La jurisprudencia menor se ha pronunciado en repetidas ocasiones acerca de la diligencia exigible a las entidades bancarias en relación a las operaciones de pago no autorizadas por los titulares de la cuenta corriente y/o tarjeta de crédito. Podemos citar las siguientes sentencias:
En palabras de la Sentencia número 819/2022, de 7 de septiembre, de la Audiencia Provincial (Secc. 5ª) de Zaragoza (1):
"SI bien la LEC impone a la actora la prueba del hecho constitutivo de su pretensión -en este supuesto la culpa o falta de diligencia del contratante que no cumple con sus obligaciones contractuales-, no cabe duda que en materia de medios de pago, en la que los clientes emplean dispositivos electrónicos y procedimientos previamente configurados por los intermediarios de pago para la ejecución de las ordenes de los disponentes, lo cierto es que la regla del juicio en esta materia ha resultado alterada, a juicio de este órgano revisor. La regla del art. 217.2 de la LEC cede y se produce una inversión de la carga de la prueba con fundamento en la complejidad técnica que presenta, tanto en su realización como en su control, que la ejecución de pagos por vía telemática.
Así, en primer lugar, cabe exponer que, como ya dijimos en la sentencia 804/2022, de 1 de julio, de esta Sección, la relación entre las partes impone, entre otros extremos, la existencia de una relación de cuenta corriente en la que la demandada asume responsabilidad de una diligente administración:
Antes de entrar en la específica legislación sectorial relativa a las responsabilidades derivadas de los diferentes sistemas de pago, hemos de recordar que estamos ante un contrato de cuenta corriente. Contrato reiteradamente estudiado por la doctrina y jurisprudencia. En él destaca sobre todo el denominado "Servicio de Caja" y que se puede encuadrar en nuestro ordenamiento jurídico dentro del marco general de la "comisión mercantil"( art 254 C. comercio ) y, por el cual el banco, en cuanto mandatario, ejecuta las instrucciones del cliente (abonos, cargos...) y, como contraprestación, recibe unas determinadas comisiones, asumiendo la responsabilidad propia de un comisionista. De esta manera, hay que destacar que la " cuenta corriente bancaria" cada vez va recabando mayor autonomía respecto al contrato de depósito, que le servía de base. De tal manera que la "Cta.Cte." sólo actúa como soporte contable, expresando una disponibilidad de fondos contra el banco que los retiene y que encuentra su causa tanto en operaciones de activo como de pasivo. Su autonomía la decide al salir del círculo "banco- cuentacorrentista", para realizarse mediante operaciones de caja, a través de las cuales se efectúan transferencias y pagos a terceros.
Por ello, de tal relación se derivan deberes de rendición de cuentas, de información ( arts 263 C.com y 1720 C.c , ley 26/88, de 29 -julio de Ordenación bancaria e intervención de las entidades de crédito) y el de actuar conforme a las instrucciones recibidas. Y, en tal caso, con la diligencia "quam in suis" ( art 255 C.com .) pues se responde por culpa, cuyo rigor será medido por el parámetro de que se trate o no de un mandato retribuido ( art 1726 C.c .).
Por ello, hay un deber de diligencia de la entidad depositaria y gerente del servicio de caja y el de una información precisa y detallada, pues la exigible es la de un "comerciante experto" y no la de un buen padre de familia. En este sentido, Ss. A.P. Zaragoza, secc 5ª, de 29-6-2007 , 17-5-2010 , La Coruña, Secc 3º, 13-1- 2006 y del T. S. 24-3-2006 .
En segundo lugar, debe destacarse que la regla del juicio del art. 217 sufre algunas variaciones peculiares en supuestos como el examinado, lo que no viene a ser sino una particular aplicación del principio de facilidad y proximidad probatoria ( art. 217.7 de la LEC). Pueden resumirse las mismas en la consideración de que es la entidad prestadora del servicio de pago quien está más cerca del objeto de la prueba, quien diseña, organiza, realiza y controla las operaciones de pago entre sus clientes y terceros, en definitiva, quien dispone de los mecanismos tecnológicos necesarios para ello, quien más los conoce y puede explicar por qué en un concreto supuesto, estos no funcionaron adecuadamente.
Así, el art 44 del Real Decreto-ley 19/2018, de 23 de noviembre, ya citado establece en su art. 44 una especial regulación de la carga de la prueba en esta materia:
Artículo 44. Prueba de la autenticación y ejecución de las operaciones de pago.
1. Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago.
Si el usuario de servicios de pago inicia la operación de pago a través de un proveedor de servicios de iniciación de pagos, corresponderá a éste demostrar que, dentro de su ámbito de competencia, la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable.
2. A los efectos de lo establecido en el apartado anterior, el registro por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 41.
3. Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave.
De la misma se desprende que no es suficiente que el prestador de los servicios de pago acredite la correcta ejecución técnica -registro, autentificación, contabilización y ausencia de fallos técnicos-. Esta prueba no supone necesariamente la imputación de la responsabilidad del pago inexacto o erróneo al cliente - ordenante-, sino que el nº 3 del mismo precepto impone la prueba del fraude o negligencia grave al proveedor de servicios.
Esto es, la específica norma examinada viene a imponer una inversión de la carga de la prueba, imponiéndole la prueba de la falta de culpa grave al proveedor de servicios, al demandado en este supuesto, cuando de las explicaciones dadas no resulte necesariamente la imputación el negligente proceder al cliente.
Puede citarse en el mismo sentido la sentencia de la AP de Zaragoza Sección Cuarta) nº 149/2021, de 7 de mayo.
/.../
En el presente supuesto, si bien ha sido finalmente en sede apelacion cuando el demandado ha reconocido con total claridad que las operaciones cuestionadas fueron realizadas y cargadas en la cuenta del actor, lo cierto es que la única explicación dada por este a lo largo del proceso es que el ordenante empleó las claves facilitadas y, conforme al método de autentificación reforzada o de doble paso configurado por el proveedor, se verificó el cumplimiento del mismo.
Concluye que, dado que se siguieron los procedimientos prefijados, no pudo haber un resultado distinto al que deseaba el ordenante.
La prueba practicada no lleva a estas conclusiones. Ciertamente, parece que se cumplieron las exigencias de verificación de las operaciones mediante las contraseñas y claves facilitadas y el uso del método de autentificación reforzada mediante la entrega para cada disposición de una clave específica mediante mensaje de texto al móvil del ordenante; lo que no se ha acreditado es quién hizo la disposición. El registro de la operación y su control podrá ser correcto, aunque la demandada no ha realizado ningún esfuerzo probatorio en este extremo, pero lo cierto es que de la prueba practicada no se acredita culpa alguna en el actor de tal disposición.
Con arreglo a su iter fáctico, el actor, que es un jubilado, esto es, una persona de cierta edad, obtiene por unos mensajes emitidos por la demandada la información de la existencia de diversas disposiciones en metálico. A partir de allí, se somete totalmente a las instrucciones de la demandada. Contacta con un numero de urgencia indicado por la demanda que anula su tarjeta, comunica a la entidad, también mediante número telefónico señalado por esta, las disposiciones que se dicen realizadas, espera a que se contabilicen los apuntes en su cuenta con la entidad y formula denuncia penal. Todo ello siguiendo instrucciones de la demandada. Por tanto, no explica la demandada qué obligaciones del art. 41 del Real Decreto-ley 19/2018, de 23 de noviembre, infringió la actora.
No nos dice siquiera la entidad demandada dónde reside la culpa del agente, sino que se limita a mantener que se emplearon las contraseñas y procedimientos fijados por ella, que las mismas fueron empleadas necesariamente por el actor y que, por tanto, la actuación del ordenante de los pagos es irregular, fraudulenta o negligente.
No es esta la distribución de la carga de la prueba que predica la ley de medios de pago, exige algo más que la confirmación de que se usaron los medios tecnológicos y las contraseñas facilitadas. La demandada se limita a esta mera invocación, por otra parte, sin la debida constancia probatoria o control de la mismas por experto alguno, ni técnico de la actora ni tercero ajeno a la misma. La sola afirmación de que todo el proceso de pago fue regular nunca puede permitir desplazar la carga de la prueba a la contraria.
Falta cualquier atisbo de explicación sobre si la actora pudo ser objeto de hackeo en su terminal, si hubo alguna filtración en el sistema, apoderamiento de claves por tercero o cualquier otra explicación de índole técnica más o menos fundada y apoyada en dictámenes de expertos que permita justificar lo sucedido y mantener que alguna de las actuaciones realizadas por el actor, en la conservación y mantenimiento técnico de su dispositivo móvil, en la necesaria conservación de la confidencialidad de sus claves, etc., fue la que ocasionó la obtención de datos para configurar unos pagos no deseados.
A falta de esta prueba, y reiterando que la mera manifestación de la demandada de que el proceso técnico de pago fue regular es insuficiente para enervar la carga de la prueba que la ley especial reguladora de los pagos le atribuye, el recurso ha de ser estimado y, por tanto, la demanda apreciada en su integridad."
Además, como indica la Sentencia número 804/2022, de 1 julio, de la Audiencia Provincial (Secc. 5ª) de Zaragoza (2):
"Dando un paso más en el acercamiento legislativo al caso enjuiciado, aparece la regulación de la contratación electrónica. Se puede definir ésta como aquella en que la oferta y la aceptación se tramita por medios electrónicos de tratamiento y almacenamiento de datos, conectados a una red de telecomunicaciones.
A ella hacen referencia la ley de Condiciones Generales de la Contratación 7/98 y el R.D. 1206/99, de 17-febrero. Pero, más explícitamente, la ley 34/02, de 11 julio de "Servicios de la Sociedad de la Información" en cuyos arts 27 y 28 establece la obligación del prestador de servicios de una información al destinatario que sea clara, comprensible e inequívoca.
También el Art 46 de la ley 7/96, de 15 de enero de Ordenamiento del Comercio Minorista (transposición de la Directiva 97/7 CE) y la ley 22/07 de 11 julio (art. 12 ) de Comercialización a Distancia de Servicios Financieros destinados a Consumidores (transposición de Directiva 2002/65/CE), establecen una protección especial al consumidor frente a la incertidumbre jurídica que produce el desarrollo de Internet y las nuevas tecnologías. Protección que se articula en la inmediata reposición o anulación de los cargos indebidos al titular del elemento o medio de pago utilizado indebida o fraudulentamente.
Con claridad manifiesta se expresa la normativa citada. Art. 46 LOCM: " Cuando el importe de una compra hubiese sido cargado fraudulenta o indebidamente utilizando el número de una tarjeta de pago, su titular, podrá exigir la inmediata anulación del cargo.En tal caso, las correspondientes anotaciones de adeudo y reabono en las cuentas del proveedor y del titular se efectuarán a la mayor brevedad".
El Art. 12 bis de la ley 34/02 , de servicios de la Sociedad de la información y de comercio electrónico obliga al proveedor de dichos servicios a realizar una información a sus clientes permanente, fácil, directa y gratuita sobre niveles de seguridad, restricción de correos no solicitados, filtrado de servicios de Internet no deseados, etc.
Cierran el círculo protector del cliente de servicios electrónicos, cuando, además, es consumidor, los arts 147 y 148 del R.D. leg. 1/07 de 16 de noviembre de defensa de consumidores y usuarios. Los prestadores de servicios responderán de los daños y perjuicios, salvo que prueben que han cumplido las exigencias y requisitos reglamentariamente establecidos y los demás cuidados y diligencia que exige la naturaleza del servicio. Más aún cuando se trata de servicios que por su propia naturaleza o por estar así reglamentariamente establecido, incluyan necesariamente niveles determinados de eficacia o seguridad, en condiciones objetivas de determinación.
Todo lo cual ya estaba en germen en el Art 1258 C. civil.
(...) Así llegamos a los objetivos previstos en la Directiva 2007/64/CE, transpuesta por la ley 16/09, de 13 -noviembre, de Servicios de Pago. Y cuya finalidad es el reforzamiento y protección de las usuarios de los servicios de pago, facilitando la aplicación operativa de los instrumentos de la zona única de pagos en euros (SEPA "Single Euro Payments Area").
Por ello, el Art 31 de dicha ley es tan contundente, siguiendo la estela de la legislación que le precedió.
Es decir, salvo una tardanza injustificada del usuario de los servicios en comunicar la irregularidad , " en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante le devolverá de inmediato el importe de la operación no autorizada y, en su caso, restablecerá la cuenta de pago en que haya adeudado dicho importe al estado que habría existido de no haberse efectuado la operación de pago no autorizada".
Por ello, salvo actuación fraudulenta, incumplimiento deliberado o negligencia grave del ordenante (art 32), la responsabilidad será del proveedor del servicio de pago, lo que supone que a él le corresponde la carga de la prueba de que la orden de pago " no se vio afectada por un fallo técnico o cualquier otra deficiencia" (art 30).
/.../
(...) En estas coordenadas, recogidas por la S.A.P. Zaragoza, Secc. 4ª, 215/2013, 14 de mayo, ha de enmarcarse el comportamiento sufrido por el demandante. La práctica delictiva denominada " phising", que proviene del inglés "pescar" y que es la contracción de "password harvesting fishing" (cosecha y pesca de contraseñas), en la que se utiliza a unas personas llamadas "muleros", que son las que abren una cuenta corriente a la que se trasfieren los fondos y estos a otra o bien disponen de los mismos, cobrando por ello una comisión.
Una modalidad fraudulenta, conocida por las entidades bancarias, que les exige aumentar medidas de seguridad específicas .
Los métodos empleados para este fraude son diversos, clonación de tarjetas, skimming o carcasa superpuesta, el pharming o introducirse en un servidor a través de hackers, capturando claves, contraseñas, etc.
En definitiva, como recuerda la S.A.P. Barcelona, secc.14, 151/2013, de 7 de marzo, el banco no puede ofrecer un sistema on line sin adoptar las medidas de seguridad necesarias, ya que es la entidad la que ofrece ese servicio con conocimiento de los riesgos que comporta.
De acuerdo con la Agencia Española de Protección de Datos (Resolución del Expediente Nº : NUM000, DE 24 DE MAYO DE 2006): " el objetivo de los ataques de "phishing" es la obtención de forma engañosa y fraudulenta de los códigos de usuarios y contraseñas de clientes de Banca Electrónica, al objeto de realizar transferencias no autorizadas...Su operatoria comienza con la adquisición en internet de un "paquete de herramientas", que incluyen programas informáticos e información necesaria para realizar los ataques. Esta información incluye "listas de equipos comprometidos" que pueden ser utilizados bien para mandar correos electrónicos, bien para alojar páginas web falsificadas. Incluyen además "bases de datos de direcciones de correo electrónico". Una vez en posesión del paquete, se remiten los correos electrónicos con carácter indiscriminado (buscando contactar con clientes de la entidad financiera) informando de la necesidad de conectarse a una página web que parece pertenecer a la citada entidad y portar los códigos de acceso y contraseñas de clientes. Dicha página web se suele alojar en un equipo conectado a Internet cuya seguridad se haya [visto] comprometida", sin conocimiento de su usuario, y que se encuentra normalmente en un país distinto al de los destinatarios del ataque. De esta forma se constituye un "fichero de datos personales con códigos de usuarios y contraseñas de clientes" recabados de forma engañosa y fraudulenta, que se ubica normalmente en el mismo "equipo remoto comprometido" en el que se aloja la página web falsificada. Con los datos obtenidos se realizan transferencias a cuentas de colaboradores situados en España los cuales a su vez retiran el dinero en efectivo y tras descontar una comisión realizan transferencias monetarias internacionales mediante entidades especializadas".
(...) Por eso la S.A.P. Alicante, secc.8ª 107/2018, de 12 de marzo hace especial hincapié en las medidas de seguridad que ha de adoptar la entidad oferente de la banca on line.
Parte del R.D. legislativo 1/2007 en su art. 147 (responsabilidad de los prestadores de servicios, salvo prueba de cumplimiento de exigencias reglamentarias y demás cuidados que exige la naturaleza del servicio). Precepto interpretado por la S.T.S. 185/2016, de 18 de marzo que llama a ponderar la causa del evento dañoso, si había o no un déficit de la seguridad que legítimamente cabía esperar y la facilidad probatoria correspondiente a cada una de las partes ( art. 217.7 LEC)
Se trata, pues, de una responsabilidad cuasi-objetiva del proveedor de los servicios de pago.
(...) La transferencia es un servicio que forma parte del servicio de caja, es un medio de pago consistente en una orden dada al banco por el cliente a fin de que, con cargo a su cuenta abone un determinado importe a un beneficiario o al propio ordenante. Por tanto, es una ejecución de obligaciones contractuales, un mandato ( art. 254 C.co), cuya forma de emisión deberá constar en el contrato de cuenta corriente, y -en su caso- específicamente en el de servicios de banca electrónica.
Por eso, reitera la citada sentencia ( S.A.P. Alicante, Secc. 8ª 107/2018), "Tanto en banca telefónica como por internet, el proveedor de servicios de pago, o lo que es lo mismo, el banco emisor, debe implementar las medidas necesarias para asegurar la autenticación e identidad del ordenante a la hora de prestar su consentimiento"
En caso contrario, le corresponde a dicha entidad la devolución de lo ilícitamente obtenido de la cuenta del cliente ( arts. 30 y 31 LSP, actualmente Arts. 36 y siguientes del R.D. ley 19/2018, de 23 de noviembre, trasposición de la Directiva UE 2015/2366, del Parlamento y del Consejo de 25 de noviembre 2015 sobre servicios de pago).
No basta, pues, con medidas genéricas de protección o avisos estereotipados de cuidado, sino que -sigue razonando la SAP Alicante 8ª, 107/2018- la seguridad de las operaciones bancarias precisa de soluciones tecnológicas avanzadas a los efectos de garantizar tanto la autenticidad como la integridad y confidencialidad de los datos.
Considera que los avisos genéricos de los bancos, a través de su web,nosuplen los deberes contractuales de las partes, ni la implementación de medidas de seguridad eficaces. Tales avisos ostentarían la calificación de " formulas predispuestas", vacías de contenido.
No son los clientes los que deben prevenir ni averiguar las modalidades de riesgos que el sistema conlleva, ni prevenir con su asesoramiento experto dichos riesgos. No se puede objetar al usuario que debía conocer aspectos técnicos tales como identificar una web falsa (salvo supuestos de evidentes falsedad) u otros fallos técnicos.
Así, es habitual la existencia de varios niveles de protección (código de usuario y contraseña, tarjera de coordenadas y comunicaciones con el cliente) advirtiéndole de las operaciones a fin de que pueda tomar conocimiento inmediato y eficaz en caso de fraude.
(...) Estas prevenciones se implementan en el citado R.D.-ley 19/2018, respecto a lo dispuesto en la ley 16/2009, de 13 de noviembre.
Así, frente a las obligaciones del usuario de tomar medidas razonables de protección de sus credenciales de seguridad personalizadas (art. 41), el proveedor de los servicios de pago podrá reservarse el derecho a bloquear el instrumento de pago por razones objetivamente justificadas, cuando haya sospecha de una utilización no autorizada (Art. 40.2).
De tal manera que "si el proveedor de servicios de pago del ordenante no exige autentificación reforzada del cliente, el ordenante sólo soportará las posibles consecuencias económicas en caso de haber actuado de forma fraudulenta" (art.46.2).
(...) En el caso que nos ocupa, un vecino de la localidad de Monzalbarba, sin especiales conocimientos informáticos, que en 2018 sufrió un ictus, del que parece ser ya recuperado, mayor de 60 años, suscribió con Ibercaja el 3 de abril de 2019 (no consta firma del cliente) un contrato de tarjeta Ibercaja, un cuya Condición General 5ª dice que se obliga a adoptar cuantas precauciones sean convenientes para evitar el conocimiento o la utilización del PIN por terceras personas.
La tarjeta tenía un límite de disposición de 1000 Euros diarios, según dijo la directora de la sucursal (no consta este dato, salvo error, en el contrato).
El contrato de cuenta corriente es de 1993, y el de "Ibercaja Directo" de 2-10-2007.
No constan más advertencias al usuario. Ni personales ni genéricas. La testigo, directora de la sucursal, sí afirmó que a la firma del contrato (parece ser que de "banca on line") se le entregó un documento informando sobre posible delitos o riesgos. Nada de esto consta. Ni siquiera el modelo de dicho documento informativo.
Por fin, no existe discrepancia, son datos objetivos, de que, después de recibir un correo electrónico encabezado por las palabras "From: Ibercaja particulares" el 20-1-2020, se le redireccionó a otra página web en la que se le pidieron datos de su tarjeta, previa advertencia de que tenía que activar nuevo sistema de seguridad web. Y a partir de entonces se realizaron 78 operaciones con la cuenta del cliente y se firmó electrónicamente un préstamo de 12.000 Euros.
Sólo el 22-1-2020, fue avisado por el banco, momento en el que en la propia sucursal y a la presencia del cliente, se descubrió la situación que nos ocupa.
No constan operaciones del cliente a través de banca on line, salvo consultas de movimientos los días 13-9-2019, 4-10-2019, el 6-11-2019, 20-11-2019, 28-11-2019, 19-12-2019 y 18-1-2020.
(...) En estas coordenadas, lo cierto es que la página empleada para defraudar puede considerarse poco sofisticada. Sin embargo, hay que valorar la condición del cliente y las advertencias de quien comercializa un producto que tiene riesgos evidentes.
No consta sino una advertencia contractual genérica y estereotipada No hay advertencias de no respuesta a páginas de "Ibercaja" que no contengan determinados condicionantes. Tampoco prohibición alguna de no ofrecer las claves ni siquiera a la propia "Ibercaja".
La carga de esta prueba recae, sin duda, en la prestadora del servicio de pago por ella ofertado.
Pero, dando un paso más, la entidad carecía de medidas de seguridad exigibles razonablemente.
Así, avisar de que se había modificado on line los límites de disponibilidad de la tarjeta de 1.000 Euros a más de 7.000, siete veces más.
Avisar del contrato de préstamo electrónico en el momento de la suscripción.
Tanto en uno y otro supuesto a través de correos SMS, que hubieran permitido una reacción más temprana.
Esas anomalías o excepcionalidades de uso de la tarjeta o de la banca electrónica, aunque -parece ser- permitidas en el contrato, deberían de haber sido objeto de una "alerta inmediata" que no existió.
(...) Por tanto, una ausencia de autenticación reforzada de ese tipo de operaciones, con un comportamiento no fraudulento del cliente, conduce a la obligación de devolver lo indebidamente extraído por terceros.
Que es lo pedido en la demanda y lo concedido en sentencia. La nulidad del préstamo contratado por terceros fraudulentamente y la devolución de las cantidades extraídas del patrimonio del actor a través de la cuenta contratada con la demandada, así como la indemnización propia de la privación del dinero: los intereses legales desde dicha privación ( arts 1100, 1101, 1108 y concordantes del C. civil)."
La Sentencia número 110/2022, de 24 de febrero, de la Audiencia Provincial (Secc. 3ª) de Tarragona (3), expresamente recogía los siguientes razonamientos:
"Objeta el apelante que la actuación de la actora, titular de la tarjeta a la hora de custodiar la tarjeta , el número secreto de la misma, fue negligente , las disposiciones se realizaron con la introducción del número pin y la operación fue autenticada , registrada con exactitud y contabilizada . El mantenimiento de un mismo número secreto para dos medios de pago o tarjetas , que se guardan en el mismo lugar, es una actuación negligente , debiendo asumir las consecuencias dañosas , de haberse adoptado las oportunas medidas por la usuaria el daño no se habría producido .
2. La sentencia de instancia, tras la cita de la Directiva 2051/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015 sobre servicios de pago en el Mercado Interior y por la que se modifican las Directivas 2002/65/CE y 2013/36/UE y el Reglamento ( UE) 1093/2019, niega la negligencia en la custodia por parte de la demandante , rechazando que deba exigirse que alguien deba mantener tantas claves como servicios que precisan de contraseñas, por lo que acoge la pretensión de la demandante, tras estimar probado que los hechos se produjeron como relata en su demanda, con exclusión del importe de 50 euros que según el considerando 74 de la citada Directiva , el ordenante en caso de operaciones de pago no autorizadas , podría quedar obligado a soportar de las pérdidas derivadas de operaciones de pago no autorizadas derivadas de la utilización de un instrumento de pago extraviado o robado.
3. En la fecha de los hechos estaba vigente la Ley 16/2009, de 13 de noviembre, de servicios de pago, que incorporó a nuestro ordenamiento la Directiva sobre servicios de pago en el mercado interior, que fue aprobada como Directiva 2007/64/CE del Parlamento Europeo y del Consejo, de 13 de noviembre de 2007, sobre servicios de pago en el mercado interior, por la que se modifican las Directivas 97/7/CE, 2005/65/CE y 2006/48/CE y por la que se derogó la Directiva 97/5/CE. En su artículo 27 regula como obligaciones de los usuarios la utilización del instrumento de pago de conformidad con las condiciones que regulen su emisión, y, en particular, el usuario deberá tomar todas las medidas razonables a fin de proteger los elementos de seguridad personalizados de que vaya provisto; y, en caso de extravío, sustracción o utilización no autorizada del instrumento de pago, notificarlo sin demoras indebidas al proveedor de servicios de pago o a la entidad que éste designe, en cuanto tenga conocimiento de ello.
El art. 31 de la citada norma establece que " sin perjuicio de lo dispuesto en el artículo 29 de la presente Ley, y de las indemnizaciones por daños y perjuicios a las que pudiera dar lugar conforme a la normativa aplicable al contrato celebrado entre el ordenante su proveedor de servicios de pago, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante le devolverá de inmediato el importe de la operación no autorizada, y, en su caso, restablecerá la cuenta de pago en que se haya adeudado dicho importe al estado que habría existido de no haberse efectuado la operación de pago no autorizada." El artículo 32 se refiere a la responsabilidad del titular de la tarjeta, y señala que:
2." El ordenante soportará el total de las pérdidas que afronte como consecuencia de operaciones de pago no autorizadas que sean fruto de su actuación fraudulenta o del incumplimiento, deliberado o por negligencia grave, de una o varias de sus obligaciones con arreglo al artículo 27".
4. El reproche culpabilístico que se hace por la apelante a la actora es la utilización de un mismo número secreto para varias tarjetas, pues fue de este modo , como los autores del hecho lograron hacerse con la clave de la tarjeta emitida por la apelante , desde el momento en que el pago en el comercio se efectuó con una tarjeta de crédito emitido por la entidad Banco de Sabadell, y ciertamente, es esta una recomendación de seguridad para evitar el uso fraudulento de las tarjetas que se hace por el Banco de España, como otras, cuales son la de no anotar el número junto con la tarjeta, tomar medidas de confidencialidad al operar tanto en establecimientos como en cajeros ... La cuestión que se plantea , es por tanto, la expuesta, si cabe atribuir a la demandante por esta circunstancia, tener el mismo número para dos tarjetas -, una negligencia grave en el cumplimiento de sus deberes como usuaria-, por no haber adoptado las medidas razonables para la protección del medio de pago. No la hay , y tampoco lo afirma la apelante , por, haber sido víctima de los hechos que se admiten como probados , como afirma la sentencia de la AP de Tenerife de 28 de marzo de 2018 " sin que resulte ninguna actuación grosera de descuido, sino, por el contrario, aparece que la actora, utilizando normalmente la tarjeta en su compra en el supermercado, fue víctima de un plan preconcebido ideado por más de un sujeto para hacerse precisamente con el PIN y la tarjeta, situándose detrás de la misma en el momento del pago, y utilizando después la treta de sacar un mapa y preguntar cómo se podía llegar a un determinado lugar, apelando por tanto a la educación y el civismo de sus interlocutores, para actuar un posible cómplice haciéndose con el bolso de la demandante, siendo probablemente escogidos los señores Desiderio Ana María como víctimas por su edad y su condición de extranjeros" . En el mismo sentido la sentencia de la AP de Madrid de 3 de octubre de 2017, razona : " Sin embargo no se puede entender que sea negligente el hecho de teclear el número secreto en términos tales que no impidan que quien se encuentre tras el titular de la tarjeta (poniendo todos los medios para poder conocer el PIN), pueda visualizar el número secreto, ya que no se puede exigir al usuario de la tarjeta actuar cual si cualquier otro aparente usuario del cajero fuese un potencial delincuente, ya que si de tal premisa se partiese, efectivamente sería irresponsable el marcar el número secreto sin ocultarlo a la vista de todos los que nos rodean, ya que en tal hipótesis habría de partirse de la base de que toda persona que se encuentra cercana a un cajero lo hace con intención de conocer el número secreto al objeto de sustraer la tarjeta de crédito y con ella acceder a la cuenta de su titular. No obstante, tal y como se indicaba, tal conducta no sería simplemente diligente, sino que partiría de una premisa de la que pocas personas parten a la hora de realizar sus extracciones de dinero, como es la de entender que toda persona que les circunda está esperando el momento en que marque el número secreto para tomar nota de él, y acto seguido, proceder a la sustracción de la tarjeta."
5. Sin embargo, y pese a situarse entre las recomendaciones de seguridad la no utilización del mismo número para varios medios de pago, la falta de diligencia que se denuncia por parte de la titular de la tarjeta, no creemos que resulte de la suficiente entidad para entender que en el presente caso la demandante había de soportar el total de las disposiciones efectuadas, ni puede situarse la misma en el mismo grado que el que supone llevar anotado el número con la tarjeta, supuesto en que se entiende que concurre negligencia grave cuando el dato del PIN está de tal modo unido a la tarjeta que el robo o extravío de ésta conlleva información del PIN (SAP AP de Soria de 11 de marzo de 2011) ,pues hoy en día cualquier usuario de este producto bancario, absolutamente generalizado en la actualidad, es conocedor de la trascendencia de mantener el secreto del número PIN, y, especialmente, de no acompañarlo a la tarjeta de la que constituye llave de acceso. Pero no es esto lo que ha acaecido, ni la titular dejó de adoptar tomar medidas de confidencialidad al operar en el establecimiento, " no se puede tildar de negligente a quien simplemente ha sido engañado en términos tales que únicamente partiendo de una inusual desconfianza hacia los desconocidos pudiera tener sospechas de que estaba siendo objeto de la visualización de su número secreto, como parte de una trama encaminada a sustraer la tarjeta y utilizarla fraudulentamente," ( SAP Madrid de 3 de octubre de 2017). El incumplimiento de la recomendación de seguridad , en este caso, no estimamos que entrañe negligencia grave por parte de la usuaria de la tarjeta , la práctica ni es inusual , ni supone infracción de custodia de las claves del número de identificación personal , el propio contrato de tarjeta en el epígrafe relativo a la custodia y uso de las tarjetas , alude a la obligación del titular a custodiarlo adecuadamente y evitar que sea conocido por otras personas, que la clave de acceso fuera idéntica para las dos tarjetas de las que era titular la demandante , en modo alguno afectaba a la custodia del número de la tarjeta , no hubo más allá de lo que supone la inobservancia de una recomendación de seguridad, actuación negligente grave.
El recurso, por tanto , se desestima. Diremos para finalizar que el artículo 32.1. de la Ley 16/2009, aplicable por razones de vigencia temporal establecía que , "No obstante lo dispuesto en el artículo 31, el ordenante soportará, hasta un máximo de 150 euros, las pérdidas derivadas de operaciones de pago no autorizadas resultantes de la utilización de un instrumento de pago extraviado o sustraído." La sentencia de instancia ha aplicado una reducción de 50 euros, si bien, tal pronunciamiento no ha sido combatido por la apelante,"
La Sentencia número 109/2022, de 17 de marzo de la Audiencia Provincial (Secc. 4ª) de Barcelona (4), precisó lo siguiente:
"En términos generales, es cierto que la falta de uno de los elementos esenciales del contrato, como es el consentimiento ( art.1261 CC), da lugar a la nulidad (absoluta) del contrato. Y también es cierto que la suplantación de una persona por otra puede conducir a pensar en la falta de consentimiento, de modo que pueda no entenderse prestado el consentimiento por parte de la persona suplantada (por ejemplo, en un supuesto de falsedad de la firma plasmada en un contrato hecho en documento privado).
Sin embargo, el presente supuesto tiene la especialidad de que, de una parte, se trata de un supuesto de contratación electrónica, a partir de la suscripción por parte de la fallecida Sra. Maite, libre y voluntariamente ( art.1255 CC), en fecha 18 de enero de 2016, del contrato relativo al Servicio de Línea Abierta de la apelante (Banca por Internet). Y, de otra parte, no se trata de que una persona ajena al "círculo de confianza" de la Sra. Maite se haya hecho con sus datos, haya "hackeado" su ordenador, etc., que haya suplantado su identidad en Internet, en suma, y que ello le haya permitido concertar los contratos objeto del procedimiento. Se trata de la hija demandada por la propia actora, y que convivía con ella en el domicilio familiar.
or tanto, aunque es cierto que, como se señala en la sentencia recurrida, todo contrato existe desde que una o varias personas consienten en obligarse, respecto de otra u otras, a dar alguna cosa o a prestar algún servicio ( art. 1254 CC), y se perfecciona por el mero consentimiento ( art. 1258 CC), obligando desde entonces, cualquiera que sea su forma ( art. 1278 CC), siempre que concurran los requisitos que establece el artículo 1261 CC, a saber, el consentimiento de los contratantes, el objeto que sea materia del contrato y la causa de la obligación que se establezca, debemos estar a la concreta forma de contratación y a la legislación que la regula.
En ese sentido, el art.23 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico dispone lo siguiente:
"Validez y eficacia de los contratos celebrados por vía electrónica.
1. Los contratos celebrados por vía electrónica producirán todos los efectos previstos por el ordenamiento jurídico, cuando concurran el consentimiento y los demás requisitos necesarios para su validez.
Los contratos electrónicos se regirán por lo dispuesto en este Título, por los Códigos Civil y de Comercio y por las restantes normas civiles o mercantiles sobre contratos, en especial, las normas de protección de los consumidores y usuarios y de ordenación de la actividad comercial.
2. Para que sea válida la celebración de contratos por vía electrónica no será necesario el previo acuerdo de las partes sobre la utilización de medios electrónicos.
3. Siempre que la Ley exija que el contrato o cualquier información relacionada con el mismo conste por escrito, este requisito se entenderá satisfecho si el contrato o la información se contiene en un soporte electrónico.
4. No será de aplicación lo dispuesto en el presente Título a los contratos relativos al Derecho de familia y sucesiones.
Los contratos, negocios o actos jurídicos en los que la Ley determine para su validez o para la producción de determinados efectos la forma documental pública, o que requieran por Ley la intervención de órganos jurisdiccionales, notarios, registradores de la propiedad y mercantiles o autoridades públicas, se regirán por su legislación específica."
A su vez, el art.24 del mismo texto legal dispone:
"Prueba de los contratos celebrados por vía electrónica.
1. La prueba de la celebración de un contrato por vía electrónica y la de las obligaciones que tienen su origen en él se sujetará a las reglas generales del ordenamiento jurídico.
Cuando los contratos celebrados por vía electrónica estén firmados electrónicamente se estará a lo establecido en el artículo 3 de la Ley 59/2003, de 19 de diciembre, de firma electrónica.
2. En todo caso, el soporte electrónico en que conste un contrato celebrado por vía electrónica será admisible en juicio como prueba documental."
El art.3 de la Ley 59/2003, de 19 de diciembre, de firma electrónica (en la redacción vigente al tiempo de las contrataciones objeto del procedimiento) dispone:
"Firma electrónica, y documentos firmados electrónicamente.
"1. La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.
2. La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede utilizar, con un alto nivel de confianza, bajo su exclusivo control.
3. Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma.
4. La firma electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel.
5. Se considera documento electrónico la información de cualquier naturaleza en forma electrónica, archivada en un soporte electrónico según un formato determinado y susceptible de identificación y tratamiento diferenciado.
Sin perjuicio de lo dispuesto en el párrafo anterior, para que un documento electrónico tenga la naturaleza de documento público o de documento administrativo deberá cumplirse, respectivamente, con lo dispuesto en las letras a) o b) del apartado siguiente y, en su caso, en la normativa específica aplicable.
6. El documento electrónico será soporte de:
a) Documentos públicos (...)
b) Documentos expedidos y firmados electrónicamente por funcionarios o empleados públicos en el ejercicio de sus funciones públicas, conforme a su legislación específica.
c) Documentos privados.
7. Los documentos a que se refiere el apartado anterior tendrán el valor y la eficacia jurídica que corresponda a su respectiva naturaleza, de conformidad con la legislación que les resulte aplicable.
8. El soporte en que se hallen los datos firmados electrónicamente será admisible como prueba documental en juicio. Si se impugnare la autenticidad de la firma electrónica reconocida con la que se hayan firmado los datos incorporados al documento electrónico se procederá a comprobar que se trata de una firma electrónica avanzada basada en un certificado reconocido, que cumple todos los requisitos y condiciones establecidos en esta Ley para este tipo de certificados, así como que la firma se ha generado mediante un dispositivo seguro de creación de firma electrónica.
La carga de realizar las citadas comprobaciones corresponderá a quien haya presentado el documento electrónico firmado con firma electrónica reconocida. Si dichas comprobaciones obtienen un resultado positivo, se presumirá la autenticidad de la firma electrónica reconocida con la que se haya firmado dicho documento electrónico siendo las costas, gastos y derechos que origine la comprobación exclusivamente a cargo de quien hubiese formulado la impugnación. Si, a juicio del tribunal, la impugnación hubiese sido temeraria, podrá imponerle, además, una multa de 120 a 600 euros.
Si se impugna la autenticidad de la firma electrónica avanzada, con la que se hayan firmado los datos incorporados al documento electrónico, se estará a lo establecido en el apartado 2 del artículo 326 de la Ley de Enjuiciamiento Civil.
9. No se negarán efectos jurídicos a una firma electrónica que no reúna los requisitos de firma electrónica reconocida en relación a los datos a los que esté asociada por el mero hecho de presentarse en forma electrónica.
10. A los efectos de lo dispuesto en este artículo, cuando una firma electrónica se utilice conforme a las condiciones acordadas por las partes para relacionarse entre sí, se tendrá en cuenta lo estipulado entre ellas."
El art.3 de la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza, establece ahora lo siguiente:
"Efectos jurídicos de los documentos electrónicos.
1. Los documentos electrónicos públicos, administrativos y privados, tienen el valor y la eficacia jurídica que corresponda a su respectiva naturaleza, de conformidad con la legislación que les resulte aplicable.
2. La prueba de los documentos electrónicos privados en los que se hubiese utilizado un servicio de confianza no cualificado se regirá por lo dispuesto en el apartado 3 del artículo 326 de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil. Si el servicio fuese cualificado, se estará a lo previsto en el apartado 4 del mismo precepto".
De hecho, el art.326 LEC, en la redacción dada por la citada Ley 6/2020, de 11 de noviembre, dispone ahora lo siguiente:
"3. Cuando la parte a quien interese la eficacia de un documento electrónico lo solicite o se impugne su autenticidad, integridad, precisión de fecha y hora u otras características del documento electrónico que un servicio electrónico de confianza no cualificado de los previstos en el Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior, permita acreditar, se procederá con arreglo a lo establecido en el apartado 2 del presente artículo y en el Reglamento (UE) n.º 910/2014".
4. Si se hubiera utilizado algún servicio de confianza cualificado de los previstos en el Reglamento citado en el apartado anterior, se presumirá que el documento reúne la característica cuestionada y que el servicio de confianza se ha prestado correctamente si figuraba, en el momento relevante a los efectos de la discrepancia, en la lista de confianza de prestadores y servicios cualificados.
Si aun así se impugnare el documento electrónico, la carga de realizar la comprobación corresponderá a quien haya presentado la impugnación. Si dichas comprobaciones obtienen un resultado negativo, serán las costas, gastos y derechos que origine la comprobación exclusivamente a cargo de quien hubiese formulado la impugnación. Si, a juicio del tribunal, la impugnación hubiese sido temeraria, podrá imponerle, además, una multa de 300 a 1200 euros".
Cabe añadir que esta materia es objeto de regulación en el Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.
Pues bien, en este caso, la actora ha llegado a negar en su demanda la existencia de ese previo acuerdo de las partes sobre la utilización de medios electrónicos, pues adujo que no precisaba de su utilización, pues trabajaba como empleada en atención al cliente de la Compañía "Iberia", para lo cual no necesitaba los servicios de la banca por Internet, sino que, siempre que había necesitado algún servicio, se había dirigido personalmente a la sucursal; posteriormente, en la audiencia previa, impugnó la autenticidad de los documentos aportados de contrario como bloque documental nº 1 de la contestación (Contracte de productes i serveis, Servei Línia Oberta, Informació precontractual de Línia Oberta y Lliurament de PIN a la actora), y propuso prueba pericial caligráfica, en la creencia de que los presentados por copia por la entidad demandada, constaban en soporte papel. Después de ser requerida la demandada para que aportase los originales, en fecha 16 de mayo de 2018, la demandada reiteró el contenido de otro escrito, presentado el 16 de marzo de 2018, en el sentido de que los referidos documentos fueron confeccionados por medio de una tableta digital, por lo que no existía un original en formato papel, y que los documentos apartados como documento nº 1 de la contestación eran impresión de los archivos informáticos que contienen los documentos digitalizados, ofreció al perito calígrafo que contactara con los servicios informáticos que gestionan el proceso de digitalización, y, de nuevo, aportó los archivos informáticos -en PDF- que contenían los documentos aportados como documento nº 1, y una nueva impresión en papel; a efectos informativos, aportó una presentación sobre el "Proceso de firma digitalizada", explicativa del funcionamiento de la suscripción digital por medio de tabletas informáticas, de documentos y contratos, y adujo que, el 18 de enero de 2016, Dª Maite firmó hasta seis (6) documentos mediante firma digitalizada, a través de una tableta informática ("Contracte de línea oberta", "Informació precontractual de línia oberta", contracte de targetes, contracte llibreta Estrella, Informació precontractual de productes y serveis, y una Fitxa comercial-Tarjeta de débit), documentos que aportó en PDF; añadió que el sistema de la firma biométrica SFD (software de firma digitalizada) está soportado y proporcionado por CECABANK, y que la entidad generadora del Certificado de encriptación de los datos biométricos de las firmas de los documentos es CAMERFIRMA; asimismo, adujo que, en estos casos, en el que el cliente repudia la firma digitalizada de un documento, el análisis forense de las firmas pasaría por una de las dos opciones siguientes: a) análisis pericial caligráfico analógico, a partir de firmas indubitadas -que obran en documentos indubitados o en su caso las que estampara la autora de las firmas directamente en la tableta en sede judicial y a presencia del perito-, análisis que podría realizar el perito sobre las firmas de las copias en papel de los documentos digitalizados, o b) análisis forense de firmas biométricas, partiendo de la identificación del documento por CAIXABANK y CECABANK, CAMERFIRMA procedería al descifrado de los datos biométricos de los documentos -lo que podría realizarse a presencia de Notario-, y que el material se facilitaría al perito judicial, quien en todo momento tendría el soporte necesario de CAIXABANK, CECABANK y CAMERFIRMA para realizar la pericial.
De hecho, en los documentos nº 2 y 3 de la demanda, relativos a los dos préstamos concertados electrónicamente, consta ya cómo la demandada remitió a la actora justificantes de los dos préstamos en sus respectivas fechas " perquè disposi d'un exemplar imprès d'aquest. Aquest document no necesita signatura manuscrita, ja que s'ha tramitat a trevés del seu codi d'autorització del servei de Línia Oberta".
Sin embargo, aparte de que la negación en el acto de audiencia previa por la fallecida actora de la contratación de la Línia Oberta para efectuar operaciones vía Internet se compadece mal con alegar que su hija se hizo con las claves, desconociendo cómo, y de que la hija demandada tampoco expone en su contestación cómo lo llevó a cabo, pero sí reconoce que lo hizo sin el conocimiento y sin el consentimiento de su madre, la realidad es que nada de ello consta en la denuncia que se presentó ante los Mossos d'Esquadra -solo se niega haber contratado los dos préstamos, no el haber concertado el servicio de Línea Abierta-, ni en la reclamación presentada ante el Ayuntamiento, ni en el escrito presentado ante la sucursal bancaria, ni en el presentado ante el Defensor del Cliente de la entidad demandada - adujo que " Jo no he obert cap compte, ni demanat cap prèstec. No he canviat el telèfon. El número el que trucaven no és el meu"-, como tampoco en la querella formulada contra su hija demandada.
En cualquier caso, sin perjuicio de la contradicción apreciada, en escrito de 16 de julio de 2018, la actora renunció a la prueba pericial caligráfica propuesta, al considerar que no podría realizarse sobre un documento auténtico u original.
Sentado lo anterior, es cierto que, como aduce la apelante, dado que los contratos ahora litigiosos se formalizaron por medio de firma electrónica, debe tenerse como parte contratante a la titular del Servicio Línea Abierta -Dª Maite-, que debe considerarse prestó su consentimiento a las contrataciones, al utilizarse en éstas su firma digital, y que debe operar la exención de responsabilidad de la apelante, con la correlativa responsabilidad de la actora, por su negligencia en la custodia de los elementos de seguridad para el uso del Servicio de Línea Abierta.
En efecto, en la condición general 6 del Servei de Línia Oberta contratado, se establecen deberes u obligaciones de las partes, entre otros: "a ) Mantenir el secret de la clau o les claus d'accès i la signatura relacionades amb el servei i qualsevol altra que CaixaBank posi a la seva disposició, així com actuar amb la deguda diligència en relació amb la custòdia i l'ús, de manera que s'eviti que tercers no autoritzats puguin coneixer-les, i assegurar que no siguien fàcilment deduïbles a partir de les seves dades personals o altres dades com la data de naixement, el número de telèfon, nombre correlatius, etc.". Y, en la condición general 7, se establece la responsabilidad del contratante, del modo siguiente: " Sense perjudici del que estableixen les clàusules restants del contracte, el contractant és responsable de l'incompliment de qualsevol de les obligacions derivades d'aquest contracte. Especialment, el contractant ha de respondre per l'incompliment dels deures de custòdia, secret i ús personal de l'identificador i de la clau o les claus d'accès i la signatura; CaixaBank pot resoldre el contracte quan en tingui coneixement sense avís previ. Les ordres iniciades amb les dades facilitades pel contractant es consideraran correctament executades conforme a les dades esmentades i, per això, l'execució incorrecta o defectuosa d'aquest ordres no será responsabilitat de CaixaBank. El contractan és responsable igualment d'impagament de les comissions i les despeses derivades dels serveis contractats en virtud d'aquest contracte".
En este caso, es la contratante de la Línia Oberta (Dª Maite) quien acciona. Pero, en virtud del contrato por ella suscrito -en forma electrónica-, no pueden desconocerse las obligaciones contraídas por su parte, relacionadas con su responsabilidad en la custodia de las claves, custodia que deviene obligada, desde el momento en que a través de ellas es posible contratar y, por ende -como aquí ha sucedido-, que la entidad bancaria haya efectuado un trasvase de dinero a la cuenta abierta utilizando la propia operativa electrónica, vía Internet.
En razón de la patología padecida por la hija demandada, consideramos que no hay por qué recelar, en este caso, de la parte actora. Pero la operativa empleada no puede conducir, conforme a lo expuesto, a la declaración de nulidad absoluta de los contratos concertados, de modo que no procede acoger la acción de nulidad ejercitada con carácter principal en la demanda. Y, sin perjuicio de la eventual responsabilidad civil extracontractual de la hija demandada, cabe entender prestado el consentimiento.
(...) En relación con las demás acciones ejercitadas, consideramos que deben correr igual suerte desestimatoria, puesto que no apreciamos que la entidad bancaria demandada haya incurrido en responsabilidad contractual ni extracontractual alguna, por el mero hecho de que la actora hubiera puesto en conocimiento de la sucursal la patología que padece o padecía su hija, en relación con determinadas contrataciones.
Lo cierto es que, poco tiempo antes de las contrataciones objeto de este procedimiento, Dª Maite contrató la Línea Abierta cuyo contrato ha sido aportado por la entidad demandada, y que, con independencia del uso que hiciera de la misma -no se acaba de entender la relación que puede haber entre trabajar en "Iberia" y no precisar de una línea abierta al uso-, le permitiría contratar "on line", sin necesidad de desplazarse a la sucursal bancaria.
Cabe añadir que las horas en que fueron efectuadas las contrataciones no conducen tampoco a apreciar responsabilidad civil alguna de la entidad demandada, puesto que, precisamente, la propia operativa vía Internet facilita la contratación fuera del horario habitual de oficina. En cuanto a los cambios de teléfono o de domicilio -en cuanto al segundo préstamo- al ser una contratación "on line", donde se permite actualizar determinados datos, no tenían por qué activarse las alarmas. Y, puesto que no es cuestionada la solvencia de la parte actora, quien tenía un trabajo en "Iberia", tampoco tenía por qué serlo vía Internet, donde, precisamente, es casi un hecho notorio que son habituales los anuncios de préstamos pre concedidos.
Todo ello fue corroborado por la testigo propuesta por la parte actora y por la entidad bancaria demandada, la Sra. Purificacion (empleada de la demandada y subdirectora de la oficina bancaria al tiempo de los hechos). Si bien negó que conociera a la actora y a su familia antes de conocerse la suplantación, y que supiera de los problemas de ludopatía de la demandada -dijo que, cuando los padres de la demandada fueron a la sucursal, un compañero sí dijo que, por razón de tales problemas, en enero de 2016 ya les habían cambiado las cuentas, la línea abierta y las tarjetas-, y si bien precisó que trataron de contactar con la actora tras ser concertado el primer préstamo, pero para concertar el seguro de amortización, según es la operativa estándar, la testigo dijo que, cuando se contrata una cuenta corriente "on line", se hace automáticamente, al tener ya todos los datos del cliente; aclaró que el cambio de número de teléfono se hizo por línea abierta, y que se supone que es el de quien contrata. Dijo también haber visto el contrato de Línea Abierta concertado el 18 de enero de 2016, el cual estaba firmado, y que sin la firma no se entregaba el PIN, entonces en forma impresa. En cuanto a la solvencia, aclaró que los dos préstamos, que fueron concertados utilizando las claves de acceso, se hicieron a través de la Línea Abierta, con límites de "scoring", de "rating", que dependen de la operativa de los clientes, de sus ingresos, de los riesgos, etc. Y, en cuanto a las horas de contratación, dijo que la línea abierta funciona las 24 horas del día, y que es como comprar con una tarjeta."
Complementariamente, la Sentencia de fecha 23/05/2022 del Juzgado de Primera Instancia Número 99 de Madrid (5) destaca que::
"(...) el art. 44 del RDL 19/2018 antes citado impone a la entidad financiera la carga de la prueba de que el usuario del servicio de pago cometió fraude o negligencia grave en los casos en que el usuario niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta.
En este sentido, como dice la SAP Lérida, secc. 2ª, 17/01/2022 (RA 152/2020), al resolver un litigio en el que era aplicable la Ley 16/2009, de 13 de noviembre, de Servicios de Pago pero cuya doctrina puede trasladarse al presente litigio, la normativa sectorial en esta materia " establece un sistema de responsabilidad cuasi objetiva de la entidad proveedora del servicio de pago, con inversión de la carga probatoria, al presumirse la falta de autorización, si el titular lo niega".
También debe partirse de los siguientes postulados contenidos en la doctrina de Audiencias Provinciales que se reseña en la citada sentencia:
" 1) Como punto de partida, la normativa de consumo aplicable y la naturaleza adhesiva del contrato, con significativa referencia a los artículos 1281 y siguientes del C. Civil y al principio de interpretación a favor de la parte más débil en la relación contractual.
2) El examen de la seguridad del sistema y las fugas del mismo, teniendo presente el hecho de que las entidades bancarias tienen la doble condición de beneficiarias y de generadoras de riesgo.
3) El régimen de las respectivas obligaciones de las partes. En lo que al consumidor se refiere, el nivel de diligencia exigible es la del buen padre de familia, mientras que respecto de la entidad bancaria la diligencia exigible es la del profesional.
4) Las reglas de la carga de la prueba, esto es qué debe acreditar cada una de las partes litigantes en este tipo de asuntos".
(...) Partiendo de las anteriores premisas y de que al banco demandado corresponde la carga de probar la actuación negligente o fraudulenta de su cliente, debe llegarse a la conclusión de que no puede hacerse responsable a la parte demandante de la sustracción del dinero que tenía en la cuenta corriente bancaria y que ahora reclama, pues no está acreditado que las disposiciones de fondos se debieran a una actuación fraudulenta, errónea o descuidada del demandante ya que del listado que se aporta con el doc. 6 de la demanda se desprende que las 20 operaciones se realizaron en solo dos días y consistieron en transferencias y retiradas de efectivo, figurando como "concepto" alguno de los siguientes: "pago alquiler Marbella", "pago vacaciones", "pago alquiler yate", "pago alquiler Sevilla", "pago renta Ibiza", así como diversas transferencias seguidas por importes similares al mismo destinatario, en vez de una sola por el importe total que se debía o se deseaba entregar al destinatario, sin que se haya demostrado en este proceso la vinculación del demandante con las localidades y las personas indicadas en los conceptos que figuran en las transferencias.
Tampoco ha demostrado la parte demandada que fue el demandante quien realizó físicamente las disposiciones de fondos y que no se utilizó algún medio fraudulento por parte de un tercero para ello, pues se limita a afirmar que las transferencias se hicieron a través de la aplicación del propio banco y con los correspondientes requisitos de seguridad, por lo que debe concluirse, como también resuelve la SAP Lérida antes reseñada, que no se ha " demostrado que las operaciones de pago no autorizadas sean fruto de una actuación fraudulenta del titular de la cuenta o que hubiera habido por su parte algún incumplimiento deliberado o por negligencia grave", a lo que hay que añadir que, como aquí también sucede, " ninguna prueba técnica se ha practicado para acreditar la imposibilidad del clonado de los elementos de seguridad de la tarjeta", debiendo recordarse, como dice dicha SAP, que " el Clonaje o Skimming son fraudes habituales de los cuales las entidades bancarias tienen perfecto conocimiento" y que " basta con un simple "Skimmer de bolsillo", aparato que como su nombre indica es pequeño y difícil de detectar, para que el clonaje se produzca, pudiendo perpetrar e incluso en cajeros automáticos de las propias entidades bancarias donde se instala un dispositivo para ello. Los escenarios comunes en los que se realiza en restaurantes, bares, gasolineras o cajeros electrónicos donde un cómplice del criminal está en posesión de la tarjeta de crédito de la víctima o en su lugar en el que se ha instalado un dispositivo que puede copiar la información. En el caso de un cajero automático el autor del fraude coloca un dispositivo a menudo en combinación con una microcámara que graba el código PIN, código de seguridad del usuario", circunstancias que pueden haber concurrido en este supuesto.
La conclusión, siguiendo también en este punto la SAP Lérida referida, es que, como " frente al riesgo de clonaje, corresponde a la entidad bancaria (quien facilita la tarjeta y se lucra mediante el cobro de comisiones por su tenencia y uso) la obligación de adoptar todos los medios a su alcance para conseguir la eficacia del sistema, lo que exige que las transacciones se efectúen en un marco de seguridad garantizada por la entidad", si el " sistema falla y salvo que concurra grave negligencia o actuación fraudulenta el propio cliente, debe proclamarse la responsabilidad directa de la entidad según la normativa invocada aplicable al caso".
Partiendo de las anteriores consideraciones y aplicando el art. 43 del RDL 19/2018 al supuesto ahora enjuiciado, debe declararse que el demandante tiene derecho a obtener "la rectificación por parte del proveedor de servicios de pago de una operación de pago no autorizada o ejecutada incorrectamente", dado que consta que el demandante comunicó sin demora injustificada y en cuanto tuvo conocimiento de ello, la realización de las operaciones de pago no autorizadas, lo que da lugar a que se considere la conducta del banco demandado oponiéndose a la rectificación de las operaciones como un supuesto de culpa contractual incardinable en el art. 1.101 del CC, con la consiguiente obligación de responder del daño causado a su cliente, sin que sea aplicable en este caso, como pretende el banco demandado, la franquicia de 50 euros que prevé el art. 46.1 del RDL 19/2018 pues concurre en este supuesto la excepción contenida en la letra a) de dicho precepto, ya que se ha declarado que al demandante no le fue posible "detectar la pérdida, la sustracción o la apropiación indebida de un instrumento de pago" antes de los pagos y tampoco se ha demostrado que "el propio ordenante haya actuado fraudulentamente"."
La Sentencia número 254/2022, de 13 de junio de la Audiencia Provincial (Secc. 6ª) de Valencia (6), con cita de las Sentencias de la Audiencia Provincial de Madrid 23/04/2015, de la Audiencia Provincial de Cáceres de fecha 16/02/2022, de la Audiencia Provincial de Navarra de fecha 25/07/2019 y de la Audiencia Provincial de Alicante de fecha 11/02/2009, explicita lo siguiente:
"En relación a la diligencia exigible a las entidades bancarias la jurisprudencia del Tribunal Supremo, Sala Primera, viene declarando desde la sentencia de 15 de julio de 1988 que "la diligencia exigible a una entidad bancaria no es la diligencia de un buen padre de familia, sino la de un "comerciante experto" que aconseja "gran tacto", "cuidado extremo" a la hora de llevar a cabo las órdenes del cliente, y que "en este punto aparece un criterio objetivo a tener en cuenta a la hora de delimitar responsabilidades, que no es otro que el constituido por las concretas instrucciones dadas por el cliente, en este sentido se invoca la Sentencia del T.S de 20 de mayo de 1988 (...)". El banco, en cuanto mandatario, debe ejecutar las instrucciones del cliente, con sus abonos y cargos ( SSTS 15 de julio de 1993 , 19 de diciembre de 1995 , 21 de noviembre de 1997 )" , lo que reitera en su sentencia de 30 de junio de 2005 hace referencia a que el " artículo 255 del Código de Comercio establece que en el contrato de comisión mercantil en lo no previsto por el comitente debe ser consultado éste por el comisionista y que los contratos de comercio han de ser ejecutados de buena fe, según el artículo 57 del mismo Cuerpo legal ".
En el supuesto que nos ocupa es evidente que no nos encontramos ante la posible existencia de una responsabilidad contractual, toda vez que entre el actor y la entidad demandada no existía ninguna relación jurídica real, por lo que debe examinarse si ha concurrido una culpa extracontractual, al amparo de los artículos 1902 y 1903 del código civil , de la que pueda derivarse una obligación indemnizatoria de los daños y perjuicios ocasionados por una conducta negligente llevada a cabo por los empleados de la entidad bancaria.
Para su admisión es necesario, de conformidad con una consolidada, uniforme y reiterada jurisprudencia, la concurrencia de los siguientes requisitos:
a) Un elemento subjetivo representado por un hacer u omitir algo que se encuentra fuera de las normas de cautelas y previsión establecidas por el ordenamiento y socialmente aceptada, atendidas las circunstancias del caso concreto, es decir, de lugar, tiempo y persona, adoptando las precauciones necesarias que quizás hasta ese momento no se habían observado, pero que ante nuevas circunstancias exige adoptarla, y sin embargo le son indiferente si ocurre, o se arriesga a realizar algo que es peligroso.
b) Un resultado dañoso para algo o alguien.
c) Relación de causalidad entre la conducta y el evento dañoso.
Responsabilidad que no exige la omisión de normas inexcusables o aconsejada por la más vulgar o elemental experiencia, sino que basta con actuar no ajustándose a la diligencia exigible según las circunstancias del caso concreto, de las personas, tiempo y lugar, (...)
/.../
"Pues bien, atendiendo a los antecedentes expuestos en el párrafo anterior, la entidad financiera demandada no asume la reclamación articulada en la Demanda al amparo de la alegación comprensiva de que todas las operaciones fueron autenticadas, registradas y contabilizadas de forma correcta y documentalmente demostrada, por lo que el supuesto fraude y/o suplantación de la identidad del titular de los contratos bancarios no le sería atribuible, añadiendo además que el usuario no actuó con diligencia en los medios de pago, exonerándose -decimos- de toda responsabilidad. No obstante y, sin perjuicio de que posteriormente se incida con mayor detenimiento sobre las concretas y específicas cuestiones controvertidas en este Proceso, puede ya adelantarse que no asiste razón jurídica alguna a la entidad financiera demandada por cuatro motivos: en primer lugar, porque ha invertido impropiamente la carga de la prueba sobre la responsabilidad en este tipo de operaciones bancarias; en segundo lugar, porque los informes del Banco de España que se han presentado por la entidad demandada solo afectan a la "responsabilidad -o a la práctica- bancaria" de la entidad, pero no a la responsabilidad civil, que es la que se dirime en esta sede; en tercer lugar, porque la entidad financiera demandada -con el máximo rigor- ha reconocido el fraude y ha retrocedido el importe de una de las operaciones realizadas en la cantidad de 2.970,53 euros, sin que haya explicado (menos aun a satisfacción del Tribunal) la razón por la cual no ha procedido de la misma manera con las restantes operaciones cuya retrocesión asimismo se pretende, y, finalmente, porque no resulta admisible alegar la falta de diligencia del demandante por haber hecho uso, en dos de las operaciones controvertidas, de una red wifi abierta, en la medida en que no consta acreditado que en los contratos reguladores del pago por medios telemáticos se prohíba la realización de operaciones de pago si se realizan a través de este tipo de redes." (...) Finalmente y en franca sintonía con los razonamientos jurídicos expuestos que justifican la decisión que se adoptará en la presente Resolución (desestimatoria del Recurso de Apelación interpuesto por la entidad financiera), interesa destacar la Sentencia de la Sección Tercera, Civil, de la Audiencia Provincial de Castellón, de fecha 21 de Mayo de 2.020 , donde, entre otros particulares, se significa lo siguiente: " (...) Se trata de una cláusula de imputación de responsabilidad que ha sido calificada como abusiva por el Tribunal Supremo en su Sentencia núm.792/2009 de 16 de diciembre , al entender que "La exclusión de responsabilidad en todo caso para la entidad bancaria por las utilizaciones de tarjeta o de libreta -consistentes en extracciones en efectivo u otras operaciones con cargo a la cuenta bancaria-, con anterioridad a la comunicación de la sustracción o extravío (o evento similar) es desproporcionada, y abusiva.
3. Es igualmente abusivo excluir de responsabilidad a la entidad bancaria en todo caso del uso del número de identificación personal limitando aquélla a los supuestos de fuerza mayor o coacción".
(...) " la doctrina ha venido recogiendo con carácter general, el criterio de establecer como de cargo de la Entidad emisora de la tarjeta, la prueba de la culpa grave del usuario o titular, así se recoge por la SAP de Asturias de 15 de febrero de 2005 , a la que expresamente se refiere la SAP de Madrid de 25 de abril de 2006: "La Recomendación 87/598 de 8 de diciembre de 1987 de la Unión Europea sobre el Código de buena conducta en materia de pago electrónico y la 97/489 de 30 de julio de 1997 que la revisa y actualiza, contemplan la responsabilidad del titular de la tarjeta durante el tiempo que media entre su pérdida o sustracción ilegítima hasta la notificación de este hecho al emisor en solo 150 euros, excepto cuando haya actuado de forma fraudulenta o negligentemente grave, (en cuyo caso no se aplicará dicho límite), en el cumplimiento de sus obligaciones de uso y cuidado adecuados del instrumento electrónico, mantenimiento del secreto sobre su PIN o demora en la notificación al emisor de la pérdida, sustracción o falsificación del instrumento electrónico (artículo 8.3 de la primera y 6 de la segunda). El Servicio de Reclamaciones del Banco de España, a partir de 1991, comienza a informar cómo no ajustado a las buenas prácticas bancarias no aplicar al titular de la tarjeta el límite de responsabilidad referido (informes relativos a las reclamaciones NUM004, NUM005 y NUM006) y así es que, desde entonces, ha venido incorporándose a los contratos bancarios de tarjeta. La razón, al decir de la doctrina, descansa sobre estas premisas: el sistema para funcionamiento de las tarjetas lo dispone el emisor o un tercero con el que el emisor contrata su uso en beneficio propio y el sistema operativo de las tarjetas electrónicas no es completamente seguro; en el estado actual no se puede garantizar una seguridad absoluta y quien tiene el primer deber de impedir el mal uso de la tarjeta es el emisor que ha puesto en marcha el sistema y de ahí su responsabilidad por circunstancias relativas al funcionamiento del sistema cuyos riesgos y limitaciones él conoce y que no deben ser imputados al usuario, y, de ahí, también que sea de su cargo la prueba de la mala fe o negligencia grave del usuario o titular de la tarjeta. Nuestros Tribunales han recogido este criterio de establecer comode cargo del emisor la prueba de la culpa grave del usuario o titular (en este sentido, sentencias de las Audiencias Provinciales de Toledo, de 1 de julio de 1999 , o Madrid, de 6 de octubre de 2004 ). De otro lado, también se ha entendido que esa diligencia exigible es aquella que contempla el artículo 1.104 del Código civil ( sentencias de las Audiencias Provinciales de Baleares de 25 de junio de 1999 ; Salamanca de 1 de junio de 2004 ; y Castellón de 5 de noviembre de 2004 )". Igualmente señala la referida SAP de Madrid de 25.4.06 que además en esta materia cabe citar la Recomendación de la Comisión 590/1988 , de 17 noviembre, sobre " sistema de pago y en particular a las relaciones entre titulares y emisores de tarjetas" que recomienda a los suministradores de tarjetas la acomodación de su actividad a las disposiciones que contiene. El párrafo 8.2 de su anexo establece, para el caso de sustracción o pérdida, un sistema de responsabilidad objetiva del titular pero limitado en la cuantía hasta que notifique la desaparición, salvo que concurra negligencia por su parte. El titular de la tarjeta no asume el riesgo en casos de pérdida sustracción o extravío, y la propia legislación, tanto a nivel europeo, como nacional, contempla la exención de su responsabilidad, salvo en la cuantía de 150 euros, siempre y cuando cumpla unos mínimos deberes de diligencia".
La conclusión que obtiene la referida Sentencia, es la de la responsabilidad de la entidad bancaria recurrente frente a su cliente, citando por último la Sentencia de la Audiencia Provincial de Madrid de 25 de noviembre de 2011 , cuando se refiere a que "dado que, no puede olvidarse que el sistema de pago y reintegro mediante la utilización de un sistema electrónico como es de las tarjetas de crédito y débito entraña un riesgo (utilización de microcámaras y reproductores de tarjetas instalados en los cajeros), y la experiencia diaria confirma como son utilizadas fraudulentamente tarjetas que han sido sustraídas o extraviadas, sin que pueda garantizarse una seguridad absoluta en la utilización de tales instrumentos, doctrina que trae como consecuencia que corresponda a la entidad financiera la carga de acreditar que el sistema utilizado es completamente seguro e infalible y que el acceso a sus servicios sólo puede verificarse con el marcado de un número PIN, número que es en sí mismo indescifrable, o dicho de otro modo, que la única forma que tiene el tercero de acceder a tales servicios es visionando previamente el PIN en cualquier forma, y, tal circunstancia no ha sido probada, como tampoco lo ha sido que la posibilidad de conocimiento del número secreto por parte de terceros no autorizados por causas ajenas a la voluntad del titular de la tarjeta es un hecho insólito o extraordinario ni ajeno a la propia dinámica de funcionamiento del sistema; Por tanto, a la entidad bancaria le corresponde asumir los riesgos que conlleva la tarjeta en sí porque ella se lleva los beneficios: comisiones de uso, mantenimiento, recargos, intereses."
Aplicando estas consideraciones al caso enjuiciado procede establecer también aquí la responsabilidad de la entidad bancaria por los cargos realizados mediante la utilización no consentida de la tarjeta del demandante, por lo que procede estimar el recurso de apelación interpuesto y revocar la resolución dictada, que se deja sin efecto, estimando la demanda interpuesta condenamos a la entidad demandada a abonar al actor la cantidad de 9.206,85 €, más los intereses legales desde el día 27 de octubre de 2016, en que tuvo lugar la reclamación a la entidad bancaria".
Y es lo que entendemos que no concurre en el presente caso, pues tal y como razonó la sentencia, ni puede entenderse que la falta de diligencia fuera "grave" por parte de demandante y de su hija, sino que el recurso orilla las manifestaciones de la sentencia en cuanto que refieren a las actuaciones llevadas a efecto por la autorizada en la cuenta de la actora, comunicando con la entidad bancaria el 27 de abril de 2020, y que no fue activado el protocolo antifraude, ni tampoco bloquearon la cuenta antes de que se efectuaran indebidamente los cargos del día 28, que ahora se reclaman, y que no deben imputarse a la hija de la demandante, ni a esta al no haberse acreditado que recibiera el SMS de confirmación del pago en su teléfono y que lo efectuara ninguna de ellas.
(...) Esta última interpretación nos parece más acorde con la protección debida al usuario de los servicios bancarios, y a las obligaciones propias de las entidades que ofrecen los servicios telemáticos, que son conocedoras de las crecientes actuaciones ilícitas o estafas que proliferan aprovechando las nuevas tecnologías, y que desarrollan mecanismos técnicos con el fin de ofrecer un sistema lo más seguro posible para el usuario, como parte igualmente de su oferta de servicios. Y en el caso concreto que se nos somete, la tardanza en bloquear la cuenta, o establecer medidas adicionales de protección por la entidad demandada, atendido que no existió retraso por la cliente en comunicar la sospecha en relación a la cuenta, que habría posibilitado intentar retrotraer los pagos efectuados pues se hizo con anterioridad al plazo de un día hábil según el art. 55 del RD 19/2018 de 23 de noviembre, entendemos que ello, que se refiere a una posibilidad de un mecanismo de retrocesión, lo que por otra parte no impide la reclamación efectuada, pues el art. 43 del Real Decreto-Ley indica en su art. 43, en orden a la notificación de operaciones de pago no autorizados o ejecutadas incorrectamente, contempla en el párrafo primero, que el usuario de servicios de pago obtendrá la rectificación por parte del proveedor de servicios de pago de una operación no autorizada, o ejecutada incorrectamente , únicamente si el usuario de servicios de pago se lo comunica sin demora injustificada, o en cuanto tenga conocimiento de cualquiera de dichas operaciones que sea objeto de reclamación, incluso de las cubiertas por el art. 60, y, en todo caso, dentro de un plazo máximo de trece meses contados desde la fecha del adeudo.
En conclusión, no apreciamos el error en la valoración de la prueba que se atribuye a la sentencia recurrida, y no puede eximirse a la recurrente de la responsabilidad declarada por la sentencia recurrida, que debe ser confirmada."
Finalmente, creo conveniente cerrar esta exposición con la Sentencia número 175/2022, de 13 de abril, de la Audiencia Provincial (Secc. 8ª) de Valencia (1), que realiza un análisis exhaustivo de la posible exigencia de responsabilidad al comercio en que se haya utilizado fraudulentamente la tarjeta de crédito:
(1) Sentencia número 175/2022, de 13 de abril, de la Audiencia Provincial (Secc. 8ª) de Valencia; Recurso número 746/2021; Ponente: D. PEDRO LUIS VIGUER SOLER;
"(...) las partes están conformes en cuanto a los hechos objeto de litigio, que en síntesis son los siguientes:
Las partes suscribieron un contrato de cuenta corriente en fecha 6 de abril de 2005 en los términos que constan en el documento número 3 de la demanda y no cuestionan la veracidad de las cinco operaciones de adquisición de billetes de avión que en el mes de abril de 2018 realizó un cliente llamado D. Arturo a través de Kuntur realizando el pago mediante tarjeta de crédito tras exigir la agencia al cliente el cumplimiento de determinados requisitos para aceptar el pago (entrega de fotocopia de pasaporte del viajero, de la tarjeta de crédito y remisión de la autorización para su cobro), y verificado, transfirió a la entidad mayorista el importe de dichos pagos y suministró los billetes. Es indiscutido también que la entidad demandada se hallaba autorizada por el Banco para utilizar como método de cobro mediante tarjetas una terminal de punto de venta o TPV, esto es, mediante datáfono, estando acreditadas las distintas operaciones con los documentos 1 a 17 de la contestación por un montante de 12.138,09 €. Tampoco se cuestiona que finalmente el banco acordó la retrocesión de las facturas correspondientes a dichas cinco operaciones de compra de billetes de avión en las que Kuntur utilizó su terminal de punto de venta o TPV proporcionado por el Banco de Santander, debido al uso aparentemente fraudulento de la tarjeta.
2.3.- Sentado lo anterior, hay que partir de la premisa de que no existe discrepancia esencial respecto de los hechos que sirven de base al procedimiento, en particular en cuanto a la vinculación contractual derivada del contrato de cuenta corriente y del cobro a través de la terminal de venta mediante tarjeta de crédito o TPV para la compra de cinco billetes de avión -si bien sólo se aporta el primer contrato de cuenta corriente, no el de adhesión al sistema de TPV- como tampoco se discute la realidad de las transacciones comerciales, el importe de éstas, y la utilización fraudulenta de las tarjetas por quien aparecía como titular de las mismas y la retrocesión del importe reclamado cuando se descubrió el uso irregular de la misma.
En definitiva, como bien indica la sentencia impugnada, el objeto del procedimiento se centra en determinar cuál de las dos partes -entidad bancaria o establecimiento comercial- debe asumir la retrocesión de los cargos; es decir, cuál de ellas asume el riesgo de las operaciones cuando se han utilizado tarjetas de manera fraudulenta (al menos indiciariamente, si bien este hecho en todo caso no se discute).
2.4.- En primer término cabe señalar que en la relación contractual de autos en que se enmarca la reclamación que ha dado lugar al presente procedimiento queda obviamente al margen la existente entre el banco y el titular de la tarjeta que efectúa las compras en cuanto es ajena a la vinculación contractual entre el banco y la empresa aquí discutida, pues nos encontramos ante una relación entre empresarios (comercio-banco) distinta a la existente entre el banco y los usuarios de las tarjetas de crédito que se regula en los arts. 27 a 31 de la Ley 16/2009 de 13 de noviembre, de Servicios de Pago (contrato de tarjeta de crédito), a lo que cabe añadir, en cuanto a las relaciones entre el comercio y el usuario o cliente, que el art. 112 TRLGDCU, modificado por Ley 3/2014 de 27 de marzo, regula actualmente las compras a distancia con pago mediante tarjeta, precepto que señala: "cuando el importe de una compra o de un servicio hubiese sido cargado fraudulenta o indebidamente utilizando el número de una tarjeta de pago, el consumidor y usuario titular de ella podrá exigir la inmediata anulación del cargo. En tal caso, las correspondientes anotaciones de adeudo y reabono en las cuentas del empresario y del consumidor y usuario titular de la tarjeta se efectuarán a la mayor brevedad", norma de la que se desprende que la responsabilidad por el buen fin de la operación en este tipo de compras frente al cliente sin duda es del empresario, si bien resta analizar su relación con la entidad bancaria.
Ello sentado, como señala la SAP Madrid 190/2012, de 10 de abril, en este tipo de contratos entre el banco y el comercio para la instalación y uso de una terminal TPV, la entidad financiera, que no es la emisora de las tarjetas, ni la signataria de los contratos de afiliación al programa de tarjetas de crédito, proporciona al comerciante unos servicios de procesamiento que permiten el pago a través de la tarjeta; a cambio, el comerciante abona una comisión de descuento, si bien éste obtiene una línea de crédito en virtud de la cual la entidad bancaria le adelanta las cantidades a las que asciende el importe de las ventas que realiza, mediante ingreso por anotación contable en la cuenta asociada. Se trata de una relación jurídica bilateral y sinalagmática, de la que no cabe concluir con la existencia de un beneficio exclusivo para solo una de ellas y en este sentido, el Tribunal Supremo en sentencia 396/2009 de 9 de junio, señala que en este tipo de contrato, que denomina "contrato de datáfono" no es posible pretender que el Banco responda de la solvencia de las personas con quienes contrata el comerciante, o de la efectividad de las operaciones realizadas, "por cuanto ello supone atribuirle una condición de garante que no tiene el más mínimo fundamento legal ni contractual".
En el mismo sentido se pronuncian diferentes Audiencias Provinciales, entre otras cabe citar entre las más recientes las SsAP Oviedo sec. 5ª nº 123/2021 de 26 de marzo, o SAP Baleares sec. 3 nº 288/2018 de 26 de junio (que cita la de la misma sección de 17 de junio de 2010 o la de 24 de mayo de 2007), la SAP Madrid sec. 14 nº 219/2016 de 20 junio (que cita la SAP Barcelona sec. 1ª de 29 de junio de 2014, la SAP Guipúzcoa sec. 3ª de 8 noviembre 2011 y la SAP Madrid sec. 12ª de 4 marzo 2008), las SsAP Madrid sec. 20ª nº 190/2012 de 10 abril -que seguimos en esta exposición-, y sec. 14ª nº 219/2015 de 24 julio, la SAP Málaga sec. 6ª nº 435/2013 de 17 julio, la SAP Madrid sec. 8 de 17 julio de 2008 y la SAP Baleares de 13 de marzo de 2007, siendo de destacar que las sentencias que cita la mercantil demandada apelante en su escrito son anteriores a la indicada STS 396/2009 de 9 de junio; y como señala la SAP Baleares sec. 3ª nº 243/2010 de 17 de junio " cualquier posible contradicción en la denominada "jurisprudencia menor" ha de entenderse superada por la doctrina sentada por el Tribunal Supremo en su sentencia de 9 de junio de 2009 , relativa al que denomina "contrato de datáfono" y con arreglo a la cual "pretender que el Banco debe responder de la solvencia de las personas con quienes contrataba la actora, o de la efectividad de las operaciones realizadas, es tanto como atribuirle una condición de garante que no tiene el más mínimo fundamento legal ni contractual".
Dichas sentencias al analizar contratos como el que es objeto de este procedimiento, señalan que el riesgo inherente a las operaciones realizadas a través en el sistema de pago por tarjeta, no puede ser soportado exclusivamente por la entidad bancaria, sino que ello debe analizarse de manera equitativa y en función de las circunstancias del caso concreto, de manera que las cláusulas como las de salvaguarda o "salvo buen fin", en virtud de las cuales se atribuye ese riego a la entidad o comercio que realiza las ventas a través de dicho sistema, encuentra su justificación en el hecho de que es el comerciante, y no la entidad bancaria que efectúa las anotaciones contables de la operación, el único que puede tomar precauciones para evitar la utilización fraudulenta de tarjetas; y también en que el uso de estas tarjetas, no sólo es beneficioso para la entidad bancaria, que cobra una comisión por cada operación realizada, sino también para los establecimientos, que pueden acceder a mercados inicialmente no accesibles a través del sistema de contratación convencional; debe tenerse en cuenta también que el comerciante es un profesional que debe saber cómo manejarse y desenvolverse en su actividad mercantil, no siendo de recibo el argumento de que se ignora el funcionamiento del sistema de Terminal Punto de Venta o de que como el sistema ha sido configurado por la entidad bancaria ésta debe responder por sus fallos.
2.5.- Partiendo de lo indicado, y examinado nuevamente lo actuado en primera instancia, entendemos, compartiendo la valoración fáctica y jurídica que señala la sentencia objeto de recurso, que el riesgo por el mal uso de las tarjetas de crédito es atribuible a la empresa demandada de acuerdo con la doctrina jurisprudencial expuesta, al margen de que la agencia de viajes tampoco cumplió diligentemente las obligaciones que le eran exigibles tal y como expone acertadamente la sentencia de instancia, y al no haberlo hecho así, debe responder de las consecuencias derivadas de la utilización fraudulenta de las tarjetas. En efecto, de la valoración conjunta de la documentación aportada con la contestación a la demanda y de la coherente y exhaustiva declaración en juicio de la empleada de la entidad financiera Dª. Flora cuya grabación audiovisual ha sido objeto de visionado por esta Sala, corroborada con la indicada documental, se desprende que a pesar de que la agencia de viajes demandada fue requerida en repetidas ocasiones para aportar la documentación completa de la operación una vez se constató que la compra de los cinco billetes de avión podría haber sido fraudulenta, dada la disconformidad de la operación por el titular de la tarjeta con la consiguiente retrocesión de los abonos que motivó el descubierto de la cuenta cuyo importe ahora se reclama, lo cierto es que la empresa demandada entregó una documentación incompleta, pues carecía de justificantes de las operaciones debidamente firmados, ya que la operación se llevó a cabo por teléfono, esto es, sin estar presente el cliente, que por ende no firmó delante del empelado del establecimiento comercial, ni tuvo que introducir su código de identificación, y ello a pesar de que la agencia de viajes no disponía de TPV virtual a través de la web, sino físico, que en el caso no se utilizó, al ser realizada la compra a distancia, telefónicamente, sin que la agencia fuera capaz de aportar los justificantes sino simplemente una autorización remitida por correo electrónico por el usuario irregular de las tarjetas, lo que implica que el comercio no adoptó las mínimas precauciones a pesar de tratarse de una operación arriesgada (por no decir sospechosa), no sólo por la frecuencia de este tipo de operaciones fraudulentas singularmente con agencias de viajes (prueba de ello es la abundante jurisprudencia menor sobre el particular), sino por el propio modus operandi con la compra de diversos billetes en días sucesivos por la misma persona, con la misma tarjeta, por elevado importe y para distintas personas, lo que hacía presumir el posible carácter fraudulento de dichas compras, o al menos requería que se extremaran las cautelas, por lo que no puede imputarse a la entidad bancaria actora la responsabilidad de una operación respecto de la que es un tercero, pues se limitó a poner a disposición del comercio la terminal y su conexión al sistema TPV, y que además se halla en peor posición que el establecimiento comercial para realizar las oportunas comprobaciones, por lo que el riesgo es atribuible al comercio y como se ha expuesto, su justificación hay que buscarla en el hecho de que es el empresario que utiliza el sistema el único que puede tomar precauciones para evitar la utilización fraudulenta de tarjetas, a lo que debe añadirse que dicho uso no sólo es beneficioso para la entidad bancaria, que cobra una comisión por cada operación realizada, sino también para el propio comercio, ya que permiten ampliar y facilitar su actividad comercial.
Por tanto y como ha reiterado la jurisprudencia, debe tenerse en cuenta que el comerciante es un profesional del ámbito mercantil, no siendo de recibo el argumento de que como el sistema ha sido configurado por la entidad bancaria ésta debe responder por sus fallos o falta de diligencia o de control como una especie de avalista o garante a todo trance de las operaciones realizadas."
JURISPRUDENCIA REFERENCIADA:
(1) Sentencia número 819/2022, de 7 de septiembre, de la Audiencia Provincial (Secc. 5ª) de Zaragoza; Recurso número 421/2022; Ponente: D. ALFONSO MARIA MARTINEZ ARESO;
(2) Sentencia número 804/2022, de 1 julio, de la Audiencia Provincial (Secc. 5ª) de Zaragoza, Recurso número 1130/2021; Ponente: D. ANTONIO LUIS PASTOR OLIVER;
(3) Sentencia número 110/2022, de 24 de febrero, de la Audiencia Provincial (Secc. 3ª) de Tarragona; Recurso número 256/2020; Ponente: Dª. SILVIA FALERO SANCHEZ;
(4) Sentencia número 109/2022, de 17 de marzo de la Audiencia Provincial (Secc. 4ª) de Barcelona; Recurso número 539/2021; Ponente: Dª. MARTA DOLORES DEL VALLE GARCIA;
(5) Sentencia de fecha 23/05/2022 del Juzgado de Primera Instancia Número 99 de Madrid; Asunto número 636/2020;
(6) Sentencia número 254/2022, de 13 de junio de la Audiencia Provincial (Secc. 6ª) de Valencia; Recurso número 932/2021; Ponente: D. JOSE FRANCISCO LARA ROMERO;
JOSE MANUEL ESTEBANEZ IZQUIERDO
JUEZ SUSTITUTO
