El otro blog para cosas más serias

El otro blog para cosas más serias
El otro blog para cosas más serias

martes, 19 de diciembre de 2017

Más demandas de competencia desleal contra bancos que obstaculizan a empresas de servicios de pago

iii

Trustly es una empresa de servicios de pago que permite a sus clientes utilizar sus cuentas – las de los clientes – en bancos para realizar transferencias. Es una “fintech” que compite con los bancos al poner a disposición de los consumidores un medio de pago de compras en internet con cargo a las cuentas bancarias. Para ello, la fintech necesita acceder a la cuenta en el banco del consumidor que introduce sus claves. El banco – Caixabank – disputa la seguridad de este sistema

La apelante considera que Trustly pone en riesgo la seguridad del sistema al solicitar al cliente que revele sus claves de acceso que son personales e intransferibles. Afirma que es posible que Trustly guarde dichas claves según las condiciones y términos generales aplicables a usuarios finales. Además, sostiene que no consta probado que el sistema informativo de Trustly sea seguro.

Trustly indica que las claves del cliente son utilizadas únicamente para ejecutar la transferencia bancaria ordenada por el cliente titular de la cuenta y que Trustly no tiene acceso a dichas claves ya que las mismas son reenviadas al interfaz del Banco por un sistema de encriptación sin que se almacenen dichos datos en ningún servidor.

La principal discrepancia se centra básicamente en la seguridad del método informático de transacción, esto es, en si Trustly puede tener acceso a las claves que el consumidor utiliza para poder operar con su cuenta personal, o sí, por el contrario, el interface que facilita Trusly garantiza una encriptación de las claves personales que impida a Trusly acceder a la mencionada información.

La pericial aportada por Caixabank sostiene que, de las imágenes y videos que examinó el perito, se observaba que la conexión telemática autenticada, cifrada y segura se realiza entre el usuario y Trustly y no se observaba ninguna conexión autenticada y cifrada con el banco (folios 323 y 326). Por el contrario, la pericial de Trustly concluye que "la operativa de Trustly es la propia de las entidades de pago y es asimilable a la ejecutada por otras entidades que realizan una actividad equiparable a la suya, tanto en lo referente al movimiento de los fondos necesarios para la ejecución de operaciones de pago a través de cuentas bancarias como en lo referente a la seguridad de los procesos necesarios para cursas las órdenes de pago".

Esas conclusiones, valoradas conforme a las reglas de la sana crítica, nos parecen más acertadas, en la medida que, además, vienen avaladas por los testimonios contundentes de los testigos don Roque y don Victorino . Especial importancia tiene la declaración de este último, que manifestó conocer el sector y que no tiene vinculación con las partes.


El testigo don Roque (informático que trabaja para Trustly) informó en la vista que Trustly no tiene acceso a las claves bancarias del usuario, ya que las mismas van encriptadas. Declaró que, en el sistema implementado por Trustly, las medidas de seguridad utilizan un sistema de comunicación cifrada por https con certificado RSA emitido por la empresa Symantec y que esta empresa también emite certificados sobre el sistema cifrado de Caixabank. Sostiene el testigo que la información se encripta en el navegador del usuario antes de enviar la información a Trustly sobre la operación (antes de enviar la https). El señor Roque explicó que se genera una clave nueva para cifrar los datos sensibles en cada operación y que una vez realizada la operación se elimina del sistema, sin que se guarden ni las claves ni las contraseñas. Dicho testigo también afirmó que el riesgo de fraudes con tarjetas de crédito es superior al riesgo cuando se opera con Trustly, ya que las operaciones con tarjetas de crédito exigen marcar las tres cifras que aparecen en su reverso y que siempre son las mismas, mientras que con Trustly hay que marcar un código de seguridad que te proporciona tu cuenta de banca on line (normalmente un SMS al móvil) que sólo es útil para esa operación y que siempre es diferente.

El testigo don Victorino (con experiencia en el sector al trabajar para American Express y ser el responsable de pagos y fraude de la empresa LetsBonus) declaró que los sistemas de seguridad utilizados por Trustly están dentro de los estándares del mercado y son equivalentes a los que usan otras entidades. Indicó que dichos sistemas no son nuevos en el mercado, ya que se usan mucho por otras empresas en centro Europa, poniendo el ejemplo de la entidad Sofort. También afirmó que el sistema Trustly compite con el de las tarjetas de crédito y que ha habido más errores de seguridad con las tarjetas de crédito que con el sistema de Trustly. También dijo que había usado Trustly como usuario para realizar diferentes compras. A preguntas del letrado de Caixabank, don Victorino testificó que las ventajas del sistema de Trustly son que no hay prácticamente fraude y que se pueden hacer transacciones por importes más elevados que con otros sistemas de pago, así como que con el sistema de Trustly se superan las limitaciones que tienen los pagos con tarjetas de crédito y con paypal .

Además, tal y como se dijo en la instancia, también está probado que:

a) las plataformas de venta on line incorporan el sistema de pago por medio de Trustly junto con otros sistemas de pago que van desde el pago contra rembolso, el uso de tarjetas de crédito, la transferencia directa o el pago por medio de paypal .

b) al referirse al sistema Trusly como medio de pago identifican claramente este sistema como ajeno o independiente a la plataforma de venta on line .

c) en el momento de activar el sistema Trusly se despliega una nueva pestaña en la que el comprador es informado clara e inequívocamente de que ha de acceder a su cuenta personal incorporando los datos personales.

No compartirnos la afirmación de Caixabank de que sea posible que Trustly guarde dichas claves según las condiciones y términos generales aplicables a usuarios finales.

Las citadas condiciones, en su punto 2, cuando hablan del procesamiento de la información se refieren al punto 7. Este último indica que los datos se tratarán conforme a la normativa de protección de datos y que la posible información a almacenar es la dirección de IP y los datos de autenticación asociados a dicha IP, nombre, dirección, número de teléfono, número de cuenta bancaria emisora y número personal de identidad. El propio testigo don Roque sostuvo que los datos del usuario se conservan temporalmente mientras se está realizando la operación, pero que una vez finalizadas se eliminan del sistema.

La Directiva 2015 recoge que la claves usadas por el usuario de estos servicios son las emitidas por las entidades gestoras de cuenta, en nuestro caso Caixabank, y que las entidades gestoras de cuentas deben permitir a entidades iniciadoras de servicios (Trustly) utilizar los procedimientos de autenticación que aquéllos facilitan para que puedan iniciar un pago concreto por cuenta del usuario. El Considerando 30 lo afirma en los siguientes términos: " Las credenciales de seguridad personalizadas empleadas para que el cliente sea autenticado bien directamente por el usuario del servicio de pago, o bien por el proveedor de servicios de iniciación del pago son, normalmente, las emitidas por los proveedores de servicios de pago gestores de cuenta. Los proveedores de servicios de iniciación de pagos no establecen necesariamente una relación contractual con los proveedores de servicios de pago gestores de cuenta y estos últimos, con independencia del modelo de negocio que utilicen los primeros, les deben permitir utilizar los procedimientos de autenticación que facilitan los proveedores de servicios de pago gestores de cuenta para que puedan iniciar un pago concreto por cuenta del ordenante ."

Por tanto, consideramos que las claves del usuario son utilizadas únicamente para ejecutar la transferencia bancaria ordenada por el cliente titular de la cuenta y que no queda acreditado que Trustly tenga acceso a dichas claves y que almacene dichos datos para poder disponer de ellos. Lo que hemos expuesto comporta la desestimación de este motivo del recurso interpuesto por Caixabank.


Caixabank cierra las cuentas de Trustly: demanda de competencia desleal contra Caixabank


En agosto de 2013, el responsable de la oficina de Caixabank en la que Trustly tenía abiertas sus cuentas corrientes comunicó la decisión de la entidad financiera de cerrar las cuentas de referencia. Esta primera comunicación fue verbal y dio lugar a una serie de contactos entre los responsables de Trustly en España y los empleados de la oficina de Caixabank en las que los primeros explicaron quiénes eran y el tipo de servicio que prestaban. Los responsables de Trustly en España solicitaron a los empleados de Caixabank la comunicación por escrito de las razones para el cierre de las cuentas. Sin embargo, la razón dada para el cierre de las tres cuentas eran razones operativas, sin dar mayores precisiones.

Los citados empleados de la oficina de Caixabank no conocían las razones concretas por las que se acordó la cancelación, sólo sabían que la decisión se había tomado por los servicios centrales de la entidad. La cancelación de las cuentas se hace efectiva el 30 de septiembre de 2013. Estos hechos no han sido puestos en duda en el recurso de apelación.

Las razones que, a juicio de Caixabank, le amparaban para cancelar las cuentas de Trustly no le fueron comunicadas a ésta en el momento de la cancelación. Trustly no tuvo posibilidad ni de conocer los motivos de la cancelación, ni los posibles mecanismos para evitar esta cancelación.

De acuerdo con la doctrina del Tribunal Supremo, expresada en las Sentencias de 5 y 7 de octubre de 2016 , las entidades de crédito, como Caixabank, que lleven a cabo la cancelación de cuentas y/o que pongan término a una relación contractual con sus clientes de manera no justificada o desproporcionada, podrían estar incurriendo en un acto de obstaculización del artículo 4 de la LCD , debido a que dichas medidas afectan al principio de libre competencia entre personas que operan en el mismo mercado. …

… Hemos reputado desleal por infracción de los artículos 4 y 15 de la LCD la actuación de entidades financieras que deciden, de modo unilateral y sin comunicar la razón o la causa, la cancelación de cuentas corrientes abiertas por empresas que realizan diversas actividades de intermediación financiera.

Aunque las sentencias citadas se refieren a los servicios de pagos realizados por entidades remesadoras, la doctrina que expresan estimamos que es extrapolable al supuesto enjuiciado, tanto si se estima que el servicio prestado por Trustly es propiamente un servicio de pago, como entendemos, como si el servicio es de iniciación de pago. En uno y otro caso, se trata de una actividad lícita, que precisa de la apertura de cuentas corrientes en entidades de crédito. A este respecto, los accesos que deben facilitar las entidades gestoras de cuentas, se recogen en el Considerando 32 de la Directiva 2015 en estos términos: " Estos servicios de iniciación de pagos se basan en el acceso directo o indirecto de los proveedores de servicios de iniciación de pagos a las cuentas del ordenante. El proveedor de servicios de pago gestor de cuenta que proporcione un mecanismo de acceso indirecto debe permitir también el acceso directo para los proveedores de servicios de iniciación de pagos ". La nueva Directiva 2015 también vela porque la competencia entre las entidades se base en la buena fe y eviten prácticas obstruccionistas, de ahí que el art. 36 indique: " Los Estados miembros velarán por que las entidades de pago tengan acceso a los servicios de cuentas de pago de las entidades de crédito de forma objetiva, no discriminatoria y proporcionada. Dicho acceso será lo suficientemente amplio como para permitir que las entidades de pago presten servicios de pago sin obstáculos y con eficiencia. En caso de denegación, la entidad de crédito de que se trate expondrá a la autoridad competente la decisión debidamente motivada de la misma ."

Por tanto, podemos concluir que Caixabank ha cometido actos de competencia desleal de los arts. 4 y 15.2º de la LCD , lo que comporta confirmar que la sentencia del Juzgado Mercantil estime la demanda principal.

… no consideramos que la información suministrada por Trustly sea falsa o incorrecta o que la misma pueda provocar una falsa impresión de la realidad en los destinatarios. Tampoco apreciamos que dicha información produzca un error que incida en el comportamiento económico de los mencionados destinatarios.

La deslealtad de la práctica prohibida por el art. 20 de la LCD se anuda a la producción del riesgo de confusión, incluyendo el riesgo de asociación. El riesgo de confusión evoca el riesgo de equivocarse respecto a la procedencia de la prestación, es decir, respecto a la identificación del empresario o del establecimiento mercantil del que procede el producto. En el proceso de compra de productos, utilizando el sistema ofrecido por Trustly, aparece una pantalla con la denominación de Caixabank y de otras entidades bancarias. La utilización de esas denominaciones es únicamente para permitir al usuario elegir el banco en el que tiene abierta una cuenta bancaria desde la que va a hacer la transferencia. La propia pantalla ya informa que el servicio es ofrecido por Trustly y no por la entidad bancaria. Por tanto, no se aprecia que concurra el citado riesgo de confusión exigido por la práctica antijurídica invocada por la apelante.

… la actividad desarrollada por Trustly está aprobada actualmente por la LSP y la Directiva 2007 y está autorizada por el Banco de España y por la autoridad Sueca de Supervisión Financiera, sin que tengamos constancia de que la citada autorización del Banco de España haya sido recurrida….

…la página de Trustly no utiliza los signos distintos de Caixabank. En las condiciones generales y específicas, Trustly informa que no es un servicio asociado a la entidad bancaria, por lo que no se causa la impresión de que existan vínculos o conexión con un tercero.

… De todo lo expuesto, podemos concluir que Caixabank, de modo unilateral y sin comunicar la razón o la causa, canceló las cuentas corrientes que Trustly tenía abiertas en dicha entidad bancaria para realizar sus actividades de intermediación financiera, privándole con ello de poder conocer las causas concretas de dicha resolución y, en su caso, de poder activar los mecanismos de protección antes de que se hiciera efectiva la cancelación. Estos actos deben reputarse desleales en base a los arts. 4 y 15.2º de la LCD , lo que supone que Caixabank ha realizado actos de competencia desleal al cancelar tales cuentas bancarias. 73. Por tanto, debemos desestimar también el presente motivo del recurso de apelación y confirmar íntegramente la sentencia del Juzgado Mercantil.


Entradas relacionadas


No hay comentarios:

Archivo del blog