La reciente sentencia emitida por la Audiencia Provincial de Valencia ha sentado un precedente en los casos relacionados con el fraude conocido como «estafa del CEO». Este es el primer pronunciamiento de tal naturaleza en esta Audiencia, abriendo un camino legal en la lucha contra este tipo específico de fraude cibernético. La estafa del CEO se ha convertido en un esquema comúnmente empleado por los ciberdelincuentes, y en esta ocasión, el proceso judicial arrojó luz sobre una modalidad particular de este fraude.

En el caso en cuestión, el esquema de fraude se desglosó de la siguiente manera:

  1. Un hacker interceptó las comunicaciones entre dos empresas, logrando identificar una factura pendiente de pago de una empresa a otra.
  2. Cuando se solicitó el pago de la factura, el hacker falsificó el correo electrónico de la empresa emisora para redirigir la solicitud de pago a una cuenta bancaria de su propiedad.
  3. La empresa destinataria, confiando en la autenticidad del correo electrónico y la factura, procedió a realizar el pago mediante transferencia bancaria. Sin embargo, el dinero fue transferido a la cuenta bancaria del estafador en lugar de la cuenta de la empresa emisora.

La contienda legal se centró en la responsabilidad del banco receptor, al permitir que los fondos de la transferencia fueran entregados a una persona distinta del beneficiario legítimo. A pesar de que el IBAN correspondía a la cuenta bancaria del estafador, el beneficiario mencionado en la orden de pago era la empresa real que debía recibir el dinero de la factura.

La argumentación legal se apoyó en el Real Decreto-ley 19/2018, de 23 de noviembre, sobre servicios de pago y otras medidas urgentes en materia financiera. Esta normativa dicta las responsabilidades en la tramitación de pagos entre entidades.

En primera instancia, la demanda fue desestimada, exonerando al banco de cualquier responsabilidad. Sin embargo, no conformes con esta resolución, se interpuso un recurso en apelación.

La Audiencia Provincial de Valencia, al revisar el recurso, determinó que la entidad financiera sí tenía responsabilidad en asegurar que los fondos de una orden de pago fueran entregados al beneficiario correcto que figuraba en la misma. La institución bancaria no podía evadir su responsabilidad alegando una entrega automática de fondos basada únicamente en el IBAN proporcionado en la orden de pago.

Esta orientación jurisprudencial se alinea con resoluciones similares observadas en las Audiencias Provinciales de Córdoba y Madrid. La sentencia de la Audiencia Provincial de Valencia, sin embargo, no es definitiva en este momento, ya que ha sido recurrida ante el Tribunal Supremo, instancia que hasta ahora no se ha pronunciado sobre este tipo de asuntos.

Es relevante señalar que este caso podría establecer un importante precedente legal en cómo se abordan los casos de estafa del CEO en el futuro, especialmente en lo que respecta a la responsabilidad de las entidades financieras en la verificación y correcta ejecución de las órdenes de pago. Con la mira puesta en el Tribunal Supremo, se espera con anticipación si este caso sentará un precedente a nivel nacional en la lucha contra el fraude cibernético en transacciones comerciales.