El hecho de que el Reino Unido sea una rica fuente de experiencias sobre la seguridad de las tarjetas EMV en particular, y del negocio de tarjetas de pago en general, no debe hacernos olvidar la situación local. Evidentemente, nos interesa lo que sucede en casa. Así pues, ¿cómo nos afecta en la práctica la seguridad imperfecta de los sistemas de tarjetas? ¿En qué se diferencian la legislación y la jurisprudencia española de la inglesa?
La doctrina de los tribunales españoles en relación con las clonaciones, retiradas no autorizadas y uso del PIN tras el robo de tarjetas ha descansado en algo asumido por todos: el sistema no es infalible. Existe un riesgo derivado de la emisión y utilización de tarjetas, sea por robo, duplicación o cualquier otro procedimiento, y eso se considera un hecho, al margen de los medios de seguridad que el emisor de la tarjeta ponga para intentar evitarlo. De ello deriva un perjuicio para las partes involucradas: emisor, titular y dueño del establecimiento. Sin negar la posible culpa del cliente en casos de fraude o negligencia grave, se tiende hacer recaer el daño sobre el emisor de la tarjeta por los siguientes motivos:
—Porque es quien se lleva los mayores beneficios (comisiones, recargos, intereses), así que se considera justo que asuma los riesgos.
—Porque fomentan el uso de productos más arriesgado que otros ya existentes.
—Porque el riesgo no debe recaer en la parte más débil (el titular de la tarjeta)
(Audiencia Provincial de Castellón, 12/2/2000; Audiencia Provincial de Tarragona, 27/12/2004). Como consecuencia, los tribunales aplicaron la doctrina de “quien más se beneficia, más responsabilidad tiene” en diversas ocasiones. En un caso de uso ilegítimo de una tarjeta por haber sido capturada por un cajero automático manipulado, el tribunal afirmó que:
“es evidente que dicha utilización se corresponde con un fallo del sistema que permite a terceras personas manipular los cajeros automáticos, quebrando su seguridad hasta el extremo de que el mismo emite mensajes incorrectos que inducen a confusión a los usuarios, y si bien es cierto que esta situación se produce por la intervención fraudulenta de terceras personas, las responsabilidades que de estos eventos dimanen frente a los clientes son del banco emisor de la tarjeta, quien necesariamente deberá responder, en su integridad de las consecuencias dañosas producidas” (Audiencia Provincial de Madrid, 7/12/2000)
Por lo general, el mayor número de quejas correspondía a retiradas de efectivo y compras en tiendas con una tarjeta robada. Los clientes quedaban desconcertados al darse cuenta de que un ladrón pudiese saquearles sin conocer el PIN, y no entendían que el banco se negase a asumir su responsabilidad. El emisor de la tarjeta, por su parte, tendía a pensar que las posibles vulnerabilidades de su sistema no eran causa probable del fraude, y en aplicación del principio de House (“el cliente es idiota”) estimaban que la hipótesis más probable era que el cliente hubiese apuntado su PIN en la tarjeta. Por otra parte, cuando el cliente no comunicaba al banco “con la debida diligencia” la sustracción de la tarjeta, resultaba más difícil tomar medidas correctivas, de modo que el banco se lo cobraba al cliente. Hasta qué punto el cliente es responsable en esos casos se fue dirimiendo en diversas sentencias.
Lo más importante para la víctima es que los tribunales admitan la posibilidad de que se pudiese obtener el número PIN en forma fraudulenta, ya que en ese caso no sería de aplicación automática la asignación de la responsabilidad al cliente. En un recurso contra un fallo que le obligaba a devolver el dinero sustraído por desconocidos tras el robo de una tarjeta, Diners Club SA alegaba que el PIN no había sido custodiado adecuadamente por el cliente, ya que de otro modo los autores de la sustracción no hubieran podido obtener el dinero. Por su parte, el cliente negó llevar el número junto con la tarjeta, añadiendo con algo de sorna que “como Letrado se consideraba capaz de memorizar un número de 4 dígitos”. El razonamiento del banco descansaba en la lógica según la cual solamente el emisor de la tarjeta y el cliente conocían el PIN. El tribunal lo entendió de otro modo:
“la tarjeta no es tan segura sino que la banda magnética resulta fácil de examinar para deducir el número por personas expertas, auténticos profesionales, como es público y notorio… la conclusión de todo ello es que no puede imputarse el hecho a negligencia del actor” (Audiencia Provincial de Madrid, Sección 9, 8/4/1999)
Este criterio fue compartido por la Audiencia Provincial de Tarragona en 2004. En un recurso, Cajamadrid afirmaba que el hecho de que existiese una tarjeta duplicada no había quedado suficientemente acreditado, e insistía en que las compras debieron haberse hecho con la tarjeta original del cliente, junto con su PIN. Pero en lugar de argumentarlo con expertos, Cajamadrid presentó el testimonio de un empleado de la sucursal del cliente que… no, prefiero no contárselo con mis palabras. Que hablen los jueces de la Audiencia:
“aunque fuese cierto que dicho número [PIN] no se deduce de la banda magnética, debería la entidad de crédito haber aportado el correspondiente peritaje técnico de dicho funcionamiento. El Sr. Jose Francisco, que es el X de la oficina de la recurrente [Cajamadrid] y no un técnico informático de seguridad —como lo demuestra al no conocer la técnica del sistema—, reconoce que tarjetas duplicadas han sido utilizadas en autopistas, aunque no en comercios, y que podían ser utilizadas en cajeros, pero siempre con el PIN, que es imposible que sea deducido de la banda [magnética]; lo mismo sucede con la declaración del subdirector que tuvo que preguntar «a la central» para saber si el número PIN es deducible de la banda magnética; puesto que a pesar de las medidas de seguridad, lo cierto es que los «hackers» o salteadores pueden entrar en los sistemas informáticos, como también es público y notorio, y conseguir los códigos necesarios; es decir, no se considera probada ni la falta de diligencia de la recurrida ni la infalibilidad del sistema respecto al sistema de número secreto o PIN”.
No creo tener que añadir que Cajamadrid perdió el recurso y fue condenada en costas.
Otros tribunales aceptaron como “hecho público y notorio” la falibilidad del sistema, incluso si en el caso particular juzgado no se hubiese demostrado. Bastaba con admitir la posibilidad de acción fraudulenta para poder, cuando menos, levantar el sambenito de “el cliente tenía el PIN, así que él tiene que ser el culpable,” y diversos tribunales así lo manifestaron así a lo largo de la década del dos mil. He aquí algunos ejemplos:
“Con respecto a las extracciones de dinero, es cierto que se precisa para ello de la utilización del código PIN, pero lo que no consta es que tal número no pueda ser conocido a través de la manipulación o lectura de la banda magnética por personas que conozcan el funcionamiento y desciframiento de tales elementos, y así era al demandado al que correspondía probar que sólo el titular de la tarjeta puede acceder a su número secreto”. (Audiencia Provincial de Madrid, 6/10/2004)
“la actualidad nos ilustra de que este tipo de operaciones [clonación de tarjetas] se realizan mediante la instalación en cajeros de dispositivos de lectura de datos tanto del lector de la banda magnética como del teclado (para el PIN) que son enviados al receptor a disposición de quien emplaza este tipo de dispositivos que inmediatamente crean una tarjeta con los datos suministrados de la banda magnética utilizada regularmente en el cajero en el que se instaló el dispositivo, al tiempo que conocen el PIN de la misma, encontrándose en disposición de realizar extracciones fraudulentas de la cuenta de cargo de la misma, sin que el titular de la tarjeta tenga conocimiento de ese ‘clonado’ de su tarjeta”. (AP Córdoba, 24/7/2006)
“No puede presumirse la existencia de negligencia grave en la custodia de la clave secreta o de la tarjeta en todos aquellos casos en que las operaciones no reconocidas por el titular hayan sido validadas electrónicamente con el número de identificación personal (PIN), pues consideramos que la obligación general de custodia del titular de la tarjeta que proclama el contrato, no puede conllevar la presunción anteriormente enunciada, ya que la realidad social actual nos muestra que es cada vez más frecuente el conocimiento del PIN por métodos diferentes y más sofisticados que su simple sustracción o pérdida”. (AP Torrevieja, 4/12/2006)
“La Sala discrepa con la alegación del recurrente [el banco], ya que parece éste entender que únicamente cuando se trata de sofisticados artificios encaminados a clonar o falsificar tarjetas se puede entender que el titular de la tarjeta carece de negligencia en la utilización fraudulenta de la misma… cuando realmente no es la sofisticación del método utilizado, sino la efectividad del mismo lo que determina tal circunstancia” (AP Madrid, 3/10/2007)
Una de las manifestaciones más contundentes de lo que esto significa para la asignación de responsabilidad fue expresada en 2010 en los siguientes términos:
“… la experiencia diaria confirma cómo son utilizadas fraudulentamente tarjetas que han sido sustraídas o extraviadas, sin que pueda garantizarse una seguridad absoluta en la utilización de tales instrumentos, doctrina que trae como consecuencia que corresponda a la entidad financiera la carga de acreditar que el sistema utilizado es completamente seguro e infalible y que el acceso a sus servicios sólo puede verificarse con el marcado de un número PIN, número que es en sí mismo indescifrable, o dicho de otro modo, que la única forma que tiene el tercero de acceder a tales servicios es visionando previamente el PIN en cualquier forma, y, tal circunstancia no ha sido probada …por tanto, a la entidad bancaria le corresponde asumir los riesgos que conlleva la tarjeta en sí porque ella se lleva los beneficios: comisiones de uso, mantenimiento, recargos, intereses…” (AP Islas Baleares, 11/2/2010).
En una ocasión, los jueces se dejaron llevar de un espíritu de protección más allá de lo habitual, al entender que “la nueva utilización ordinaria de la tarjeta entraña un riesgo evidente, que es inherente a tal medio de pago y en definitiva es el banco quien comercializa un producto cuya fiabilidad y seguridad se pone en entredicho ya que no se aplican sistemas biométricos de identificación (implantación de un sistema de identificación a través de la huella dactilar, a través del iris ocular, reconocimiento de voz…)” (AP Barcelona, 24/10/2006).
En general, puede concluirse que los tribunales son conscientes de la existencia de fallos en los sistemas de tarjetas, y en consecuencia no procede culpar al cliente de forma automática. Por supuesto, siempre hay que contemplar el caso de fraude o mera estupidez. En cierta ocasión (no daré detalles), el titular denunció reintegros fraudulentos en su tarjeta de crédito. Sin embargo, dejó pasar tres meses hasta efectuar la denuncia, y además estuvo pagando las cuotas durante casi dos años. La Audiencia Provincial entendió que no había habido diligencia a la hora de denunciar el presunto robo.
En cuanto al siguiente caso, juzgue el lector por sí mismo. Caixanova fue absuelta de responsabilidad tras una sustracción de una tarjeta bancaria y un DNI seguida de diversos cargos en cuenta por un total de 785 euros. El cliente recurrió ante la Audiencia Provincial de Pontevedra, la cual se apoyó en el criterio de que “se entiende que concurre negligencia grave cuando el dato del PIN está de tal modo unido a la tarjeta que el robo o extravío de ésta conlleva información del PIN”. En su resolución, el tribunal afirmó que “el número secreto no figura en la banda magnética de las tarjetas, por lo que no es posible su averiguación mediante medios electrónicos” Pero en este caso, sorprendentemente, sí que se podía averiguar. Resulta que el PIN de la tarjeta del cliente ¡era su fecha de nacimiento! Ni que decir tiene que la Audiencia desestimó el recurso.
Cuando el intervalo que pasa entre el robo de la tarjeta y el saqueo de la cuenta es lo bastante grande, la responsabilidad tiende a recaer sobre el cliente. Esto se debe a la idea de que dejar pasar semanas o incluso meses entre el robo y la denuncia (o la comunicación al banco) es síntoma claro de dejación y poca diligencia, y ese razonamiento tiene su lógica. Lo habitual es que, si el cliente comunica con diligencia el robo al banco y a las autoridades, los tribunales suelen fallar en su favor, incluso si ha pasado más tiempo del reglamentado. En tales caso, el hecho de haber actuado de forma correcta y diligente tiene preferencia sobre el contenido exacto del contrato. Los bancos que insertaban cláusulas del tipo “el titular será responsable sin limitación alguna del uso de la tarjeta antes de la notificación de la pérdida o sustracción” vieron una y otra vez cómo los tribunales anulaban en la práctica estas cláusulas, hasta que fueron declaradas abusivas por el Tribunal Supremo en diciembre de 2009.
Sin embargo, cuando el intervalo que transcurre entre el robo de la tarjeta y el saqueo de la cuenta se reduce a una hora, o incluso menos, los bancos tiene una oportunidad de acusar al cliente de falta de diligencia. Alegan entonces que no es posible averiguar el PIN de una tarjeta en tan poco tiempo, por lo que la única conclusión lógica es que el cliente ha apuntado el número PIN en la tarjeta, lo que les eximiría de responsabilidad. De hecho una banda bien organizada puede clonar y obtener el PIN en muy poco tiempo. Como hemos visto en páginas anteriores, los ataques que se conocen son rápidos y están al alcance de grupos criminales. No se trata de un esfuerzo de días en el sótano de una casa abandonada.
Una retirada de fondos apenas minutos después del cometido el robo de la tarjeta sonaba sospechoso para algunos jueces. Las Audiencias Provinciales de Salamanca (2004), Madrid (2008) y Asturias (2011) dieron la razón a los bancos, puesto que no podían asimilar que el período transcurrido (8-15 minutos) era suficiente para que un ladrón hiciese su trabajo:
“tal número estaba con la tarjeta, sin que en buena lógica (lo ‘normal’), en tan escaso tiempo, pueda alcanzarse solución distinta, no existiendo medios técnicos distintos para acceder a tal número, al exigir al acceso a tal clave en tan corto lapso temporal unos conocimientos, medios técnicos y dedicación que no podían razonablemente concurrir en el presente caso” (AP Salamanca, 20/4/2004)
“… en contra de lo apuntado por la apelante, el número secreto no figura en la banda magnética de las tarjetas, por lo que no es posible su averiguación mediante medios electrónicos… a ello se suma la gran proximidad en el tiempo de esas extracciones con el momento de la sustracción, lo que no es verosímil sin haber existido un conocimiento previo de las claves o número secreto para su uso” (AP Madrid, 20/11/2008).
En el caso de Asturias, al menos había un elemento de duda razonable a favor del banco. A Sara, la víctima, le habían robado varias tarjetas, pero los ladrones solamente lograron retirar dinero con dos de ellas. Las otras no pudieron ser usadas por falta de PIN correcto. Si los ladrones hubieran tenido a mano elementos para clonar tarjetas y obtener sus PIN, es lógico suponer que las habrían usado todas. La Audiencia también valoró la afirmación de Sara de que “había dejado el bolso apoyado en el respaldo de su asiento” en un local público como indicio de negligencia.
En cualquier caso, aun suponiendo que una retirada de fondos fraudulenta en pocos minutos es poco probable, sí es una posibilidad que ha de tenerse en cuenta. Eso es lo que admitió la Audiencia Provincial de Madrid (otra sala distinta) en 2007:
“que los ladrones tardaran muy poco tiempo en hacer uso de la tarjeta desde la sustracción, no es motivo para suponer que necesariamente el número PIN debía encontrarse en la cartera…”.
Por pura coincidencia, justo tras la aprobación de la Ley 16/2009 de Servicios de Pago, la Sala de lo Civil del Tribunal Supremo falló en contra de un cierto número de cláusulas bancarias abusivas[75]. Lo más interesante es que en este caso se aplicó la nueva Ley 16/2009, a pesar de que ésta solamente llevaba en vigor tres días. Algunas de las cláusulas en disputa eximían a los bancos de responsabilidad en caso de pérdida o sustracción, haciendo responsable al cliente de forma ilimitada salvo que éste comunicase el problema al banco de forma inmediata. Más grave todavía, invertían la carga de la prueba: en caso de que se utilizase el PIN, se consideraría “grave negligencia” salvo caso de fuerza mayor.
El Tribunal Supremo, tras declarar desproporcionadas las cláusulas que se limitan a la exoneración de responsabilidad por parte del banco antes de la notificación de sustracción o extravío, entró en el tema de la responsabilidad por el uso del PIN, y determinó que no es proporcionado limitar la responsabilidad bancaria a los casos en que el cliente reveló el número ante coacción o fuerza mayor. El siguiente párrafo es especialmente significativo en la parte que aquí nos interesa (el subrayado es mío):
“Cierto que con la utilización del chip electrónico en lugar de la tarjeta con banda magnética, y el necesario marcaje o tecleo del número secreto por el titular, cabrá reducir (en las operaciones con presencia física; otro tema lo constituyen las realizadas a distancia, como sucede con internet) las utilizaciones indebidas, pero respecto del caso que se examina no cabe desconocer la posibilidad de captaciones subrepticias, con independencia de otras manipulaciones varias a causa de las deficiencias del sistema de tarjetas, que no permiten sentar una cláusula que exonere de responsabilidad…”.
Como pueden ver, los jueces del Supremo admiten que el sistema no es totalmente seguro, y que por tanto no se puede aplicar la doctrina británica de “mi sistema es seguro, por tanto yo no soy responsable”. En consecuencia, el TS estimó que (ahora el subrayado es de la propia sentencia):
2. La exclusión de responsabilidad en todo caso para la entidad bancaria por las utilizaciones de tarjeta o de libreta —consistentes en extracciones en efectivo u otras operaciones con cargo a la cuenta bancaria—, con anterioridad a la comunicación de la sustracción o extravío (o evento similar) es desproporcionada, y abusiva.
3. Es igualmente abusivo excluir de responsabilidad a la entidad bancaria en todo caso de uso del número de identificación personal limitando aquélla a los supuestos de fuerza mayor o coacción.
Si usted siente en estos momentos la necesidad de comprobar el contrato de sus tarjetas bancarias, hágalo. Yo lo hice. Siempre es mejor prevenir que curar.
Pero basta de asustar. Imagino que a estas alturas ya habrá recibido el mensaje: hay peligro. Eso no significa que deba usted tirar a la basura sus tarjetas de crédito y débito. Después de todo, también le pueden robar sus billetes, y no por eso vamos a dejar de usar el dinero en efectivo. Se trata, sencillamente, de tomar algunas precauciones básicas que le evitarán muchos problemas. Puede que algunas ya las haya leído en otra parte, y en general son de sentido común.
Comencemos por el elemento más vital: el PIN. Para conservarlo, nada mejor que confiarlo a la memoria. Allí debe almacenarse y allí debe estar la única copia. Nunca lo apunte, en ninguna forma o lugar. Si tiene un mal día y lo olvida, siempre habrá tiempo de volver al banco y pedir un PIN nuevo. Nunca lo comparta con nadie: ni con su mejor amigo, ni con su director de banco, con nadie. No es algo que nadie más que usted necesite saber. Ni su banco debe saberlo, y si ellos se lo piden, niéguese.
La tarjeta debe estar siempre localizable. Esto resulta especialmente importante si se encuentra de viaje. Si no la necesita, déjesela en casa. Ahora que las tarjetas tienen chip, no se suele verificar la firma manuscrita, pero de todos modos no deje de firmar la tarjeta al reverso. Una idea interesante es acompañar la firma con un “pedir DNI”. Eso le proporcionará una capa adicional de seguridad, porque el vendedor tendrá que verificar la identidad de usted. Si no lo hace, tanto peor para él.
A la hora de pagar, tenga la precaución de vigilar adónde se llevan la tarjeta. El camarero o el dueño de la tienda podrá pasarla por un lector de bandas magnéticas con facilidad y sin que usted se de cuenta, pero de todos modos esté ojo avizor. En lo posible, utilice el sistema Chip+PIN, y asegúrese de que nadie le vea teclear los números. No se preocupe si alguien se ofende por ello, usted tiene derecho a proteger sus secretos.
Cuando el uso del chip no es posible, el sistema recurre al método de lectura por banda magnética, como ya hemos visto. Se trata de una práctica legítima pero, como hemos visto, más arriesgada, así que le recomiendo evitar el uso de la banda magnética. Si le dan una lectora portátil donde la tarjeta entre completamente en la ranura, ¡alerta! Es posible que los malos la hayan sustituido por una lectora trucada, sin que los empleados del establecimiento se hayan dado cuenta. Si eso sucede, avíselos y por ningún motivo introduzca su PIN en el teclado. Hay personas que incluso arrancan o inutilizan físicamente la banda magnética. No es algo que le recomiende por diversos motivos: puede que necesite usted usarla, y a lo mejor su banco no le pone buena cara.
Usar la tarjeta en el cajero para luego pagar en efectivo en las tiendas es una opción más segura que pagar con tarjeta. Los cajeros están mejor vigilados, y sabemos qué banco está detrás para dar la cara en caso de problemas. Aun así, tenga cuidado y examine el cajero. ¿Tiene marcas o señales de haber sido forzado? ¿Hay algún objeto insertado en la ranura de la tarjeta? ¿El cajero automático retiene la tarjeta durante un intervalo de tiempo inusualmente largo? En caso de duda, pruebe con otro. Guarde siempre los recibos y comprobantes, incluso en caso de transacción no completada (y especialmente en ese caso). Por supuesto, asegúrese de que nadie esté fisgoneando por encima del hombro. Tape el teclado cuando introduzca su PIN. No se fíe de la ayuda de desconocidos, por muy buena cara que pongan. Y no se deje el recibo en el cajero: aunque todo vaya bien, un ladrón puede utilizar esa información para fines fraudulentos… por no hablar de que así sabe cuanto dinero lleva usted ahora en la cartera y si vale la pena atracarle.
Resulta buena política el comprobar el extracto y últimos movimientos de su cuenta de forma periódica, en busca de transacciones extrañas que no recuerde usted haber autorizado. En caso de duda, hable con el banco emisor de su tarjeta, y si es necesario anule la tarjeta. La molestia de pedir otra y tener que esperar a que llegue es un pequeño precio a pagar a cambio de evitar fraudes con su tarjeta.
Una precaución que le recomiendo especialmente: guarde el número de teléfono del servicio de atención al cliente de su tarjeta en lugar bien visible, por ejemplo en su lista de contactos. Como ya ha leído en este libro, de la sustracción a la clonación y uso a veces solamente pasan unos minutos, así que en caso de robo de tarjeta llame y anúlela inmediatamente. Antes de que el amigo de lo ajeno haya doblado la esquina. No pierda ni un momento. Identifíquese, indique que su tarjeta ha sido robada y pida su anulación con carácter inmediato. Luego habrá tiempo para la denuncia en comisaría, donde podrá usted sacar su móvil y mostrar el registro de llamadas. Incluya la fecha y hora de la llamada en la propia denuncia, será una prueba de su diligencia en caso necesario. ¿Y si usted tuvo un mal día y también le han robado el móvil? En ese caso, pida ayuda a algún transeúnte, pídale prestado su móvil, busque el número de atención al cliente de su tarjeta y proceda a su anulación.
Finalmente, cuando la tarjeta deje de ser útil, por ejemplo en caso de que haya caducado, o si la anuló usted y al final apareció debajo del sofá, no se limite a tirarla a la basura. Recuerde que la información que los ladrones buscan sigue allí, en la banda magnética y el chip. Antes de tirarla, inutilícela. Basta con unas tijeras. Asegúrese de cortar la región de la banda magnética, e incluso el chip si puede. La mejor recomendación que le puedo hacer en este punto es que adquiera usted una máquina destructora de documentos, una inversión que se paga sola. No solamente le servirá para destruir su tarjeta vieja, sino que también podrá usarla con todos esos documentos que ya no sirven y que llevan datos personales: extractos bancarios, facturas, informes del médico de los hijos, etc. Un defraudador puede obrar milagros con esa información que cae en el cubo de basura.
Y un último detalle. Quizá crea que soy un poco paranoico con la seguridad. Está usted en su derecho, y puede no hacerme caso, que no soy su padre. Pero no crea que es usted lo bastante poco importante para que una banda organizada se plantee a robarle a usted. No necesita usted ser un empresario millonario o una estrella del cine para que quieran robarle su información o sus tarjetas de crédito. Los ladrones no se interesan en usted personalmente, para ellos es tan sólo negocios. Sencillamente, buscan víctimas vulnerables y aprovecharán la ocasión si usted se la facilita. Niéguesela.