Uno de los elementos más importantes del deber de información, impuesto originalmente en las directivas comunitarias, se relaciona con la obligación de especificar las salvaguardias y las medidas correctivas. En este sentido, el contrato debe incluir la descripción de las medidas que el usuario habrá de adoptar para preservar la seguridad del instrumento de pago, la forma en que deberá notificarse el extravío, robo o sustracción o cualquier operación de pago no autorizada y la responsabilidad del PSP en estos casos.
El consumidor también tiene derecho a recibir la información básica sobre las operaciones de pago efectuadas. De acuerdo con lo previsto en la PSD2, los Estados miembros están autorizados a establecer normas para que los extractos mensuales (en papel o en formato electrónico) sean gratuitos. El contrato marco entre el PSP y el usuario debe estipular la forma en que se facilitará este tipo de información, y puede preverse, por ejemplo, que en las operaciones por internet toda la información esté disponible en línea.
b) El derecho a la anulación de los cargos indebidos y a la devolución del importe de la transacción
Siguiendo los lineamientos internacionales sobre protección al consumidor, tanto la PSD2 como la legislación española reconocen el derecho a anular las operaciones de pago. El artículo 72 de la PSD2 establece que, cuando un usuario niegue haber autorizado una operación de pago o alegue que esta se ejecutó incorrectamente, el PSP (el emisor de la tarjeta) debe demostrar que la operación fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el PSP. Esta norma es reproducida en el artículo 44 del RDSP sobre servicios de pago. Su contenido es altamente tuitivo para el consumidor y está redactado en los siguientes términos:
El registro del proveedor de servicios de pago o la utilización del instrumento de pago no bastarán para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones.
El RDSP sigue los principios de la PSD2 al indicar que en estos casos el registro de la utilización del instrumento de pago por el PSP no es suficiente para demostrar que la operación fue autorizada por el usuario, ni que este haya actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave de una o varias de sus obligaciones. Para poder exonerarse de su responsabilidad, el PSP debe demostrar que el usuario ha cometido fraude o negligencia grave en el cumplimiento de sus deberes. La actuación de los usuarios es fundamental para que proceda este derecho, en particular la diligencia en la custodia del instrumento de pago y en su obligación de notificar la pérdida o robo del instrumento, así como cualquier operación no autorizada.
5.1.2 El régimen obligacional
a) La actuación de los usuarios
A efectos de determinar la responsabilidad de las partes en el caso de operaciones fraudulentas, es necesario analizar la actuación de cada una de ellas y verificar la diligencia prestada en el cumplimiento de sus obligaciones. Las obligaciones básicas que corresponden a los usuarios se encuentran establecidas en el artículo 69 de la PSD2 y son reproducidas en el artículo 41 del RDSP, que indica lo siguiente:
El usuario de servicios de pago habilitado para utilizar un instrumento de pago:
a) utilizará el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago que deberán ser objetivas, no discriminatorias y proporcionadas y, en particular, en cuanto reciba un instrumento de pago, tomará todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas;
b) en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, lo notificará al proveedor de servicios de pago o a la entidad que este designe, sin demora indebida en cuanto tenga conocimiento de ello.
La utilización adecuada de la tarjeta implica el uso exclusivo del titular y el deber de custodia tanto del instrumento de pago como de las credenciales de seguridad personalizadas (claves secretas). Tradicionalmente, las condiciones generales de los contratos de emisión de tarjetas indican que se trata de un instrumento de uso exclusivo del titular. Aunque esta limitación se encuentra claramente determinada, en la práctica el mismo titular puede entregar el instrumento de pago o divulgar la información asociada a la tarjeta y las claves de seguridad a otra persona con la finalidad de realizar extracciones de dinero en cajeros automáticos o realizar operaciones en internet. La utilización por terceras personas, aunque haya sido autorizada por el titular, es ilegal y compromete la seguridad del instrumento de pago, a la vez que verifica un incumplimiento del deber de custodia. En estos casos la responsabilidad por el uso fraudulento debe imputarse al usuario, al entenderse que no ha sido diligente en su actuación y ha incumplido las obligaciones relacionadas con el deber de custodia y el uso adecuado del instrumento de pago. El principal problema que se advierte es la dificultad para el PSP de probar las situaciones descritas.
La obligación de notificación sobre las operaciones no autorizadas se encuentra directamente relacionada con el deber de custodia. En el momento en que el usuario ha tenido conocimiento de la pérdida, sustracción o utilización no autorizada de su instrumento de pago, debe notificarlo, sin demoras indebidas, al proveedor. El cumplimiento de este deber es fundamental, ya que una vez que el usuario ha notificado el extravío o sustracción de la tarjeta se libera de responsabilidad por posibles usos no autorizados, a menos que haya mediado una actuación fraudulenta de su parte, como explicamos anteriormente.
Las normas sobre el deber de notificación y la responsabilidad en el caso de operaciones de pago no autorizadas se introducen en la legislación sobre servicios de pago con la finalidad de garantizar la protección del usuario. Antes de la aprobación de estas normas, era frecuente la presencia de cláusulas en los contratos de emisión de tarjetas que atribuían la responsabilidad total al titular sobre las pérdidas derivadas de la utilización no autorizada del instrumento de pago, cuando este no notificaba de inmediato el extravío o robo de la tarjeta. Estas cláusulas fueron analizadas por la jurisprudencia española en diversas ocasiones y fueron consideradas abusivas en la mayoría de los casos. El Tribunal Supremo español, en una sentencia del 16 de diciembre del 2009, declaró que
las fórmulas “de manera inmediata”, “urgentemente”, “de inmediato”, y “a la mayor brevedad”, incluidas en las cláusulas de los contratos de emisión de tarjetas orientadas a regular la responsabilidad de los usuarios, son imprecisas, inciertas y abusivas, y deben sustituirse por la de “sin demora indebida”, cuando se tenga conocimiento del hecho. (Tribunal Supremo de España [TSE], 2009)
b) Las obligaciones del emisor frente a los usuarios
El contrato de emisión, en su condición de contrato marco, está sometido a la regulación sobre servicios de pago y a la normativa especial que regula los contratos de adhesión. El emisor debe cumplir las obligaciones de suministrar toda la información relacionada con el contrato y de redactar las CGC siguiendo lo establecido en la legislación correspondiente.
En relación con el uso del instrumento de pago, el emisor se obliga a la emisión y gestión del medio pago, a garantizar su correcto funcionamiento y seguridad, al registro de las operaciones realizadas y abstenerse de enviar instrumentos de pago no solicitados. De acuerdo con las previsiones del artículo 70 de la PSD2, los emisores deben velar por la seguridad de las operaciones y del uso del instrumento de pago. La norma les impone el deber de asegurarse de que las credenciales personalizadas de seguridad solo sean accesibles para el usuario. También los obliga a garantizar la disponibilidad, en todo momento, de medios adecuados y gratuitos que permitan a los usuarios efectuar las notificaciones sobre las operaciones no autorizadas y a