En la era digital, las estafas informáticas están en constante aumento, aprovechando los avances tecnológicos para llevar a cabo sus fraudes. Entre las prácticas más comunes se encuentra el “phishing” en sus diversas modalidades. Sin embargo, un método que está ganando terreno es el ataque conocido como “Man In The Middle” (MITM). Pero, ¿qué es exactamente? 🤔
Este tipo de fraude se basa en la interceptación de correos electrónicos entre empresas y/o administraciones, con el objetivo de comprometer sus comunicaciones. Generalmente, el ataque se focaliza en momentos críticos como el pago o cobro de cantidades pendientes por servicios prestados o la compraventa de productos. Los ciberdelincuentes acceden a los archivos enviados, sustituyendo el número de cuenta del acreedor legítimo por uno propio, ocasionando graves perjuicios tanto al deudor, que efectúa el pago a una cuenta incorrecta, como al acreedor, que no recibe el pago por el servicio o producto. 📧🔒
En esta situación, se identifican tres partes involucradas: el ciberdelincuente (o acreedor aparente), el deudor y el acreedor legítimo. Claramente, el único beneficiario es el ciberdelincuente, que recibe el importe destinado al acreedor.
La cuestión clave es determinar quién debe asumir la pérdida patrimonial: ¿el deudor, que realizó el pago de buena fe, o el acreedor, que no recibió el importe debido? En este sentido, el legítimo acreedor podría presentar demanda civil contra el deudor solicitando el pago de la deuda, acudiendo a los artículos 1.157 y ss. del Código Civil. ⚖️
Para el deudor, la situación es más compleja. La mayoría de la doctrina invoca el artículo 1.162 del Código Civil, que obliga al deudor a pagar la deuda si el acreedor legítimo no ha recibido el importe. No obstante, una postura minoritaria establece que, bajo ciertas condiciones, el deudor podría quedar liberado del pago. 📜
Así lo vemos en la Sentencia de la Audiencia Provincial de Cantabria de 24 de noviembre de 2023:
“La jurisprudencia menor ya se ha pronunciado sobre el posible efecto liberatorio realizado en el contexto de esta modalidad de fraude, analizando los requisitos que ha de reunir el pago a un tercero para que produzca efectos liberatorios. Así la SAP de Madrid Sec. 10ª, 501/2021, de 18 de octubre, recuerda que “para que el pago realizado por el deudor al acreedor aparente, produzca el efecto liberatorio, la concurrencia de tres requisitos: pago efectivo por el deudor, posesión del crédito o apariencia de titularidad del crédito, la cual debe ser razonable u objetivamente verosímil, es decir, que justifique la buena fe al pagar a persona distinta del verdadero acreedor y buena fe del deudor, siendo la buena fe a la que aluda el precepto no la subjetiva del art. 433 CC sino la objetiva del art. 1.258 de dicho texto legal, en tanto no basta la mera creencia o convencimiento subjetivo de que se paga al verdadero acreedor, siendo necesario que tal creencia exista aun habiendo empleado la diligencia realmente exigible de acuerdo con las circunstancias del caso, debiendo derivar de datos objetivos y fiables. Buena fe objetiva que, a diferencia de la subjetiva, no se presume, ha de ser probada por quien la invoca (art. 217 LEC). Y de no concurrir tales presupuestos, como sucede en el presente caso, el deudor resulta obligado a pagar a su acreedor […]”
En el mismo sentido, Sentencia de la Audiencia Provincial de Salamanca de 4 de noviembre de 2022, exige que el deudor demuestre haber tomado las precauciones necesarias para verificar la identidad del acreedor aparente:
“La jurisprudencia requiere en estos casos para que el deudor quede liberado del pago, que éste despliegue una actividad acorde con la diligencia exigible o debida a fin de que se cerciore de que, quien aparece como acreedor, lo es en realidad al comportarse como tal conforme a los signos normales y convenientes al respecto y existan razones legítimas para creer al “aparente” titular del derecho, no sólo a quien tenga simplemente el documento acreditativo de la deuda o aparente tenerlo […]”
Por consiguiente, para que el deudor pueda quedar liberado del pago deberá probar que actuó de buena fe y con la diligencia debida al caso concreto. ✅
Una vez conocemos los criterios jurisprudenciales, se plantea la siguiente cuestión: ¿qué puedo hacer si he sido víctima del “Man In The Middle” como deudor? 🕵️♂️
Pues bien, existen dos vías judiciales no excluyentes entre sí a las que puedes acudir:
- Vía Penal: Este tipo de fraude está tipificado como delito de estafa informática en el artículo 249.1.a) del Código Penal. ⚖️
- Vía Civil: La Ley de Servicios de Pago establece una responsabilidad cuasi objetiva a las entidades bancarias, recayendo sobre ellas probar que el usuario ha actuado negligentemente. Concretamente, el artículo 45 de dicha ley obliga a las entidades bancarias a devolver el importe de la operación no autorizada de inmediato, o a más tardar al final del día hábil siguiente a aquel que haya observado o se le haya notificado la operación, por lo que es fundamental comunicar al banco lo sucedido inmediatamente después de tener conocimiento de ello. 💳🏦
Si has sido víctima de un ataque “Man In The Middle” y necesitas orientación legal, ¡no dudes en contactarnos para una consulta personalizada! 📞👨⚖️👩⚖️
