No te puedes fiar de CAJAMAR

 Responsabilidad del ordenante por operaciones de pago no autorizadas derivadas de la utilización de un instrumento de pago extraviado o sustraído

El artículo 32 de la LSP preveía que el ordenante tan solo soportaría hasta un máximo de 150 euros —desde el 24 de febrero de 2019 se ha reducido a 50 euros, por mor de lo dispuesto en el vigente RDLSP116— de las pérdidas derivadas de la utilización de un instrumento de pago extraviado o sustraído, salvo que la operación de pago no autorizada fuera fruto de una actuación fraudulenta del ordenante o del incumplimiento deliberado o por negligencia grave de sus obligaciones, en cuyo caso este soportará el total de las pérdidas derivadas de las operaciones de pago no autorizadas. 
Por otra parte, el ordenante no soportará consecuencia económica alguna derivada del uso fraudulento de la tarjeta extraviada o sustraída con posterioridad a la notificación a la entidad del extravío, la sustracción o la utilización no autorizada del instrumento de pago. 
 En cuanto a la enervación por parte de las entidades del límite de responsabilidad descrito, es criterio reiterado de este DCMR considerar que, en última instancia, habrán de ser los tribunales de justicia, y no las entidades de crédito como parte interesada, los que deberán valorar y determinar, en su caso, la existencia de una conducta fraudulenta o el incumplimiento, deliberado o por negligencia grave, de las obligaciones que corresponden al titular en relación con el instrumento de pago 

Fraude con datos de tarjetas
Dentro del apartado que ahora analizamos, y en lo que respecta a la responsabilidad del servicio de pago por operaciones de pago no autorizadas, cabe incluir, a juicio del DCMR, aquellas en las que el titular no ha perdido la posesión del plástico. En estos casos, para demostrar que las operaciones de pago fueron autenticadas, registradas con exactitud y contabilizadas, las entidades financieras aportan con frecuencia copia de sus registros internos, en los que se reflejan diferentes datos sobre la ejecución de las distintas operaciones de pago. 
El DCMR ha venido considerando que, además de la aportación de dichos registros, en caso necesario, deben aportar una explicación de su contenido. Por lo que respecta a la presentación de la documentación justificativa de las operaciones controvertidas, una dificultad añadida aparece cuando la utilización de la tarjeta se produce a distancia, por Internet, utilizando únicamente los datos de aquella en conjunción, en su caso, con otros dispositivos o códigos de seguridad. 
Las entidades emisoras de las tarjetas suelen aportar, para acreditar tanto la autenticación por parte del titular (no olvidemos que en operaciones a distancia no se puede realizar una identificación presencial del portador de la tarjeta) como la autorización de la operación, copia de los registros internos, que, a su vez, les facilitan las redes o las entidades globales. En cualquier caso, desde el punto de vista del cumplimiento de la normativa sobre servicios de pago y de las buenas prácticas con las que se debe proceder con la clientela, resulta imprescindible que la forma de prestar el consentimiento para la realización de las operaciones de pago esté acordada con el cliente y se encuentre debidamente recogida en el contrato, todo ello en los términos que señala la normativa de servicios de pago. Además, con respecto a esta cuestión, resulta oportuno recordar las ya citadas directrices de la ABE sobre la seguridad de los pagos por Internet, que fueron adoptadas como propias por la Comisión Ejecutiva del Banco de España en su sesión del 24 de marzo de 2015117 y que han sido incorporadas al derecho positivo a través de las normas sobre seguridad del vigente Real Decreto-ley 19/2018. Estas previsiones establecen un conjunto de requisitos mínimos de seguridad en la lucha contra el fraude, y su finalidad es aumentar la confianza del consumidor en los servicios de pago por Internet. Así, recomiendan, con carácter general —salvo en ciertas excepciones118—, que los proveedores de servicios de pago, para autorizar las operaciones de pago por Internet o para modificar datos sensibles, usen  procedimientos de autenticación fuerte del cliente, que se definen como aquellos basados en el uso de dos o más de los siguientes elementos, clasificados como conocimiento, posesión e inherencia:
i) Algo que solo conoce el usuario: por ejemplo, una contraseña, un código o un número de identificación personal fijos. 
ii) Algo que solo posee el usuario: por ejemplo, token, tarjeta inteligente, teléfono móvil.
iii) Algo que caracteriza al propio usuario: por ejemplo, una característica biométrica, como su huella dactilar. 
Tales elementos, según la ABE, deben ser independientes entre sí (es decir, la violación de uno no debe comprometer la seguridad de los otros), y al menos uno de ellos no debe ser reutilizable ni reproducible, ni debe resultar posible su sustracción, de manera subrepticia a través de Internet. 
Del contenido de dichas directrices también interesa destacar su punto 5, que establece que los proveedores de servicios de pago deben contar con procesos que garanticen que todas las operaciones, así como el flujo del proceso del mandato electrónico, quedan adecuadamente registradas 
Por lo tanto, resulta esencial que las operaciones de pago autorizadas por internet queden adecuadamente explicadas, con especial referencia a la forma en que se autenticó el titular y el modo en que se prestó el consentimiento a la operación realizada, también para poder comprobar si la operativa se ajusta a lo establecido en las directrices. Si la entidad emisora de la tarjeta no dispusiera de documentación suficiente, deberá recabarse de los sistemas de tarjetas, redes o plataformas, y/o de los establecimientos comerciales intervinientes.