https://blog.sepin.

es/fraude-ceo-responsabilidad-bancaria

El fraude del CEO y la

responsabilidad bancaria
13 de marzo de 2023 - 08:15
Adela del Olmo
Directora de Mercantil, Concursal y Bancario de Sepín

La SAP Madrid, sección 11.ª del 28-2-2022 (SP/SENT/1172667) analiza el fraude

del CEO y la responsabilidad del BBVA por realizar transferencias no
autorizadas desde una cuenta corriente (cc) de UNÍSONO SOLUCIONES DE
NEGOCIO, S.A (UNISONO) a un banco de China, que lo solicitara una
administrativa de la mercantil era algo tan absolutamente irregular, que el
banco debió tomar inmediatas medidas para detectarlo; Pero no hizo nada. Se
trata de un tipo de estafa por la que un empleado, recibe un correo,
supuestamente de su jefe, CEO, presidente o director en el que le pide ayuda
para realizar una operación financiera confidencial y urgente, normalmente
transferencias o para acceder a datos bancarios.

UNISONO, tenía una póliza de cc con BBVA, pero se enteró de las 2

transferencias por una llamada de BANKIA, donde también tenía abierta línea
de crédito, informando de que se habían ordenado con destino a China por
303.234,44 € y 379.043,05 €; UNISONO constata que se enviaron ambas desde
su cc en BBVA, por la citada administrativa de la sociedad no autorizada para
dar orden alguna en nombre de esta, la cuenta de destino, estaba en el banco
DBS BANK HONG KONG LIMITED, y su supuesta titular la Weihui Group
Limited. BBVA no detectó que era un fraude y además incumplió normativa de
prevención de blanqueo de capitales.

UNISONO considera consciente al BBVA de la absoluta irregularidad de que su

administrativa, ordenase pagos cuando, además, una empleada del banco
advirtió de que esas operaciones las ordenaba persona no apoderada ni
autorizada. Pero BBVA accedió y autorizó la orden.

Nunca se había registrado una operación de tal magnitud entre UNISONO y

BBVA y la extrañeza del procedimiento era patente: órdenes fraudulentas de
un mail nunca recibido; sin copiar a nadie de la empresa y sin que UNISONO
hubiera hecho jamás pagos a China y, menos a Hong Kong, un paraíso fiscal.

BBVA contesta que mucho antes informó a la directora financiera y otros

empleados de UNISONO de esta estafa y que la mercantil le solicitó firmar
autorizaciones para tramitar órdenes de pago por mail o fax y ellos le
advirtieron del peligro de esa operativa.

Insiste en que en los emails se adjuntaban documento con firma manuscrita

de la presidenta de la sociedad, persona facultada, pero en una imagen
escaneada y superpuesta, que según BBVA era indetectable pues solo debía
cotejar las firma tal y como aparecieran en los documentos; que era usual que
se enviaran órdenes de transferencia por mail y transacciones internacionales
de elevado importe y que no es responsable del fallo del sistema informático
ni de su vulnerabilidad; que fue diligente tratando de recuperar los fondos y
no incumplió la Ley 10/2010, de prevención del blanqueo de capitales y
financiación del terrorismo (SP/LEG/6277) pues solo lo obliga a conocer el
origen de los fondos y comprobó que eran de la apelante.

La sentencia del Juzgado de 1ª Instancia Madrid desestimó la demanda de

UNISONO, al considerar que aun con diligencia cualificada, la dirección de
email de la orden de transferencia era del buzón corporativo, la firmaba una
empleada, que solía remitir ordenes de transferencia y la presidenta de la
actora y que la operación se reflejó ese día en la cc de UNISONO sin que esta
reaccionara. Aplica la regla de prohibición de regreso: no cabe imputar el daño
a quien activó el curso causal que inicia o conduce al daño y también la
doctrina del factor notorio para no apreciar incumplimiento de normativa de
blanqueo.

UNISONO denuncia que su administrativa no estaba entre los facultados para

ordenar pagos, traspasos o transferencias y que, los de cuantía elevada se
hacían solo entre empresas del Grupo. BBVA no confirmó las operaciones con
la empresa sino solo con la administrativa a quien llamó a su móvil personal,
siendo lo pactado que para confirmar se debía llamar a persona distinta a la
que enviaba el email.

Destaca que en el fraude del CEO el engaño se da sobre apoderado o

autorizado, y en este caso, se produce con su administrativa sin poder para
disponer del dinero de UNISONO, sin que el banco cotejara la firma de la
presidenta falsificada con un burdo copia pega, además de infringir el art 18
de la Ley 10/2010 que le obligaba a analizar toda operación que pudiera
vincularse al blanqueo de capitales como movimientos con origen o destino en
paraísos fiscales.

¿Cabe transacción entre cliente y banco en derivados financieros

complejos?

La póliza de crédito en cuenta corriente (cc)

La póliza entre BBVA y UNISONO definía operaciones y proveedores de pago;

transferencia y recogía que solo los acreditados podían actuar como
ordenantes de transferencias; las operaciones de pago se consideraban
autorizadas cuando los acreditados consentían conforme al contrato.

En el contrato el único acreditado y único que podía dar órdenes de pago era
UNISONO, no una administrativa. La cláusula de comunicación al banco de
operaciones de pago no autorizadas o de ejecución incorrecta prevé que, el
acreditado debe comunicarlas en máximo 13 meses desde adeudo o abono en
cc y que BBVA devolverá a los acreditados ordenantes el importe de las
operaciones no autorizadas. Los acreditados no responden de pérdidas por
esas operaciones, salvo negligencia grave, fraude o incumplimiento deliberado
de sus obligaciones. A efectos de prueba, y esto es muy relevante y
contralegem, el banco impone que los acreditados que nieguen haber
autorizado operación de pago ejecutada o aleguen, que se hizo
incorrectamente, demuestren al banco que la operación no fue correctamente
autentificada y/o autorizada de acuerdo con las instrucciones de este.

El pacto infringe la normativa, la carga de la prueba es del banco, que debe

acreditar que cumplió sus obligaciones, art 30, Ley 16/2009 de Servicios de
pago, LSP, (SP/LEG/5734) hoy derogada, cuando un cliente niegue haber
autorizado operación de pago o alegue que se ejecutó incorrectamente, su
proveedor de servicios de pago demostrará que la operación fue autenticada,
registrada con exactitud y contabilizada, y que no se vio afectada por fallo
técnico u otra deficiencia.

Ambas partes coinciden en que están ante un caso de "fraude del CEO", que
mezcla ingeniería social y phishing para conseguir que personas con acceso a
cuentas de una empresa piensen que su jefe le encarga hacer envíos de dinero
o darle datos bancarios de la empresa. Se realiza por mail, whatsApp etc,
utilizando direcciones de correo con nombres similares, los ciberdelincuentes
hacen clickar el enlace y ya pueden colocar malware, o seguir con la
transferencia del supuesto CEO.

La SAP Mdrid Sección 14ª, 21-12-2017 (SP/SENT/944583) trata un caso similar,

el Santander recibió un mail desde el correo personal del demandante
dándole instrucciones para transferir 50.120 euros a una cuenta cuyo
beneficiario era el Banco HSBA de Singapur; beneficiario, cuenta y factura
completamente desconocidos para el demandante, la resolución concluye,
como ya hemos apuntado, que, al no concurrir fraude, incumplimiento o
negligencia grave del ordenante (art 32), responde el banco.

Esta responsabilidad por ofrecer servicios de pago es cuasi-objetiva, pues solo

la exonera la culpa grave del ordenante. La SAP Alicante Sección, 8.ª de 12-3-
2018 (SP/SENT/958620), clarifica aún más el tema de la carga de la prueba, en
un caso de responsabilidad de Barclays. La implementación de medidas de
seguridad adecuadas, suficientes, eficientes y al nivel del riesgo de ataques
informáticos en red bancaria online es del banco.

El art 217 LEC, sobre disponibilidad y facilidad probatoria prevé que en

relaciones contractuales o no, el perjudicado probará la culpa del causante del
daño, pero si una norma legal impone al demandado acreditar que hizo todo
lo exigible para prevenir el daño o hay inversión probatoria por su
disponibilidad y facilidad, se le puede imputar la culpa del daño por sus
especiales características y por una máxima de experiencia, se materializa un
riesgo creado por impericia o negligencia.

Este acceso a la prueba y la facilidad probatoria es el criterio de atribución de

responsabilidad más razonable, la seguridad y debida reserva de la red es
exigible a quienes permiten operaciones bancarias con soluciones tecnológicas
avanzadas. Como prevé la LSP, posterior a los hechos analizados, siguiendo el
art 52 de la Directiva 2015/2366 (SP/LEG/19052) Sobre Servicios de Pago en
Mercado Interior que derogó la que anteriormente transpuesta, Directiva
2007/64, (SP/LEG/6786) los Estados exigirán que, cuando el cliente niega haber
autorizado operación de pago o alegue incorrecta ejecución, el proveedor
demostrará que autenticó, registró con exactitud y contabilizó la operación, sin
que esta fuera afectada por por fallo técnico u otra deficiencia. La
responsabilidad de Barclays es de riesgo y debió, acreditar estos extremos.

La falsedad de la transferencia es un riesgo del banco; el deudor sólo se libera

pagando al verdadero acreedor y si el banco cumple una orden falsa, debe
reintegrarle las cantidades. Los servicios virtuales de los bancos por móviles o
internet, red pública, exigen soluciones tecnologías avanzadas para garantizar
autenticidad, integridad y confidencialidad de datos. Los bancos que prestan
servicios de banca online deben tener medidas de seguridad suficientes. Su
omisión, insuficiencia o defectuoso funcionamiento implica que asuman las
consecuencias. No cabe imputar la responsabilidad al supuesto ordenante de
la transferencia solo por realizarla conforme a los sistemas de autenticación
del banco, y si este es incapaz de limitar el acceso a banca electrónica no
puede pretender que la víctima sea el responsable.

La SAP Zaragoza Sección, 4. ª de 14-5-2013 (SP/SENT/723972) condenó a

Barclays a reembolsar a un cliente víctima de phishing, al considerar conforme
a la LSP que, salvo tardanza injustificada del cliente en comunicar irregularidad
de operaciones, el banco debía devolverá inmediatamente el importe de la
operación no autorizada y restablecer la cuenta de pago a su estado anterior.

La Magistrada ponente añade a todos estos razonamientos el "riesgo

operacional", que debe asumir el banco como garante, para evitar fraudes y el
deber de buenas prácticas, gestión de riesgos y defensa frente a fraudes que
incluye el principio "conoce a tu Cliente", que presupone que los bancos deben
conocer el tipo de operaciones que sus clientes realizan e identificar los
fraudes.

La Juzgadora de instancia no interpretó adecuadamente la LSP, los arts 30 y 32

determinan la responsabilidad de BBVA a pesar de que afirmase tener un
modelo seguro de banca online, del que no aportó prueba ni hizo constar
medidas de actuación y respuesta anti-fraude. Además, aprecia mala praxis
bancaria por ejecutar la transferencia solicitada por persona no autorizada,
una administrativa sin ninguna facultad para ordenar pagos y quien dijo que lo
hizo porque creyó que la presidenta del Grupo se lo pedía en confianza y
secreto.

Siendo iguales las transferencias BBVA solo hizo la 1.ª, en la 2.ª se apercibió de
que se incumplía el protocolo acordado y reconoció que la operativa era ilegal.

Los demás mails revelan que la empleada del banco era consciente de que no
se actuaba conforme a la ley ni al contrato, pero, en iguales condiciones,
autorizó la 1.ª transferencia, y dijo que no la retrocedió, aunque era igual que
la 2.ª, luego no verificó las solicitudes. Grave incumplimiento contractual:
ejecutar orden de pago sin comprobar legitimidad, carecer de sistemas de
seguridad anti-fraude y no tomar medidas ante una operativa tan
patentemente anormal.

No exime la responsabilidad incluir avisos en web sobre actuación segura en

plataformas, meras fórmulas predispuestas, sin contenido y contradichas por
los hechos. La advertencia estándar sobre "fraude del CEO", fue una mera
comunicación proforma que no respetó ni cumplió el propio banco, que obvió
que UNISONO jamás había operado en China y que revela un grave descontrol
y desprecio del protocolo.

La firma de la presidenta era claramente falsa, un corta y pega apreciable a

simple vista, que el banco ni cotejó, ni examinó pudiendo apreciar su falsedad,
ni se percató, por negligencia, de que el procedimiento era totalmente
inhabitual al permitirse solo email o fax como excepción y poniendo en copia,
direcciones de correo del banco, gerente y responsable.

Y continuando este irregular e inexplicable comportamiento no devolvió

inmediatamente el importe de la operación, señalando en instancia que
primero quería averiguar la causa de la estafa, cuestión penal totalmente
ajena pues lo que se está enjuiciando es la aceptación de transferencias por no
autorizados y los incumplimientos del protocolo.

BBVA incumplió disponiendo indebidamente de 303.234,44 euros: se le

condena dejar sin efecto cualquier cargo en cc de UNISONO en recuperación
de cantidades, intereses y comisiones vinculadas. También, abonará intereses
de esa cantidad desde fecha de demanda, incrementados en 2 puntos desde
esta sentencia. Se imponen costas de instancia.