1. Sobre el fraude del CEO: Concepto y caracteres

Ante el reciente auge del uso de medios digitales en los negocios, es cada vez más habitual escuchar voces lejanas que nos advierten sobre la posibilidad de ser víctimas de estafas o fraudes a través de internet. Así, este post abordará el denominado “fraude del CEO”, que, a pesar de la novedad del concepto, ya ha sido definido jurisprudencialmente.

En este sentido, lo define la Sentencia 74/2022 de la Audiencia Provincial de Madrid, Sección 11ª, de 28 de febrero como “fraude que mezcla técnicas de ingeniería social y phishing para conseguir que una persona con acceso a las cuentas de una empresa piense que su jefe le está encargando hacer un envío de dinero ligado a una operación. O en todo caso, que le proporcione datos bancarios de la empresa”.

A estos efectos, es igualmente relevante la Sentencia 530/2023 de la Audiencia Provincial de Las Palmas, Sección 1ª, de 5 de octubre, la cual dicta que el fraude del CEO “consiste en que un empleado con capacidad para acceder a las cuentas de la compañía y realizar transferencias bancarias recibe, supuestamente de su jefe o superior, un correo electrónico en el cual se le solicita su colaboración para llevar a cabo una operación financiera confidencial y urgente. Al ser engañado, el empleado no solo revela datos confidenciales de la compañía, sino que llega a realizar una o varias transferencias a otras cuentas bancarias de terceras personas, relacionadas con los autores de la estafa”.

Asimismo, es necesario matizar que, además del estudio previo que acometen los defraudadores para poder perpetrar un engaño suficientemente creíble, la herramienta principal de este tipo de fraude son los medios electrónicos, de tal forma que lo habitual es que el mismo se cometa por medio de cuentas de correo electrónico e incluso, en algunos casos, mediante aplicaciones de mensajería instantánea tales como Whatsapp.

2. Sobre la naturaleza de la responsabilidad bancaria

Más allá de la responsabilidad en sede penal que pudiese derivarse de la comisión de este tipo de fraudes para los propios defraudadores, existe también cierto nivel de responsabilidad civil imputable a la entidad bancaria que media en la transacción fraudulenta.

Esto es así porque, tal y como se ha hecho saber en la más reciente jurisprudencia, recae sobre la entidad bancaria encargada de la transferencia del dinero una responsabilidad cuasi-objetiva (establecida en la Sentencia 178/2015 de la Audiencia Provincial de Madrid, Sección 9ª, de 4 de mayo o en la Sentencia 107/2018 de la Audiencia Provincial de Alicante, Sección 8ª, de 12 de marzo), teniéndose así en cuenta el nivel de diligencia especialmente reforzado que le es exigible a cualquier entidad bancaria, por ser un proveedor de servicios de pago que debe asumir el riesgo operacional que va intrínseco a su sector.

Es relevante a este respecto la ya mencionada Sentencia 107/2018 de la Audiencia Provincial de Alicante, Sección 8ª, de 12 de marzo, la cual establece que, “el marco de responsabilidad establecido para el caso de operaciones de pagos hechos por proveedores de servicios no autorizadas o ejecutadas incorrectamente, es el de la cuasi-objetividad tal cual se desprende de la regulación específica sobre la materia”.

En este sentido, esa responsabilidad cuasi-objetiva imputable al proveedor de servicios de pago, a razón de la naturaleza misma de las operaciones que lleva a cabo diariamente y el riesgo que va intrínseco a las mismas, es modulable mediante el acogimiento a protocolos internos de actuación, o en el ámbito del “Know your client” (conoce a tu cliente”). De esta forma, y al hilo con el epígrafe siguiente, adelantamos que es sobre la entidad bancaria sobre quien va a recaer el deber probatorio sobre la falta de error en la transacción discutida. Siendo ello así, y como ya se ha dicho, la existencia de protocolos internos puede actuar como cuestión moduladora de la responsabilidad finalmente imputable al proveedor de servicios de pago.

3. Sobre la inversión de la carga de la prueba

Finalmente, y tal como apunta pacíficamente la jurisprudencia (vid. Sentencia 244/2020 de la Audiencia Provincial de Madrid, Sección 9ª, de 8 de junio), además del deber reforzado de diligencia que actúa como base para la responsabilidad bancaria en estos casos, se establece legalmente que deberá ser el propio proveedor de servicios de pago el que, ante una reclamación del usuario, pruebe la corrección y adecuación de las operaciones de pago disputadas. De esta forma, se da una clara inversión de la carga de la prueba, siendo consecuencia de ello el hecho de que el esfuerzo probatorio recaiga sobre la entidad bancaria, y no sobre el usuario.

A este respecto, es paradigmática la Sentencia 289/2021 de la Audiencia Provincial de Sevilla, Sección 6ª, de 30 de julio, en la cual se dictó que “al proveedor del servicio le corresponde acreditar que la orden de pago, que el cliente niega haber autorizado, ha sido debidamente autenticada y si no lo hace incurre en responsabilidad, quedando obligado al reintegro de los fondos dispuesto”.

4. Conclusiones

En resumen, el fraude del CEO es una forma sofisticada de estafa que combina técnicas de ingeniería social y el uso de medios electrónicos para inducir a empleados con acceso a cuentas corporativas a realizar transferencias bajo la falsa apariencia de órdenes legítimas de sus superiores. Ante este tipo de situaciones, la jurisprudencia más reciente reconoce la posible existencia de responsabilidad civil imputable a las entidades bancarias implicadas, en virtud de un régimen de responsabilidad cuasi-objetiva. Este régimen se fundamenta en el deber reforzado de diligencia que pesa sobre los proveedores de servicios de pago, quienes deben asumir los riesgos inherentes a su actividad.

Además, se produce una inversión de la carga de la prueba, de modo que corresponde a la entidad bancaria demostrar que la operación fue correctamente autorizada y autenticada. En caso contrario, deberá asumir las consecuencias civiles del fraude y restituir los fondos al cliente afectado. No obstante, esta responsabilidad puede modularse si la entidad acredita haber aplicado protocolos internos adecuados, como los procedimientos de verificación o el principio de “conoce a tu cliente”, aunque su mera existencia no basta para exonerar de responsabilidad si no se demuestra su aplicación efectiva.