Compliance, el delito de estafa y el deber de autoprotección de las personas jurídicas

Compliance, el delito de estafa y el deber de autoprotección de las personas jurídicas

Tribuna de Valvanera Campos, abogada de ECIJA

Recién inaugurado el año 2022 es  público y notorio las ventajas que aporta la implantación de un programa de compliance a la hora de delimitar la responsabilidad a las personas jurídicas. Por tanto, no es baladí ni reiterativo recordar su importancia en aras de evitar lo que se denomina como la “autopuesta en peligro” de las empresas en los casos en los que se permite o se llega a pasar por alto ciertos mecanismos de control escudándose en la confianza depositada en sus empleados.

 

La reciente Sentencia del Tribunal Supremo nº 904/2021, de 24 de Noviembre de 2021, nos viene a recordar como las mercantiles perjudicadas no pierden su carácter de víctimas pese a la falta de implantación de mecanismos de compliance en su organización. Si bien el compliance se presenta como un programa de cumplimiento voluntario, únicamente tendente a favorecer a la propia empresa, el incumplimiento o dejación de sus deberes de autoprotección puede llegar a jugar en contra de la mercantil y desplazar la culpa de los ilícitos penales que se cometan por sus empleados en el seno de su organización.

En el supuesto de hecho de la sentencia citada, nos encontramos, principalmente, con la comisión de un delito continuado de estafa por una trabajadora de dos empresas, quien, aprovechándose de sus visitas periódicas a sucursales bancarias en el Banco Santander y Caixabank, y valiéndose de la confianza adquirida con los empleados, solicitaba la entrega de talonarios de cheques, a pesar de no ser la titular de las cuentas ni tener autorización. Obtenidos de esta forma, procedía a manipular los registros contables de la sociedad, llegando a defraudar una cantidad de más de un millón de euros durante los diez años que se tardó en detectar la dinámica fraudulenta.

Antes de proceder a un análisis más exhaustivo, adelantar que las entidades bancarias también han sido condenadas como responsables civiles subsidiarias por la actuación negligente de sus empleados al incumplir los mínimos de verificación impuestos en su normativa interna.

La principal cuestión jurídica sobre la que se quiere incidir la encontramos en el primer motivo del recurso de casación planteado por la defensa de la acusada: ¿la falta de este deber de autoprotección de las empresas puede llevar a no apreciar los elementos del tipo del delito de estafa? Depende.

No es la primera vez que se plantea, tanto por la doctrina como por sentencias anteriores, si es posible hablar de “engaño bastante[1]”, elemento del tipo necesario en todo delito de estafa, en los casos en los que podría haberse evitado con una actuación diligente por parte de la víctima (en este caso sería advirtiendo las falsedades asentadas en la contabilidad, al estar las cuentas a su alcance y los cargos injustificados podían consultarse en la cuenta bancaria de la que tenían permanente acceso).

El engaño, en principio, podría ser considerado como “bastante” cuando es capaz de vencer los mecanismos de autoprotección que le son exigibles a la víctima, pero ¿y si no existen esos mecanismos de autoprotección?.

En STS nº1024/2007 de 30 de Noviembre 2007 se establece que “en aquellos casos en los que la propia indolencia y un sentido de la credulidad no merecedor de tutela penal hayan estado en el origen del acto dispositivo, es entendible que se niegue el juicio de tipicidad que define el delito de estafa”.

En consecuencia, en estos juicios de idoneidad es indudable la importancia que tiene el principio de autorresponsabilidad como delimitador de la idoneidad típica del engaño en el delito de estafa, debiéndose entender que una “confianza plena” o un “cheque en blanco” a favor de sus empleados desvirtúan el elemento del tipo objetivo del delito de estafa.

Me atrevo a afirmar que, si bien debe analizarse caso por caso, los delitos de estafa cometidos en el seno de la empresa no pueden quedar impunes escudándose en un abuso de confianza o falta de implantación del compliance en la empresa perjudicada. Así lo declara el Tribunal Supremo:

una cosa es que las empresas estén hoy en día adoptando e implementando programas de compliance, cada vez en mayor medida por la alta especialización de profesionales que lo están trasladando al sector empresarial a fin de evitar fraude interno -como aquí ha ocurrido- y externo con estos mecanismos de vigilancia, y otra bien distinta es que sea el autor de un delito de estafa quien marque los parámetros y medidas que debe adoptar la empresa para protegerse, y que si no se hace en una elevada graduación de autotutela quedará exonerado el autor del ilícito penal, lo que, obviamente, no puede admitirse”(…)

Si bien esto debe ser matizado. El delito de estafa no incluye como requisito típico otras exigencias de autoprotección adicionales de las que están implícitas en la expresión “engaño bastante”. Es decir, este engaño debe ser adecuado y no permitido tácitamente por la empresa para desplegar el error en el tercero, no bastando una simple negligencia en la organización de la empresa para descartar el delito de estafa. En este caso, así fue, el perjuicio patrimonial se produjo y por la complejidad de la operativa únicamente pudo detectarse el fraude mediante una auditoría externa. Por lo tanto, no hubo negligencia grave o permitida, desestimándose el motivo de casación de la defensa en aras de desvirtuar el delito de estafa.

 

Por lo tanto, la propia inexistencia de una medida de «autoprotección» de la empresa con el programa de cumplimiento normativo, no puede entenderse más allá que un propio error interno de la empresa que solo puede favorecerle, no perjudicarle de manera directa, y por tanto, debe quedar claro que, que haya tenido más o menos facilidad para eludir los mínimos o mayores controles internos, no reduce el quantum de la estafa ni mucho menos puede desplazar su autoría.

En este sentido, encontramos sentencias[2] del Alto Tribunal  recordando que “un robo sigue siendo un robo aunque la víctima se haya comportado despreocupadamente con sus cosas”. Sin embargo, esta declaración no debe tomarse en términos absolutos especialmente en el caso de las personas jurídicas, y debe invitar a la reflexión respecto al alcance del deber de autorresponsabilidad, especialmente en aquellas que no cuenten con un programa de compliance.

[1] STS 1276/2006 de 20 de Diciembre de 2006 define el engaño bastante como: “Se añade que el engaño sea bastante para producir error en el otro (STS 29.5.2002) es decir que sea capaz en un doble sentido: primero para traspasar lo ilícito civil y penetrar en la ilicitud penal, y en segundo lugar, que sea idóneo, relevante y adecuado para producir el error que genera el fraude, no bastando un error burdo, fantástico o inaccedible, incapaz de mover la voluntad de las personas (…)”

[2] STS 162/2012, de 15 de marzo y 243/2012 de 30 de Marzo.

Validez de la firma electrónica

Validez de la firma electrónica

Tribuna de Lara Puyol, abogada de ECIJA

Actualmente las operaciones o contrataciones a distancia forman parte de nuestro día a día, tanto desde el punto de vista laboral (si eres empleado o empresa), como desde el punto de vista de contratación de productos o servicios con entidades bancarias, aseguradoras, etc. En este sentido, es evidente que estamos cada vez más acostumbrados a gestionar este tipo de operaciones a través de medios electrónicos o desde entornos on-line.

La firma electrónica es, hoy en día, un instrumento fundamental mediante el que las organizaciones y ciudadanos llevan a cabo multitud de operaciones, pero ¿tiene la misma validez cualquier tipo de firma plasmada en formato electrónico? ¿Cómo debe ser una firma electrónica para que surta plenos efectos jurídicos sobre el documento que se está firmando? ¿Qué dice nuestra normativa al respecto?

Algunas sentencias relevantes    

Recientemente, hemos conocido casos en los que se evaluaba la validez de la firma presentada en el marco de distintas operaciones y que sirven de referencia para conocer cuáles son las cuestiones que se están planteando ante los tribunales.

Falta de pruebas que acrediten la firma electrónica

En enero de 2021 conocimos una sentencia en la que la Audiencia Provincial de Lleida revocaba la sentencia de primera instancia y absolvía a la demandada del pago de la cantidad reclamada por no poder probar (por la entidad crediticia) que la firma que consta en el contrato es efectivamente de la demandada. Cabe recordar que, de acuerdo con el artículo 326. 2 de la Ley de Enjuiciamiento Civil, cuando se impugnare la autenticidad de un documento privado, el que lo haya presentado puede pedir cualquier medio de prueba que resulte útil y pertinente al efecto.

Pues bien, el sistema utilizado para llevar a cabo la firma  (DocuSign) resultó no ser suficiente para acreditar que el firmante es quien dice ser. En concreto, dicho sistema consistía en el envío de los documentos objeto de firma por correo electrónico a su destinatario para que este los firme y devuelva, electrónicamente, el documento firmado. El aspecto clave en este caso es la ausencia de autenticación del firmante puesto que, queda acreditado que el sistema no utiliza medios de autenticación reforzada del firmante y, por tanto, en ningún momento se comprueba que quien recibió el correo para la firma del documento y quien lo envía con posterioridad firmado, es efectivamente la misma persona.

La sentencia concluye que estamos ante un simple documento privado cuya firma  enviada por medios electrónicos no había podido ser acreditada ni constatada por quién la impugnó por ausencia de pruebas en la autenticación del firmante que constatasen que la firma realizada corresponde a la persona que efectivamente debía firmar.

SAP L 54/2021 – ECLI:ES:APL:2021:54

Uso de certificado cualificado de firma en un documento que es escaneado

Por su parte, una Sentencia del Tribunal de Justicia de mayo de 2020, declaró inadmisible la presentación de un recurso por falta de firma manuscrita.  Y es que, según declaró este Tribunal, las firmas que aportaban los abogados en el documento (se trataba de una demanda), que tenían apariencia de firma manuscrita, indicaban en el propio documento en papel “Firmadas digitalmente por [ Nombre del Abogado]”. En este caso, el documento original objeto de firma se entregaba en soporte papel y los abogados que firmaron la demanda lo hicieron con sus certificados electrónicos imprimiendo los documentos para su entrega.

El Tribunal de Justicia declaró que los datos relativos a esas firmas eran meras menciones impresas, por lo que no cabía considerar que las mismas supusieran una firma electrónica cualificada como alegó la parte recurrida, puesto que la demanda no se presentaba por medios electrónicos. Reforzando el argumento de Tribunal este concluyó que, aunque las firmas tenían apariencia de ser firmas manuscritas e incluían la fecha y hora del momento de la misma (de acuerdo con el uso de certificados cualificados de firma electrónica), las firmas incluidas resultaban imágenes escaneadas de dichas firmas, y por tanto las mismas eran meras impresiones en papel de un documento electrónico. Por todo ello, este Tribunal negó el hecho de considerar las mismas firmas electrónicas cualificadas o firmas manuscritas, teniendo así consideración de firmas escaneadas, careciendo de los efectos jurídicos que sí puede ofrecer una firma electrónica cualificada.

C-309/19 P: Asociación de fabricantes de morcilla de Burgos/Comisión

Firma en el marco de un contrato laboral

En la misma línea, otra sentencia dictaminó, en el marco de un contrato laboral de un jugador de futbol profesional, que la firma escaneada y enviada por correo electrónico no resultaba admisible, en ningún caso, dentro del ámbito en el que se desarrolló (contrato laboral) alegándose que una firma de estas características es fácilmente manipulable, no pudiendo acreditarse fehacientemente que el firmante es quién dice ser.

Roj: SJSO 16/2017 – ECLI: ES:JSO:2017:16

Cabe señalar que, en el ámbito laboral, es especialmente recomendable utilizar una firma cualificada que es la que ofrece más garantías de autoría, integridad y autenticidad del consentimiento prestado por el firmante y se equipara a la firma manuscrita. Y es que esta firma supone un paso adicional en la legitimidad, seguridad y control de la firma electrónica, cumpliendo con los requisitos de la firma avanzada pero además es creada mediante un dispositivo cualificado de creación de firmas electrónicas y está basada en un certificado cualificado de firma electrónica (emitido por un prestador de servicios cualificado). Sin embargo, en el ámbito privado, no resulta obligatoria por lo que el uso de cualquier otra firma que no presente los requisitos exactos de una firma cualificada, no debe invalidarse por defecto.

De los casos anteriormente expuestos puede deducirse que uno de los aspectos clave a tener en cuenta cuando queremos realizar operaciones vía electrónica, es contar con las evidencias suficientes que puedan acreditar en definitiva la autenticidad del firmante y la integridad del documento firmado. Pero ¿qué aspectos deberíamos conocer para valorar si estamos ante la firma electrónica que regula nuestra normativa?

Consideraciones respecto a la validez de la firma electrónica

La firma electrónica persigue garantizar, igual que la firma manuscrita tradicional, la autoría de la firma y la integridad del documento asociado a ésta, de manera que se genere una confianza suficiente hacia terceros respecto al firmante que está vinculado al documento electrónico objeto de la firma. En definitiva, trata de garantizar la identidad del firmante, el no repudio y la autenticidad e integridad del documento firmado. De estos elementos, dependerá precisamente el nivel de eficacia y validez de la firma electrónica realizada en el marco de una operación concreta.

Partiendo de estas premisas, cabe diferenciar lo que sería una firma electrónica regulada por nuestra normativa principal en la materia (Reglamento (UE) Nº 910/2014, o reglamento “eIDAS ) y una firma digitalizada, esto es, aquella que se genera por la conversión del trazo de una firma en una imagen (como puede ser, la que obtienes una vez la escaneas el documento en cuestión, en línea con los casos citados). Si bien, aunque las firmas digitalizadas son legales, lo cierto es que, como hemos podido ver en los casos antes expuestos, no ofrecen garantía respecto a la identidad del firmante por si solas.

En la práctica, nuestra normativa regula la firma electrónica simple o básica (aunque no tiene esta denominación oficial por nuestra normativa) como puede ser, el uso de un usuario y contraseña, por otro lado,  la firma avanzada (cumpliendo los requisitos del artículo 26 de eIDAS) y la firma cualificada (basada en un certificado cualificado y que es creada mediante un dispositivo seguro de creación de firma), teniendo la primera, el nivel más bajo de seguridad y por tanto siendo más complicado acreditar las garantías de seguridad de la firma y, la firma cualificada la que presentaría un nivel de  seguridad más alto, cuyos efectos se equiparan a la firma manuscrita.

No obstante, debe tenerse presente que el hecho de que una firma esté en formato electrónico o no cumpla con los requisitos de una firma electrónica cualificada, no supone que la firma no pueda ser admitida como prueba por un juez, tal y como indica el considerando 49 de eIDAS.

Según lo anterior, dependiendo de la relevancia y las obligaciones jurídicas de la transacción u operación que queramos realizar, podrá ser suficiente una firma simple o, por el contrario, ser más recomendable utilizar una firma avanzada o cualificada.

Requisitos de una firma avanzada

En el marco de un proceso judicial donde se esté analizando la validez de la firma electrónica utilizada, la firma avanzada será aquella que pueda garantizar los siguientes requisitos:

  • Que se encuentre vinculada de manera única al firmante, esto es, solo puede ser utilizada por el titular de la firma y esta ligada directamente a este.

 

  • Adicionalmente al “grafo” de la propia firma, es aquella que identifica al firmante con mecanismos adicionales, como puede ser la solicitud de algún tipo de acreditación de la identidad del titular que le autentique y puede comprobarse en un alto grado de confianza que el firmante es efectivamente el titular de la misma.

 

  • Que la firma ha sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, de tal forma que el proceso de generación de firma ha requerido al usuario al menos dos de tres factores, como son, el factor de conocimiento (conocimiento de una contraseña), tenencia (dispositivo utilizado) o inherencia (por ejemplo, la huella dactilar) en el momento de realizar el firmado del documento en cuestión.

 

  • Que la firma se encuentra vinculada con la información firmada por la misma de modo tal que cualquier modificación ulterior del documento pueda ser detectable, de tal forma que el sistema de firma utilizado garantice que el documento firmado se encuentra asociado, de forma inexorable a la firma en cuestión, por ejemplo, mediante un algoritmo unidireccional seguro, la función resumen (o hash) del documento en cuestión.

Así pues, algunos casos de uso que podrían considerarse una firma avanzada podrían ser:

  • Firmar el documento utilizando una doble autenticación del firmante, como por ejemplo, a través de sistemas OTP (One Time Password) que, junto con el uso de certificados electrónicos o de sellos de tiempo cualificados garanticen la integridad del documento ante posibles modificaciones posteriores del mismo.

 

  • A través de una firma biométrica en la que los datos recogidos sean inherentes al firmante (rasgos faciales, huella dactilar o grafo) a través de los cuales puedan determinarse, por ejemplo en el caso de la firma ológrafa, la velocidad y presión ejercida para la firma). Otro ejemplo de firma avanzada, podría ser aquella firma biométrica que se realiza sobre un dispositivo que cuente con  una pantalla resistiva capaz de captar datos biométricos ejercidos sobre la misma. Este factor inherente junto con otros mecanismos utilizados en el momento de la identificación y autenticación del firmante, y con medios que doten de integridad al documento firmado y a la propia firma, podría generar un sistema robusto de firma con las garantías de seguridad suficientes para acreditar que el sujeto que firmó es quien dice ser.

Sin perjuicio de los casos descritos todo proceso quedará sujeto, en caso de impugnación o repudio de la firma, a una prueba por peritos expertos que, en definitiva, valide y acredite las evidencias generadas en los procesos de firmado y demuestren ante el juez que efectivamente la persona que firmó es quién dice ser.

Conclusiones

Como hemos visto, existen diversas modalidades de firma que pueden llegar a demostrar que estamos ante una firma electrónica cuya acreditación depende fundamentalmente de las evidencias recogidas durante todas las fases del proceso de firmado.

En esta línea, parece evidente que, para demostrar en el marco de un procedimiento judicial, si una firma electrónica cuenta con plenos efectos jurídicos debe realizarse un análisis pormenorizado de todo el proceso desde los medios de la recogida inicial de los datos identificativos del firmante hasta la inclusión de la firma en el documento, pudiendo ser demostrado por la intervención de un perito experto en la materia.

Asimismo, en todo proceso de firmado, resulta relevante la fase de identificación y autenticación previa del firmante, así como los medios técnicos que se utilicen para firmar (dispositivos concretos) o la relevancia del formato en el cual se presenta el documento original que posteriormente es objeto de firma.

Nuestra normativa deja en manos de los jueces la decisión de validez de las firmas, sin perder el foco en dos aspectos clave: por un lado, la acreditación de la autenticidad durante el proceso y, por otro lado, la integridad de la firma y del documento objeto de firma para evitar un posible delito de usurpación de la identidad o la falta de evidencias técnicas, que supongan como consecuencia, la anulación del contrato o documento objeto de firma.