¿Cómo afecta al cumplimiento de un contrato civil o mercantil cuando un hacker intercepta el pago del deudor? ¿Queda el deudor liberado de la obligación?
Les presento el siguiente supuesto de hecho:
ENTERPRISE, S.A., después de estar negociando durante mucho tiempo con un posible proveedor, MAKER, S.A., ha logrado cerrar un acuerdo de medio millón de euros para comprar a esta una máquina puntera en el mercado que le permitirá posicionarse entre los mejores competidores de su sector.
MAKER, S.A. lo tiene todo listo para empezar a fabricar la máquina, pero ENTERPRISE, S.A., se está retrasando en el pago de los anticipos acordados, así que envía un correo electrónico recordando el pago. De inmediato, ENTERPRISE, S.A. le contesta adjuntando un recibo del pago hecho dos semanas antes, por importe de 250.000 € y en una cuenta bancaria desconocida. MAKER, S.A, detecta el error y responde diciendo que la cuenta bancaria no es la correcta. Entonces ENTERPRISE, S.A., le envía una serie de correos electrónicos en los que la propia MAKER, S.A. (o desde un correo muy similar al suyo) le enviaba una nueva factura y le indicaba que había cambiado la cuenta bancaria de la empresa. Es entonces cuando se destapa la estafa cometida.
Desde hace casi un año, un tercero ha logrado infiltrarse en el correo electrónico de uno de ellos y se ha dedicado, pacientemente, a vigilar los correos que se intercambiaban. Cuando finalmente ve que las partes han cerrado el acuerdo y están a punto de realizar el pago, pasa a la acción. Suplanta la identidad del proveedor y envía un correo electrónico con nuevas instrucciones para realizar el pago, indicando una nueva cuenta bancaria, normalmente en el extranjero y controlada por él. Entretanto, intercepta los correos electrónicos y evita que lleguen a su destinatario los que puedan frustrar su plan. Cuando se descubre la estafa el dinero ya ha desaparecido y el hacker deja de interceptar los correos.
De los hechos explicados se derivan consecuencias jurídicas penales y civiles. El hacker sería responsable de un delito de estafa y tendría la obligación de reparar el daño ocasionado restituyendo los importes sustraídos. Pero su localización puede llevar tiempo y, hasta entonces, el proveedor y su cliente, o se pelean por ver quien asume la pérdida o llegan a acuerdos que les permitan continuar con su relación comercial.
En el ámbito contractual, el debate jurídico se circunscribe en determinar si la intervención de un tercero que ha provocado dolosamente el pago a quien no es el acreedor, debe ser soportado por quien paga y sufre el engaño (en nuestro ejemplo ENTERPRISE, S.A.) y, por tanto, si subsiste la obligación de pago, o si debe ser soportada por el acreedor o proveedor (MAKER, S.A.) y, en consecuencia, el deudor queda liberado.
La posición mayoritaria se inclina por resolver esta controversia mediante la aplicación de la doctrina del acreedor aparente, ampliamente desarrollada por el Tribunal Supremo en su Sentencia de 17 de octubre de 1998.
Así, se parte de la regla general contenida en el art. 1162 del Código Civil, en virtud de la cual, solamente el pago que se hace al verdadero acreedor (o persona autorizada a recibir en su nombre) extingue la obligación y libera al deudor del cumplimiento.
Ahora bien, parte de la jurisprudencia entiende aplicable al supuesto descrito la excepción que contempla en el artículo 1164 del Código Civil, que establece que el pago hecho de buena fe a quien estuviese “en posesión del crédito” sí que tiene efectos liberatorios.
El concepto de encontrarse “en posesión del crédito” se asimila a los supuestos en que alguien, como nuestro hacker, aparenta ser el acreedor del crédito.
Pero para que el pago al “acreedor aparente” sea liberatorio, el deudor tiene que probar, no solo que creía que estaba pagando al verdadero acreedor, sino que esta creencia existía aun habiendo empleado la diligencia exigible de acuerdo con las circunstancias del caso (Sentencia AP Madrid, Sección 10ª, nº 501/2019).
Por ello, estos procesos se complican para el deudor que ha realizado el pago, pues mientras que el acreedor solo ha de probar la realidad y la cuantía de la deuda, aquel tiene que probar o bien una negligencia o culpa del acreedor que haya sido determinante del fraude (por ejemplo, un deficiente sistema de seguridad que ha permitido al hacker introducirse en sus servidores) o bien, su propia buena fe y creencia justificada de que el pago se realizaba a quien era el titular del crédito mediante datos objetivos y fiables y que no muestren atisbo alguno de negligencia por su parte.
Es importante atender a los actos propios de las partes, por lo que se ha de ser precavido al comunicar el hecho a las autoridades ya sea mediante denuncia o querella y, tanto en dichas denuncias como en las comunicaciones con la otra parte de la relación contractual, debe procurarse evitar el reconocimiento de hechos que puedan comportar el reconocimiento de alguna actuación negligente o deficiencia del sistema.
Además, recomendamos mucha cautela al reconocerse como víctima del delito de estafa, pues este reconocimiento como propio de la pérdida patrimonial sufrida, podría dificultar la posterior reclamación de esta pérdida a la otra parte de la relación contractual.
Igualmente, si se tuviese contratado un seguro de responsabilidad civil o de seguridad cibernética, no cabe descartar la posibilidad de reclamar a la aseguradora. Las coberturas de responsabilidad civil cubren los daños causados a terceros por acciones u omisiones negligentes, así que hay que tener en cuenta que, al reclamarse por esta vía debería reconocerse el propio comportamiento negligente.
A efectos preventivos, se recomienda tener desarrollados unos protocolos internos de seguridad que excluyan toda culpa, así como unas condiciones generales de contratación que prevean entre otras, los protocolos de seguridad para llevar a cabo un cambio de cuenta bancaria y la distribución de la responsabilidad ante hechos semejantes.
Esta clase de estafas tiene múltiples variantes tanto por los medios con los que se comete (por correo electrónico, pero también por vía telefónica, correo postal, etc.) como por el modo de engaño. En ocasiones el tercero contacta directamente con la entidad bancaria depositaria de nuestros fondos suplantando la identidad del cliente y dando órdenes de pago que son tramitadas por la entidad bancaria. En otras, se intercepta o suplanta la dirección de correo electrónico del CEO o CFO y se remite un correo electrónico a algún miembro del departamento financiero, ordenando un pago urgente, bajo el pretexto de que hay una operación secreta ordenada directamente por el CEO.
En cualquier caso, una vez se ha detectado que ha tenido lugar la estafa, es recomendable consultarlo con profesionales jurídicos y de seguridad informática. Se aconseja guardar toda la información de que se disponga, modificar todas las contraseñas y llevar a cabo una auditoría de seguridad para detectar programas maliciosos en los dispositivos.
Desde el departamento procesal de AddVANTE podemos prestar desde el primer momento el asesoramiento que requiera cualquier persona o empresa que haya sido víctima de una estafa de “Man in the middle” ofreciéndole una respuesta integral y coordinada de las diferentes áreas jurídicas y tecnológicas de la firma.
