El art. 32 de la Ley de Servicios de Pago (LSP) está cercano a las tarjetas y otros instrumentos análogos, como las libretas de ahorro. Precisamente, la confirmación de que las libretas de ahorros que sirven para operar en cajeros automáticos se sometan, novedosamente en relación con la situación anterior a la LSP, a la llamada franquicia de 150 euros del art. 32.1 LSP, ha sido efectuada por el Banco de España.
La nueva regulación legal sustituye a las cláusulas contenidas en los contratos de tarjetas ofertados por las entidades, que de forma voluntaria asumieron el compromiso de limitar la responsabilidad de sus clientes en operaciones no autorizadas a un máximo de 150 euros. También aquí gana en certeza el usuario, pues en ocasiones el Banco de España ha denunciado la existencia de contratos que no recogían esta limitación de responsabilidad, o la recogían pero en cuantía inferior, o la sometían al cumplimiento de condiciones que dificultaban su efectividad.
El criterio que ha prevalecido hasta el momento, matizado convenientemente por la doctrina del Banco de España, y que en esencia coincide con el de la STS de 16 de diciembre de 2009, esto es, que no se puedan imputar al titular siempre y en todo caso las operaciones anteriores a la notificación de extravío, sustracción o uso irregular sino que se haya de atender al análisis de las circunstancias particulares de cada caso, es el siguiente:
“Frente a ello, es indudable que el cliente al que se hace entrega de una tarjeta de crédito o débito asume la responsabilidad de su custodia, pudiéndose afirmar en este sentido que la generalidad de la clientela bancaria conoce o se percata de las consecuencias que puedan derivarse de su pérdida o sustracción. Por ello, se estima que la responsabilidad por las disposiciones efectuadas antes del aviso de sustracción recae normalmente sobre el titular, salvo que concurran circunstancias particulares que, en su caso, habrían de ser consideradas por los tribunales de justicia.
Y en este punto es donde entra en juego el límite de responsabilidad citado, ya que fija en 150 euros la cuantía máxima que por cargos fraudulentos debería asumir el titular en estos casos, salvo que hubiese actuado de forma fraudulenta, a sabiendas o con negligencia grave o no hubiera observado las cláusulas 6 (a) y (c) del Código [de Buena Conducta del Sector Bancario Europeo], relativas estas últimas a la necesidad de observar la debida diligencia en la custodia de la tarjeta y de su número secreto, y a la obligación de avisar de la pérdida, robo o copia de la misma con la mayor celeridad posible”.
Efectivamente, la Directiva de Servicios de Pago, y la Ley de Servicios de Pago por ende, asume, entre otras, las disposiciones contempladas en las Recomendaciones 87/598/CEE, 88/590/ y 97/489/CE. Esta última Recomendación se erige en antecedente inmediato del art. 32 de la Ley de Servicios de Pago.
El fundamento último de esta limitación de responsabilidad del titular es incentivar el uso de las tarjetas y otros instrumentos similares.
Se podría estimar que de la seguridad del sistema de pagos con tarjeta habrían de responder íntegramente las entidades que lo implementan y se valen de él, pero en la hipótesis de las tarjetas resulta que dada su especial naturaleza, y, en concreto, a que se le entrega al titular el instrumento físico que le permite interactuar con el sistema en las diversas formas posibles (cajeros, comercios, pagos a distancia) es coherente que el plástico deba ser diligentemente custodiado por el titular, y este deba asumir los posibles riesgos por su extravío o robo si no actúa con rapidez y pone los hechos en conocimiento del proveedor del servicio para que este adopte las medidas pertinentes al caso.
Ahora bien, es preciso retener, de acuerdo con la doctrina del Servicio de Reclamaciones del Banco de España y la contenida en la STS de 16 de diciembre de 2009, que el titular no responderá siempre de las posibles operaciones no autorizadas anteriores a la notificación al proveedor, pues habrá casos en que el titular haya sido absolutamente diligente en la custodia de la tarjeta y del PIN, pero a pesar de ello un tercero sea capaz de clonar su tarjeta y realizar pagos con el clon. Precisamente, la sustitución de la banda magnética por el chip electrónico va encaminada a yugular esta vía para obtener ilegítimamente los datos de la tarjeta. Por todo lo que llevamos dicho, el punto más débil en la actualidad, y hacia el que deberían dirigirse los esfuerzos para erradicar las conductas irregulares y fraudulentas más reiteradas, es el de los pagos con tarjeta a distancia, en los que sólo se pide al titular que facilite PAN, fecha de caducidad y código de seguridad del plástico.
Antes de entrar en detalle del art. 32 LSP, recordamos que este artículo, según el art. 23.1 LSP se podrá inaplicar por acuerdo de las partes, total o parcialmente, con respecto a usuarios de servicios de pago no consumidores.
El tenor del art. 32 LSP es este:
“1. No obstante lo dispuesto en el artículo 31, el ordenante soportará, hasta un máximo de 150 euros, las pérdidas derivadas de operaciones de pago no autorizadas resultantes de la utilización de un instrumento de pago extraviado o sustraído.
2. El ordenante soportará el total de las pérdidas que afronte como consecuencia de operaciones de pago no autorizadas que sean fruto de su actuación fraudulenta o del incumplimiento, deliberado o por negligencia grave, de una o varias de sus obligaciones con arreglo al artículo 27.
3. Salvo en caso de actuación fraudulenta, el ordenante no soportará consecuencia económica alguna por la utilización, con posterioridad a la notificación a que se refiere el artículo 27.b), de un instrumento de pago extraviado o sustraído.
4. Si el proveedor de servicios de pago no tiene disponibles medios adecuados para que pueda notificarse en todo momento el extravío o la sustracción de un instrumento de pago, según lo dispuesto en el artículo 28.1.c), el ordenante no será responsable de las consecuencias económicas que se deriven de la utilización de dicho instrumento de pago, salvo en caso de que haya actuado de manera fraudulenta”.
Los apartados 1 y 2 del art. 32 suponen una derogación del principio de que la falta de consentimiento del usuario supondrá que la operación se repute como no autorizada (art. 25.1 LSP), así como de algunas de sus ramificaciones en otros preceptos de la Ley de Servicios de Pago (arts. 29 y 31).
Ello obedece al deber de custodia que pesa sobre el titular. Deber de custodia que recaerá tanto sobre el instrumento en sí, esto es, la tarjeta, como sobre el PIN. Anteriormente, estas obligaciones del titular se elevaban a rango contractual, mediante su incorporación en el contrato de emisión de tarjeta firmado por la entidad y su cliente. En la actualidad se recogen en el art. 27 LSP, en particular en su letra a), que impone al titular el deber de utilizar el instrumento según las condiciones que regulen su emisión y uso, y en adoptar, a la recepción del instrumento, todas las medidas razonables a fin de proteger los elementos de seguridad personalizados de que vaya provisto.
El art. 32 LSP diferencia varios casos, que son estos que siguen.
En caso de extravío o sustracción del instrumento de pago, el ordenante soportará hasta un máximo de 150 euros las pérdidas derivadas de operaciones de pago no autorizadas.
En principio, a pesar de la pérdida de la tarjeta o de su sustracción, de ahí no se debería causar daño alguno al ordenante, pues sería preciso que junto con el instrumento quien lo encontrase o sustrajera contara necesariamente con el número de identificación personal que le es propio. Especialmente reforzados quedan en la actualidad todos los implicados en el pago (titular ordenante, comercio beneficiario, proveedor de servicios de pago, caso de ser común a los dos anteriores, o proveedores, caso de contar cada uno con uno distinto) en la medida en que se ha sustituido la banda magnética por el chip electrónico, que exige el tecleo del PIN para operar de forma presencial (cajeros, comercios).
Durante el período en que ha estado vigente la autenticación con firma manuscrita en comercios, en los que con un instrumento extraviado o sustraído, evidentemente antes de la notificación al proveedor de tales circunstancias, y con un documento nacional de identidad o pasaporte falso o falsificado (o ni siquiera con él, sino tan sólo exhibiendo la tarjeta extraviada o sustraída) sí ha sido frecuente que el comercio, por negligencia en la identificación del presunto titular, o engañado eficazmente por este, aceptara pagos con tarjeta, con la consecuencia de que el proveedor de servicios de pago adquirente, tenido conocimiento de los hechos, le ha hecho asumir el perjuicio económico correspondiente, liberando de daño al titular de la tarjeta.
Préstese a atención a que la relación entre el beneficiario y su proveedor queda al margen del art. 32 de la Ley de Servicios de Pago, el cual se centra en el ordenante y el proveedor de servicios de pago emisor del instrumento. Para conocer las relaciones entre el comercio beneficiario y su proveedor se habrá de analizar, en el caso concreto, el contrato de adhesión del comercio a los sistemas de aceptación y pago con tarjeta.
Como adelantamos previamente, del extravío o sustracción no se habría de derivar daño para el ordenante, por ser secreto el número que permite operar, o por ser otros, los comercios, los obligados a identificar al portador del instrumento y a denegar la aceptación de la operación, o a asumir sus consecuencias, en caso contrario.
Por ello, podemos concluir que en los casos de extravío o sustracción el titular no sufrirá daño alguno. Pero entonces, ¿por qué alude el art. 32.1 a operaciones no autorizadas?
Evidentemente, se tratará de operaciones no autorizadas anteriores a la notificación al proveedor, pues “Salvo en caso de actuación fraudulenta, el ordenante no soportará consecuencia económica alguna por la utilización, con posterioridad a la notificación a que se refiere el artículo 27.b), de un instrumento de pago extraviado o sustraído” (art. 32.3 LSP).
El art. 27 LSP exige al usuario proteger el instrumento de pago y los elementos de seguridad de que vaya provisto y notificar al proveedor la existencia de incidencias. El incumplimiento por el usuario de estos deberes motivará que deba responder de las posibles operaciones no autorizadas. Pero según el grado de gravedad del incumplimiento, el usuario responderá de hasta 150 euros o de la totalidad de las operaciones no autorizadas. Precisando más: en caso de incumplimiento que no se pueda calificar como grave, el usuario sólo responderá hasta un máximo de 150 euros (art. 32.1 LSP), y en incumplimientos graves de la totalidad del perjuicio (art. 32.2 LSP).
Si observamos con detenimiento, el art. 27.b) LSP obliga al usuario del instrumento a notificar al proveedor los supuestos de extravío, sustracción, o utilización no autorizada. Los apartados 1 y 3 del art. 32 LSP omiten cualquier referencia a la utilización no autorizada, bajo cuyo concepto se podrían comprender los casos en que se haya originado una orden de pago no autorizada por la previa captación de los elementos de la tarjeta en las diversas, y variadas, formas posibles: clonación, phishing, skimming, etcétera. En estos casos, si el cliente ha sido diligente en el cumplimiento de sus obligaciones de custodia y notificación, no debería sufrir tampoco perjuicio alguno, pero de haber incurrido en negligencia grave debería asumir todos los perjuicios, según el art. 32.2 LSP, que pasamos a comentar.
Tanto para los casos de extravío y sustracción como en el genérico de utilización no autorizada, “El ordenante soportará el total de las pérdidas que afronte como consecuencia de operaciones de pago no autorizadas que sean fruto de su actuación fraudulenta o del incumplimiento, deliberado o por negligencia grave, de una o varias de sus obligaciones con arreglo al artículo 27” (art. 32.2 LSP). Es decir, en caso de fraude por parte del usuario, o incumplimiento deliberado o por negligencia grave de lo previsto en el art. 27 LSP, el usuario tendrá que asumir la totalidad de las pérdidas derivadas de operaciones no autorizadas, anteriores a la notificación al proveedor. De las operaciones posteriores a la notificación al proveedor, sólo responderá cuando haya actuado fraudulentamente, según el art. 32.3 LSP. Hay que aclarar que el art. 32.3 LSP sólo se refiere a los casos de extravío o sustracción de instrumento de pago, pero no parece justo que el usuario que ha actuado con negligencia grave deba también asumir las órdenes de pago posteriores a la notificación al proveedor, las cuales entendemos habrían de ser asumidas por el proveedor que las permitiera o, en última instancia, por el comercio que hubiera aceptado el instrumento.
Por último, el art. 32.4 contempla el supuesto, que nos atrevemos a afirmar que difícilmente se dará en la práctica, al menos con relación a nuestras entidades de crédito, de que el proveedor no disponga de los medios adecuados y gratuitos para que el usuario notifique el extravío, sustracción o utilización no autorizada del instrumento [art. 32.4 LSP, en relación con el art. 27.b) y el 28.c)]. En estos casos, la solución será que el usuario no soporte consecuencia económica alguna, ni anterior ni posterior a la notificación, pues esta no será materialmente posible, salvo que haya intervenido fraudulentamente.
«Comentarios a la Ley de Servicios de Pago», López Jiménez, J. M.ª, Editorial Bosch, 2011, págs. 595-602.