la operación fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el PSP. Esta norma es reproducida en el artículo 44 del RDSP sobre servicios de pago. Su contenido es altamente tuitivo para el consumidor y está redactado en los siguientes términos:
El registro del proveedor de servicios de pago o la utilización del instrumento de pago no bastarán para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones.
El RDSP sigue los principios de la PSD2 al indicar que en estos casos el registro de la utilización del instrumento de pago por el PSP no es suficiente para demostrar que la operación fue autorizada por el usuario, ni que este haya actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave de una o varias de sus obligaciones. Para poder exonerarse de su responsabilidad, el PSP debe demostrar que el usuario ha cometido fraude o negligencia grave en el cumplimiento de sus deberes. La actuación de los usuarios es fundamental para que proceda este derecho, en particular la diligencia en la custodia del instrumento de pago y en su obligación de notificar la pérdida o robo del instrumento, así como cualquier operación no autorizada.
5.1.2 El régimen obligacional
a) La actuación de los usuarios
A efectos de determinar la responsabilidad de las partes en el caso de operaciones fraudulentas, es necesario analizar la actuación de cada una de ellas y verificar la diligencia prestada en el cumplimiento de sus obligaciones. Las obligaciones básicas que corresponden a los usuarios se encuentran establecidas en el artículo 69 de la PSD2 y son reproducidas en el artículo 41 del RDSP, que indica lo siguiente:
El usuario de servicios de pago habilitado para utilizar un instrumento de pago:
a) utilizará el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago que deberán ser objetivas, no discriminatorias y proporcionadas y, en particular, en cuanto reciba un instrumento de pago, tomará todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas;
b) en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, lo notificará al proveedor de servicios de pago o a la entidad que este designe, sin demora indebida en cuanto tenga conocimiento de ello.
La utilización adecuada de la tarjeta implica el uso exclusivo del titular y el deber de custodia tanto del instrumento de pago como de las credenciales de seguridad personalizadas (claves secretas). Tradicionalmente, las condiciones generales de los contratos de emisión de tarjetas indican que se trata de un instrumento de uso exclusivo del titular. Aunque esta limitación se encuentra claramente determinada, en la práctica el mismo titular puede entregar el instrumento de pago o divulgar la información asociada a la tarjeta y las claves de seguridad a otra persona con la finalidad de realizar extracciones de dinero en cajeros automáticos o realizar operaciones en internet. La utilización por terceras personas, aunque haya sido autorizada por el titular, es ilegal y compromete la seguridad del instrumento de pago, a la vez que verifica un incumplimiento del deber de custodia. En estos casos la responsabilidad por el uso fraudulento debe imputarse al usuario, al entenderse que no ha sido diligente en su actuación y ha incumplido las obligaciones relacionadas con el deber de custodia y el uso adecuado del instrumento de pago. El principal problema que se advierte es la dificultad para el PSP de probar las situaciones descritas.
La obligación de notificación sobre las operaciones no autorizadas se encuentra directamente relacionada con el deber de custodia. En el momento en que el usuario ha tenido conocimiento de la pérdida, sustracción o utilización no autorizada de su instrumento de pago, debe notificarlo, sin demoras indebidas, al proveedor. El cumplimiento de este deber es fundamental, ya que una vez que el usuario ha notificado el extravío o sustracción de la tarjeta se libera de responsabilidad por posibles usos no autorizados, a menos que haya mediado una actuación fraudulenta de su parte, como explicamos anteriormente.
Las normas sobre el deber de notificación y la responsabilidad en el caso de operaciones de pago no autorizadas se introducen en la legislación sobre servicios de pago con la finalidad de garantizar la protección del usuario. Antes de la aprobación de estas normas, era frecuente la presencia de cláusulas en los contratos de emisión de tarjetas que atribuían la responsabilidad total al titular sobre las pérdidas derivadas de la utilización no autorizada del instrumento de pago, cuando este no notificaba de inmediato el extravío o robo de la tarjeta. Estas cláusulas fueron analizadas por la jurisprudencia española en diversas ocasiones y fueron consideradas abusivas en la mayoría de los casos. El Tribunal Supremo español, en una sentencia del 16 de diciembre del 2009, declaró que
las fórmulas “de manera inmediata”, “urgentemente”, “de inmediato”, y “a la mayor brevedad”, incluidas en las cláusulas de los contratos de emisión de tarjetas orientadas a regular la responsabilidad de los usuarios, son imprecisas, inciertas y abusivas, y deben sustituirse por la de “sin demora indebida”, cuando se tenga conocimiento del hecho. (Tribunal Supremo de España [TSE], 2009)
b) Las obligaciones del emisor frente a los usuarios
El contrato de emisión, en su condición de contrato marco, está sometido a la regulación sobre servicios de pago y a la normativa especial que regula los contratos de adhesión. El emisor debe cumplir las obligaciones de suministrar toda la información relacionada con el contrato y de redactar las CGC siguiendo lo establecido en la legislación correspondiente.
En relación con el uso del instrumento de pago, el emisor se obliga a la emisión y gestión del medio pago, a garantizar su correcto funcionamiento y seguridad, al registro de las operaciones realizadas y abstenerse de enviar instrumentos de pago no solicitados. De acuerdo con las previsiones del artículo 70 de la PSD2, los emisores deben velar por la seguridad de las operaciones y del uso del instrumento de pago. La norma les impone el deber de asegurarse de que las credenciales personalizadas de seguridad solo sean accesibles para el usuario. También los obliga a garantizar la disponibilidad, en todo momento, de medios adecuados y gratuitos que permitan a los usuarios efectuar las notificaciones sobre las operaciones no autorizadas y a impedir la utilización del instrumento de pago una vez que se ha realizado la notificación. El cumplimiento de esta obligación es fundamental para que los usuarios puedan solicitar la anulación de la operación no autorizada y la devolución del importe cargado indebidamente. La falta de medios de comunicación que impida el cumplimiento de los deberes de los usuarios trasladará de inmediato la responsabilidad del emisor en el caso de una operación de pago no autorizada.
Una vez que el usuario ha notificado la existencia de una operación no autorizada, surge para el emisor la obligación de devolución del monto total cargado indebidamente, salvo una posible actuación fraudulenta del titular del instrumento de pago, como veremos seguidamente.
5.1.3 La protección de los usuarios en el caso de operaciones no autorizadas
Como hemos resaltado a lo largo de esta investigación, uno de los aspectos que mayor preocupación generan en las instancias internacionales que se encargan de velar por la adecuada protección de los consumidores en el entorno electrónico está directamente relacionado con la determinación de la responsabilidad en el supuesto de operaciones de pago no autorizadas.
En España, antes de la aprobación de la legislación sobre servicios de pago, las operaciones no autorizadas en los pagos con tarjeta estaban reguladas en la normativa sectorial protectora de los consumidores y era aplicable únicamente a la contratación a distancia. La Ley de Servicios de Pago (LSP) del 2009, texto que
