CE del Parlamento Europeo y del Consejo, de 13 de noviembre de 2007, sobre servicios de pago en el mercado interior, por la que se modifican las Directivas 97/7/CE, 2005/65/CE y 2006/48/CE y por la que se derogó la Directiva 97/5/CE. Esta Ley 16/2009 introdujo en un capítulo que reguló los riesgos operativos y de seguridad de los proveedores de servicios de pago. Todo ello en la idea, resaltada en el Preámbulo de la Ley, de que la regulación de los servicios de pago ha de promover, en particular, un entorno que propicie el desarrollo ágil de las transacciones de pago, unas reglas comunes respecto a su operatividad, un abanico suficientemente amplio de opciones de pago para los usuarios y unas normas de protección efectiva para los mismos. Pues bien, en los artículos 27 y ss se establece un régimen de responsabilidad de las indemnizaciones por daños y perjuicios en caso de que se ejecute una operación de pago no autorizada, a cargo del proveedor de servicios de pago, que le obliga a devolver de inmediato el importe de la operación no autorizada y, en su caso, restablecer en la cuenta de pago en que se haya adeudado dicho importe el estado que habría existido de no haberse efectuado la operación de pago no autorizada. Responsabilidad que solo cede en caso de actuación fraudulenta o del incumplimiento, deliberado o por negligencia grave, del titular de la cuenta en cuestión, respecto a la obligación que asume de adoptar «las medidas razonables a fin de proteger los elementos de seguridad personalizados» que se le hayan facilitado.

En esa misma línea, Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, derogó la Ley 16/2009, e incorporó parcialmente a nuestro ordenamiento jurídico el marco europeo creado por la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) n.º 1093/2010 y se deroga la Directiva 2007/64/ CE, en sustitución de la del 2007, que junto al Reglamento (UE) 2015/751 del Parlamento Europeo y del Consejo, de 29 de abril de 2015. Esta nueva norma, actualmente en vigor, asumió como principales objetivos facilitar y mejorar la seguridad en el uso de sistemas de pago a través de internet, reforzar el nivel de protección al usuario contra fraudes y abusos potenciales, respecto del previsto en la Ley 16/2009, de 13 de noviembre, así como promover la innovación en los servicios de pago a través del móvil y de internet. En la misma línea de proteger al consumidor del servicio, exige ahora sistemas de autenticación reforzada, y reproduce un sistema similar de responsabilidad a cargo del proveedor del servicio, que solo cede, como en el supuesto anterior, en caso de actuación fraudulenta o del incumplimiento, deliberado o por negligencia grave; que lo será solo en caso de actuación fraudulenta, cuando el proveedor no ha establecido el sistema de autenticación reforzada.

Quiere esto decir que la secuencia histórica que reproduce el relato de hechos probados fija las bases suficientes para concluir la responsabilidad civil que en este caso incumbe a la entidad bancaria, a partir del deber objetivo de cuidado que la normativa específica impone a las entidades bancarias, como proveedoras de servicios de pago, descartando causas de exclusión de su responsabilidad. Porque, no se dan méritos que permitan plantear un comportamiento, no ya fraudulento, sino incluso gravemente negligente por parte de la titular de la cuenta bancaria que resultó saqueada”.

La entidad bancaria además alegaba que los hechos no se habían producido en el interior de su establecimiento ya que el condenado se hizo con las claves y contraseñas, tanto de la tarjeta de crédito como del rúter, mediante una maniobra torticera, y así realizo dos transferencias bancarias a su favor, pero en ningún momento dichas transferencias se realizaron en la sede física de la entidad bancaria, alegando igualmente que tampoco se produjo fallo o error en el sistema de banca electrónica facilitado por el banco a sus clientes.

Sin embargo, la STS nº 49/2020, señala que “en lo que se refiere al elemento locativo, ya hemos dicho que nos movemos en el ámbito del derecho civil resarcitorio de la infracción penal cometida, como acción distinta, aunque acumulada a la penal. Ello, entre otros extremos, da entrada a la analogía como criterio de interpretación, que si bien está vedado cuando de normas penales se trata, no ocurre lo mismo en relación a las de naturaleza civil.

De esta manera el entorno digital que el banco crea como plataforma y medio de prestación de los servicios esenciales que suministra, y de los que obtiene su lógico beneficio, colman los presupuestos de lugar a los que se refiere el artículo 120.3 CP cuando habla a delitos cometidos «en los establecimientos de que fueran titulares». Por lo demás, ya hemos aludido a los supuestos de exclusión de la responsabilidad que incumbe a las entidades bancarias, como proveedoras de servicios de pago en entornos digitales. Y en línea con ello, el artículo 30 de la Ley 16/2009 y en términos similares el 44 de la norma actualmente en vigor, imponen al proveedor de servicios la carga de demostrar «que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico o cualquier otra deficiencia». A tal fin, no basta con que proporcionara a la titular de la cuenta unas claves y una tarjeta de coordenadas, cuando ello no permitió neutralizar una operación realizada a partir de una apropiación fraudulenta de las mismas. En cualquier caso, en el supuesto que nos ocupa, las fisuras de seguridad del sistema en el momento de los hechos, quedaron patentes cuando no fue capaz de detectar de inmediato que el ingreso que el acusado simuló realizar en un cajero automático a través de un sobre vacío”.

Enlace a la STS nº 49/2020, de 12 de febrero (Ponente: Excma. Sra. D.ª Ana María Ferrer García):  https://www.poderjudicial.es/search/TS/openDocument/66911d9858041ff4/20200217

Si necesita asesoramiento o defensa en cualquier asunto penal, no dude en consultarnos a través de cualquiera de las formas de contacto con #escudolegal https://escudolegal.es/contacto/

 

Call Now Button