La Corte de Casación francesa, en su Sala Comercial, Financiera y Económica, ha dictado el 30 de abril de 2025 una sentencia (Arrêt n° 222 F, Pourvoi n° C 24-10.149) en materia de responsabilidad bancaria y protección del consumidor frente a operaciones fraudulentas en la banca electrónica.
Antecedentes del caso
La sociedad M.H., una sociedad de responsabilidad limitada, era titular de una cuenta bancaria en la Caja Regional de Crédito Agrícola Mutuo (CRCAM) del Finistère, con acceso al servicio de banca en línea. El día 26 de noviembre de 2020, se añadió un beneficiario de transferencias mediante IBAN en este servicio. Posteriormente, entre el 27 de noviembre y el 3 de diciembre siguientes, se realizaron siete transferencias con cargo a la cuenta.
Considerando que se trataba de pagos no autorizados, la sociedad M.H. demandó al banco solicitando el reembolso de las cantidades debitadas y no recuperadas. La Corte de Apelación de Rennes, en sentencia del 7 de noviembre de 2023, rechazó la demanda, basándose en la negligencia grave del cliente.
Fundamentos jurídicos esenciales
La sentencia de la Corte de Casación se fundamenta principalmente en los artículos L. 133-19, IV y L. 133-23, primer párrafo, del Código Monetario y Financiero francés:
«Il résulte de ces textes que s’il entend faire supporter à l’utilisateur d’un instrument de paiement doté d’un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations mentionnées aux articles L. 133-16 et L 133-17 de ce code, le prestataire de services de paiement doit au préalable prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.»
Traducción: «De estos textos se desprende que si el proveedor de servicios de pago pretende hacer soportar al usuario de un instrumento de pago dotado de un dispositivo de seguridad personalizado las pérdidas ocasionadas por una operación de pago no autorizada, hecha posible por un incumplimiento de este usuario, intencional o por negligencia grave, de las obligaciones mencionadas en los artículos L. 133-16 y L. 133-17 de este código, el proveedor de servicios de pago debe probar previamente que la operación en cuestión ha sido autenticada, debidamente registrada y contabilizada, y que no ha sido afectada por una deficiencia técnica u otra.»
Análisis de la decisión de la Corte de Casación
La Corte de Casación ha establecido un requisito previo fundamental: antes de que un banco pueda trasladar la responsabilidad al cliente por operaciones fraudulentas (incluso en casos de negligencia grave), debe demostrar que sus propios sistemas funcionaron correctamente.
En el caso analizado, la Corte de Apelación de Rennes únicamente valoró la conducta del cliente, determinando que había actuado con negligencia grave al hacer clic en un correo electrónico fraudulento que presentaba incoherencias fácilmente detectables, y que además había sido precedido por un intento previo de estafa del que había sido advertido por su asesor bancario.
Sin embargo, como señala la Corte de Casación:
«En se déterminant ainsi, sans rechercher, comme il lui incombait, si les opérations de paiement litigieuses avaient été authentifiées, dûment enregistrées et comptabilisées et qu’elles n’avaient pas été affectées par une déficience technique ou autre, la cour d’appel a privé sa décision de base légale.»
Traducción: «Al determinar así, sin investigar, como le correspondía, si las operaciones de pago controvertidas habían sido autenticadas, debidamente registradas y contabilizadas, y que no habían sido afectadas por una deficiencia técnica u otra, la Corte de Apelación ha privado a su decisión de base legal.»
El proceso de «phishing» y la responsabilidad compartida
En el caso analizado, la estafa se produjo mediante la técnica conocida como «phishing». Según los hechos probados, el representante de la sociedad M.H. recibió un correo electrónico fraudulento que suplantaba al banco. Al hacer clic en él, proporcionó acceso a los estafadores, quienes añadieron un beneficiario de transferencias y posteriormente realizaron siete operaciones no autorizadas.
Si bien la Corte de Apelación consideró este comportamiento como una negligencia grave, la Corte de Casación establece que esta negligencia, por sí sola, no es suficiente para eximir al banco de su responsabilidad. El banco debe demostrar, primero, que sus sistemas de seguridad funcionaron correctamente.
Implicaciones para el sector bancario y los usuarios
Esta sentencia tiene importantes implicaciones:
- Para los bancos: Deberán reforzar sus sistemas de prueba y trazabilidad de las operaciones electrónicas, así como poder demostrar que sus sistemas de autenticación y registro funcionaron correctamente en cada caso de fraude.
- Para los usuarios: Se refuerza su protección, al establecerse un sistema de doble verificación: primero debe probarse que los sistemas bancarios funcionaron correctamente, y solo después puede analizarse la posible negligencia del cliente.
- Para los tribunales: Se establece un orden de análisis en los litigios sobre fraudes electrónicos, priorizando la verificación de los sistemas bancarios antes de valorar la conducta del usuario.
Resolución final
La Corte de Casación ha anulado completamente la sentencia de la Corte de Apelación de Rennes y ha remitido el caso a la Corte de Apelación de Angers para un nuevo juicio conforme a los principios establecidos. Además, ha condenado al banco al pago de las costas y a pagar a la sociedad M.H. la suma de 3.000 euros en concepto de gastos no incluidos en las costas.
https://www.courdecassation.fr/decision/6811bc2512a37cea68763de4
