Sumario: I.- Introducción; II.- Normativa; III.- Casuística; IV.- Conclusiones: V.- Resoluciones referenciadas;
I.- Introducción
Los ciberdelincuentes usan estrategias con las que engañan al usuario. En ocasiones le hacen creer, por ejemplo, que su banco le pide actualización de datos. El cliente atiende porque la solicitud le llega por medio de su correo electrónico o a través de una web casi idéntica a la de la entidad bancaria. Responde al pedido y entrega sus datos. Así comienza el phishing.
Hay otras modalidades las que el ciberataque que se dirige a las personas a través de SMS (servicio de mensajes cortos) o mensajes de texto. Así comienza el smishing. El término es una combinación de "SMS" y "phishing". En un ataque de smishing, los ciberdelincuentes envían mensajes de texto engañosos para inducir a las víctimas a compartir información personal o financiera, hacer clic en enlaces malintencionados o descargar software o aplicaciones dañinas. Al igual que los ataques de phishing basados en el correo electrónico, estos mensajes engañosos suelen parecer proceder de fuentes fiables y utilizan tácticas de ingeniería social para crear una sensación de urgencia, curiosidad o miedo con el fin de manipular al destinatario para que realice una acción no deseada.
Siendo Internet una red pública de comunicaciones, la seguridad de las operaciones bancarias precisa de soluciones tecnologías avanzadas a los efectos de garantizar tanto la autenticidad como la integridad y la confidencialidad de los datos.
Lo cierto es que se ha producido un claro incremento de este tipo de fraudes, cuyas cifras de criminalidad rebasan las de otros sectores de actividades peligrosas.
Ello determina que los usuarios hayan de gozar de la debida protección frente a los riesgos inherentes a los medios de pago digitales, no pudiendo olvidarse que quien tiene las ventajas de un negocio por el que obtiene un lucro (esto es, las entidades prestadoras de servicios e pago), hayan de soportar los inconvenientes de ese negocio como contraprestación por el lucro obtenido..
Y es que en sectores de actividades peligrosas debe regir una responsabilidad objetiva, en razón al riesgo inherente al servicio prestado, cuyo título de imputación se fundamenta en la falta de la diligencia debida, que en estos casos debe ser rigurosa, ajustada las circunstancias concurrentes.
Ha de insistirse en que los pagos digitales se trata de un sector de actividad en auge, con constante incremento del índice delictivo, caracterizado por técnicas de engaño basadas en ingeniería social y uso de programas informáticos maliciosos imposibles o difícilmente detectables por los usuarios, en el que el principal beneficiario del uso de este sistema de pagos son los proveedores de estos medios -cuando menos son quienes obtienen el beneficio económico-, mientras que los clientes, que se ven obligados al uso de estos medios de pago -tanto por las restricciones legales al uso de dinero metálico como por el interés de los proveedores de servicios de pago en el uso de estas tecnologías-, sólo obtienen un interés difuso por el ahorro de tiempo en desplazamientos presenciales a la sucursal.
II.- Normativa
El Texto Refundido de la Ley para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, aprobado por el Real Decreto Legislativo 1/2007, de 16 de noviembre, dispone:
-Art. 147: "Los prestadores de servicios serán responsables de los y perjuicios causados a los consumidores o usuarios, salvo que prueben que han cumplido las exigencias y requisitos reglamentariamente establecidos y demás cuidados y diligencias que exige la naturaleza del servicio";
-Art. 148: "se responderá de los daños originados en el correcto uso de los servicios, cuando por su propia naturaleza, o por estar así reglamentariamente establecido, incluyan necesariamente la garantía de niveles determinados de eficacia o seguridad, en condiciones objetivas de determinación, y supongan controles técnicos, profesionales o sistemáticos de calidad, hasta llegar en debidas condiciones al consumidor y usuario";
Por su parte, el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, establece un sistema de responsabilidad cuasi-objetiva de la entidad proveedora del servicio de pago, lo que supone un paso más en la protección al consumidor que el previsto en el art. 148 del Texto Refundido de la Ley para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, aprobado por el Real Decreto Legislativo 1/2007, de 16 de noviembre, puesto que viene a excusar al consumidor de la negligencia en que pueda haber incurrido por facilitar sus datos personales y claves de confirmación o firma electrónica en virtud de la acción defraudatoria de terceros. Responsabilidad civil que solo cesa cuando el ordenante ha actuado de manera fraudulenta o ha incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41, precepto este que impone al usuario la obligación de utilizar el instrumento de pago de conformidad con las condiciones que regulen la emisión y de tomar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas, y en caso de extravío, sustracción o apropiación indebida, notificarlos al proveedor de servicios de pago sin demora.
En concreto, prevé:
-Artículo 44, prueba de la autenticación y ejecución de las operaciones de pago:
"1. Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago.
Si el usuario de servicios de pago inicia la operación de pago a través de un proveedor de servicios de iniciación de pagos, corresponderá a éste demostrar que, dentro de su ámbito de competencia, la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable.
2. A los efectos de lo establecido en el apartado anterior, el registro por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 41.
3. Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave.
4. El proveedor de servicios de pago conservará la documentación y los registros que le permitan acreditar el cumplimiento de las obligaciones establecidas en este Título y sus disposiciones de desarrollo y las facilitará al usuario en el caso de que así le sea solicitado, durante, al menos, seis años. No obstante, el proveedor de servicios de pago conservará la documentación relativa al nacimiento, modificación y extinción de la relación jurídica que le une con cada usuario de servicios de pago al menos durante el periodo en que, a tenor de las normas sobre prescripción puedan resultarles conveniente para promover el ejercicio de sus derechos contractuales o sea posible que les llegue a ser exigido el cumplimiento de sus obligaciones contractuales.
Lo dispuesto en este apartado se entiende sin perjuicio de lo establecido en la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, así como en otras disposiciones nacionales o de la Unión Europea aplicables.
-Artículo 45, responsabilidad del proveedor de servicios de pago en caso de operaciones de pago no autorizadas:
"1. Sin perjuicio del artículo 43 de este real decreto-ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada. (...)"
-Artículo 68, autenticación:
"1. Los proveedores de servicios de pago aplicarán la autenticación reforzada de clientes, en la forma, con el contenido y con las excepciones previstas en la correspondiente norma técnica aprobada por la Comisión Europea, cuando el ordenante:
a) acceda a su cuenta de pago en línea;
b) inicie una operación de pago electrónico;
c) realice por un canal remoto cualquier acción que pueda entrañar un riesgo de fraude en el pago u otros abusos.
2. En lo que se refiere a la iniciación de las operaciones de pago electrónico mencionada en el apartado 1, letra b) respecto de las operaciones remotas de pago electrónico, los proveedores de servicios de pago aplicarán una autenticación reforzada de clientes que incluya elementos que asocien dinámicamente la operación a un importe y un beneficiario determinados.
3. En los casos a los que se refiere el apartado 1, los proveedores de servicios de pago contarán con medidas de seguridad adecuadas para proteger la confidencialidad y la integridad de las credenciales de seguridad personalizadas de los usuarios de los servicios de pago.
4. Los apartados 2 y 3 se aplicarán asimismo cuando los pagos se inicien a través de un proveedor de servicios de iniciación de pagos. Los apartados 1 y 3 se aplicarán asimismo cuando la información se solicite a través de un proveedor de servicios de pago que preste servicios de información sobre cuentas.
5. El proveedor de servicios de pago gestor de cuenta permitirá al proveedor de servicios de iniciación de pagos y al proveedor de servicios de pago que preste servicios de información sobre cuentas utilizar los procedimientos de autenticación facilitados al usuario de servicios de pago por el proveedor de servicios de pago gestor de cuenta de conformidad con los apartados 1 y 3 y cuando intervenga el proveedor de servicios de iniciación de pagos, de conformidad con los apartados 1, 2 y 3.
6. No obstante, no será preciso aplicar la autenticación reforzada de clientes a la que se refiere el apartado 1 a los supuestos indicados en el artículo 98.1.b) de la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015."
iii.- Casuística:
-Asturias
La Sentencia número 502/2024, de 25 de junio, de la Audiencia Provincial (Secc. 1ª) de Asturias (1), argumenta:
"(...) no existe prueba alguna que acredíte la concurrencia de negligencia grave y conducta activa por parte de la actora más allá de pinchar en el enlace recibido por el canal de RURALVIA y meter sus claves en la página web espejo. Por la entidad demandada se afirma que las operaciones se autenticaron y autorizaron con los elementos previstos al efecto, explicando la testigo DOÑA Carla que para realizar las operaciones cuyas cuantías se reclaman se realizó un acceso a la banca electrónica (usuario, DNI y clave de acceso), posteriormente se activó la biometría (claves de firma de operaciones y código de un solo uso enviado al móvil) así como posterior introducción de datos de la tarjeta, código de seguridad y fecha de caducidad, datos que insiste solo se hallan en el plástico de la tarjeta. Estando no ante compras por un fraude informático sino ante compras con tarjeta de crédito. Ahora bien, lo cierto es que igualmente queda indeterminada en tales alegaciones la forma como aquella otra persona, el ciberdelincuente, accedió a los datos precisos para realizar la modificación del sistema de seguridad, que tampoco aparece razonablemente explicado por el banco, el cual tampoco sugiere una maniobra colusoria entre aquella otra persona y su cliente.
En suma, a tal efecto no puede resultar suficiente la aportación del Registro de la demandada ni el informe RSI. La única negligencia imputable a la actora radica en haber confiado en la legitimidad del SMS que le fue remitido a efectos de activar la autenticación biométrica, lo que no puede ser considerado constitutivo de negligencia grave pues solo supone la activación del sistema de biometría pero no la autorización de operaciones de compra como las realizadas.
El error ha de entenderse "excusable" en los términos en que es definido por la jurisprudencia, esto es, aquel en que puede incurrirse pese al empleo de una diligencia media o regular y, pese a ello, sufre un error que vicia su consentimiento, no imputable al interesado, en el sentido de causado por él -o personas de su círculo jurídico-, en sintonía con un elemental postulado de buena fe ( Arts. 7.1 y 1258 del Código Civil) a efectos de impedir que se proteja a quien no merece dicha protección por su conducta negligente ( SSTS, Sala 1ª, de 12 de julio de 2002; 24 de enero de 2003; 12 de noviembre y 12 de diciembre de 2004; 17 de febrero de 2005; y 17 de julio de 2006). La existencia del engaño, del fraude, reconocida por la entidad evidencia que esta no había implementado todos las medidas o mecanismos necesarios para proteger a su cliente de tales ataques por ciberdelincuentes, cada vez más frecuentes y por todas las entidades conocidos, lo cual les exige una respuesta de seguridad acorde con la proliferación de este tipo de fraudes informáticos, y comporta el incumpliendo de su obligación de garantizar la seguridad de los servicios de pago efectuados a través de internet o dispositivos móviles. Precisamente, lo que caracteriza a esta técnica de captación de datos confidenciales informáticos es su sofisticación y capacidad de imitar el lenguaje, formato e imagen de las entidades financieras a las que suplantan, de modo que inducen fácilmente a error a la víctima, que, acostumbrada a recibir mensajes de su entidad por este canal, confían en su autenticidad.
La responsabilidad por la conducta de la demandada está definida en el art. 45 de la LSP que obliga al proveedor de servicios de pago a restituir el importe de las operaciones fraudulentas. Los razonamientos expuestos determinan la desestimación del recurso de apelación interpuesto y la condena a la entidad demandada a abonar a la parte actora la suma reclamada en la demanda."
La Sentencia número 289/2024, de 28 de mayo, de la Audiencia Provincial (Secc. 6ª) de Asturias (2), razona:
"Ciertamente el R.D. Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera dedica el artículo 44 y ss. a regular la carga de la prueba sobre la autenticación y ejecución de las operaciones de pago, atribuyendo al proveedor del servicio la demostración de que la operación fue debidamente autorizada por el usuario y ejecutada en sus mismos términos, siendo de especial interés su apartado tercero porque viene a trasladar al proveedor del servicio la responsabilidad por la ejecución de operaciones no autorizadas salvo prueba de que el usuario del servicio cometió fraude o negligencia grave.
Lo confirma el artículo 45 cuando señala que, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada.
Y lo remacha el artículo 46, según el cual el ordenante podrá quedar obligado a soportar, hasta un máximo de 50 euros, las pérdidas derivadas de operaciones de pago no autorizadas resultantes de la utilización de un instrumento de pago extraviado, sustraído o apropiado indebidamente por un tercero, salvo que:
a) al ordenante no le resultara posible detectar la pérdida, la sustracción o la apropiación indebida de un instrumento de pago antes de un pago, salvo cuando el propio ordenante haya actuado fraudulentamente, o
b) la pérdida se debiera a la acción o inacción de empleados o de cualquier agente, sucursal o entidad de un proveedor de servicios de pago al que se hayan externalizado actividades.
El criterio mayoritario de las Audiencias recopilado en la sentencia de la Audiencia Provincial de Cantabria de 10 de octubre de 2023, con cita de las sentencias de la Audiencia Provincial de Madrid (Sección 9ª) núm. 178/2015 de 4 mayo de 2015, de la Sección 11ª, de 28 de febrero de 2022 y de la Sección 20ª de 20 de mayo de 2022, de Asturias, Sec. 7ª, de 30 de junio de 2023, de Pontevedra, Sec. 3ª de 23 de marzo de 2023, de Badajoz, de 7 de febrero de 2023, de la Rioja, de 17 de febrero de 2023, Alicante, de 12 de marzo de 2018, entre otras, es que "la legislación de protección de servicios de pago (RDL 19/2018) establece un sistema de responsabilidad cuasiobjetiva de la entidad o proveedor de pagos, que deriva del incumplimiento por su parte de los deber de diligencia en la garantía de operaciones de pago, implementando todos los mecanismos y controles de autenticación necesarios, incluido dotarse de tecnología "antiphising" para proteger al cliente de este tipo de ataques fraudulentos y (ii) la entidad solo puede liberarse de tal responsabilidad si prueba que la orden de pago no se vio afectada por "un fallo técnico u otra deficiencia del servicio prestado por dicho proveedor", que el cliente ha actuado fraudulentamente o con negligencia grave a la hora de aplicar los medios razonables de protección de que haya sido provisto o cuando no haya comunicado a la entidad el pago no autorizado en cuanto tenga conocimiento del mismo."
Esa es también la posición adoptada por esta Audiencia Provincial de Asturias, Sección 5ª, en sus sentencias de 20 de abril y de 22 de junio de 2023, a la que también se sumó esta Sección 6ª desde su sentencia de 18 de marzo del año en curso, y, descartado el fraude del usuario, restaría examinar si este incurrió en negligencia grave.
TERCERO.-Es obvio que la demandante incurrió en negligencia en la custodia de sus credenciales personalizadas de seguridad en el uso del servicio de Banca a Distancia, pues a la postre facilitó a tercero su identidad como usuario, la contraseña y más tarde hizo lo propio con la clave individualizada de la operación que permitió la vinculación de un nuevo dispositivo al servicio de Banca a Distancia.
Sin embargo no puede compartirse la crítica vertida en el recurso de que la conducta del usuario fue gravemente negligente, entendiendo por tal la desatención grosera de las precauciones más elementales en el uso de las credenciales de seguridad personalizadas del instrumento de pago; coincidimos por tanto en el parecer de la sentencia de la Sección 4ª de la AP de Málaga de 30 de noviembre de 2021 cuando concluye que la "negligencia grave" a la que se refiere la norma debe reservarse para supuestos donde la conducta de la víctima roza lo inexcusable, como falta o retraso en la comunicación de la estafa, o casos de imitaciones burdas y groseras, o requerimientos ilógicos o absurdos para obtener las claves de la víctima conforme a su formación y conocimientos.
En este sentido, cabe destacar que la notificación sobre la necesidad de una intervención en la cuenta corriente partía de un SMS que remitía a una página Web de apariencia idéntica a aunque en realidad la usuaria había sido redirigida a una página clonada de la original de la entidad de crédito, de manera que en ese momento el demandante no tuvo motivo para sospechar que no estaba en un lugar seguro.
Se trata por tanto de una estratagema y escenario bien construidos para inducir al usuario a una equivocación en la que era fácil caer si no se disponía de conocimientos avanzados por lo que acierta la sentencia de instancia cuando concluye que no se ha probado que el demandante incurriera en negligencia grave, por más que gracias a la contestación a esa comunicación al cual el hacker hubiera obtenido la OTP con la que consumó la estafa.
Por todo ello este Tribunal comparte y hace suyos los acertados razonamientos y conclusión de la recurrida al trasladar al proveedor del servicio de pago la responsabilidad por la operación de pago no autorizada por el usuario y se desestima el recurso."
La Sentencia número 501/2024, de 25 de junio, de la Audiencia Provincial (Secc. 1ª) de Asturias (3), remarca:
"(...) el actor relata que su móvil quedó infectado por un virus, logrando el ciberdelincuente tomar el control remoto y realizar diversas operaciones bancarias, bloqueando el móvil del actor de tal manera que éste no podía ni apagarlo, siendo que tras varios intentos y usando el móvil de su mujer, el actor, logró ponerse en contacto con atención al cliente. El actor niega haber autorizado o haber participado en la realización de las 27 transferencias internacionales inmediatas que vaciaron por completo su cuenta.
La valoración del conjunto de la prueba obrante en autos consistente únicamente en prueba documental, conduce a concluir que no existe prueba alguna que acredite lo contrario, antes bien, afirmándose por la entidad que las operaciones se autenticaron y autorizaron con los elementos previstos al efecto y que las operaciones requieren de la identificación mediante un DNI, código personal (PIN) que conoce la ordenante y la recepción para cada operación de la coordenada facilitada en un SMS enviado al teléfono móvil en posesión del ordenante, lo cierto es que igualmente queda indeterminada en tales alegaciones porqué procedió a devolver dos de las transferencias y no todas ellas, el cual tampoco sugiere una maniobra colusoria entre aquella otra persona y su cliente. La única negligencia imputable a la actora radica en haber confiado en la legitimidad de la llamada recibida lo que no puede ser considerado constitutivo de negligencia grave pues no equivale a la autorización de operaciones de transferencia como las realizadas. El error ha de entenderse "excusable" en los términos en que es definido por la jurisprudencia, esto es, aquel en que puede incurrirse pese al empleo de una diligencia media o regular y, pese a ello, sufre un error que vicia su consentimiento, no imputable al interesado, en el sentido de causado por él -o personas de su círculo jurídico-, en sintonía con un elemental postulado de buena fe ( Arts. 7.1 y 1258 del Código Civil) a efectos de impedir que se proteja a quien no merece dicha protección por su conducta negligente ( SSTS, Sala 1ª, de 12 de julio de 2002; 24 de enero de 2003; 12 de noviembre y 12 de diciembre de 2004; 17 de febrero de 2005; y 17 de julio de 2006). La existencia del engaño, del fraude, reconocida por la entidad evidencia que esta no había implementado todos las medidas o mecanismos necesarios para proteger a su cliente de tales ataques por ciberdelincuentes, cada vez más frecuentes y por todas las entidades conocidos, lo cual les exige una respuesta de seguridad acorde con la proliferación de este tipo de fraudes informáticos, y comporta el incumpliendo de su obligación de garantizar la seguridad de los servicios de pago efectuados a través de internet o dispositivos móviles. Precisamente, lo que caracteriza a esta técnica de captación de datos confidenciales informáticos es su sofisticación y capacidad de imitar el lenguaje, formato e imagen de las entidades financieras a las que suplantan, de modo que inducen fácilmente a error a la víctima, que, acostumbrada a recibir mensajes de su entidad por este canal, confían en su autenticidad. La responsabilidad por la conducta de la demandada está definida en el art. 45 de la LSP que obliga al proveedor de servicios de pago a restituir el importe de las operaciones fraudulentas. Los razonamientos expuestos determinan la desestimación del recurso de apelación interpuesto y la condena a la entidad demandada a abonar a la parte actora la suma reclamada en la demanda."
Señala la Sentencia número 320/2024, de 21 de junio, de la Audiencia Provincial (Secc. 5ª) de Asturias (4):
"(...) la cuestión se limita a determinar si la entidad financiera ha probado que su cliente incurrió en una negligencia grave en su relación con la entidad financiera, que cifra en haber proporcionado al defraudador las claves de acceso mediante un artificio no determinado.
Este Tribunal se ha pronunciado, entre otras, en las sentencias de veinte de abril y 22 de junio de 2023 sobre estos tipos de defraudaciones, en términos que ya se citan en la resolución recurrida. Así señalamos: "Y a partir de tal consideración, la única negligencia imputable al consumidor radica en haber confiado en el SMS recibido en su móvil, en la línea de mensajes de la demandada, y consignar en la página a la que resultó redireccionado las claves de acceso a su usuario, lo que esta Sala no ha considerado constitutivo de una negligencia grave en atención a la distribución de la responsabilidad regulado en la LSP. En la reciente sentencia de veinte de abril de dos mil veintitrés señalamos, en un supuesto análogo: "...la prueba allegada por el banco al respecto, que se redujo a una certificación del empleado de la demandada responsable del Departamento de Banca Digital aparece desmentido o, al menos, resulta insuficiente para probar, como le corresponde a la recurrente, aquella actuación negligente del cliente basada en la comunicación a terceros o cuidado de la clave de acceso. Como señala la sentencia de la Sec. 3ª de la AP de Burgos de 5 de diciembre de 2022 a propósito del fraude por phishing, "la mayor parte de las AAPP han apreciado responsabilidad del proveedor de servicios de pago cuando lo único que ha hecho el usuario es descargarse estos programas maliciosos, sin introducir un segundo código de autenticación. Así, SSAP Zaragoza sección 5 del 1 de julio de 2022 ( ROJ: SAP Z 1482/2022 ), Granada sección 5 del 20 de junio de 2022 ( ROJ: SAP GR 957/2022 ), Valencia sección 6 del 13 de junio de 2022 ( ROJ: SAP V 2622/2022 ), Madrid sección 20 del 20 de mayo de 2022 ( ROJ: SAP M 7327/2022 ), y Pontevedra sección 6 del 21 de diciembre de 2021 ( ROJ: SAP PO 3078/2021 )".
En el presente caso el usuario niega haber proporcionado sus claves de acceso al defraudador, ni tampoco las de confirmación de cambio de terminal asociada a la banca electrónica y la entidad financiera se limita a aportar sus registros para autorizar la vinculación a la banca electrónica el nuevo terminal, de forma que la tesis de la recurrente tiene como único sustento probatorio aquellos registros, lo que contraviene el art. 44 de la ley, según el cual corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave, añadiendo que el registro por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones. Y tal es la remisión que hace la sociedad recurrente en este caso para tratar de exonerarse de responsabilidad. Adicionalmente debe decirse que la versión de la demandante no resulta incompatible con aquel registro pues en la operativa de la delincuencia cibernética existen múltiples formas de suplantar la identidad del cliente, de forma que el defraudador recibiera aquellos códigos y no la persona debidamente autorizada. Y es la demandada la que debe soportar la falta de prueba del hecho que determinó el acceso del tercero a la cuenta de su cliente. En suma, no consta probada una actuación negligente de los usuarios, lo que conduce a la misma conclusión declarada en la sentencia recurrida.
-Badajoz
La Sentencia número 109/2024, de 12 de abril, de la Audiencia Provincial (Secc. 3ª) de Badajoz (5), expone:
"(...) de la prueba practicada, si bien es posible acreditar que la entidad actora ha cumplido con su obligación de demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago, sin embargo, no ha demostrado, y a ella correspondía la carga probatoria, que se hubiera producido una negligencia grave en el actuar del actor, que exonere de responsabilidad a la entidad demandada, así como tampoco que hubiera proveído al demandante de los mecanismos de autenticación y supervisión suficientes (reforzados) para detectar y evitar la utilización fraudulenta de su medio de pago, como puede ser el dotarse de la tecnología antiphishing precisa para detectar las páginas o enlaces fraudulentos, impidiendo su acceso, lo que, de haberse producido, hubieran evitado que el defraudador pudiera hacerse con las credenciales del usuario del instrumento de pago por ella emitido, pues la rotura del enlace haría ya ineficaz cualquier conducta que frente al mismo pudiera observar el usuario receptor.
Así, de la lectura del SMS recibido por el actor no es posible concluir, que de haber clicado en el enlace, se derive su falta de diligencia en la protección de las credenciales del instrumento de pago. No ha de olvidarse que en el phishing se usan técnicas para ganarse la confianza del usuario del instrumento de pago y aprovecharse de una simulación cada vez más perfeccionada. A ello debiera responderse por la entidad bancaria también con mecanismos de protección cada vez mayores y mejores. Así, la entidad bancaria no podía desconocer que frecuentemente mediante esta técnica el tercero defraudador utiliza los datos para activarla en una aplicación de pago, por lo que debiendo conocer que el teléfono desde el que se le había solicitado la activación no se encontraría entre los que hubiera registrado su nombre el actor, la comunicación del número de terminal telefónico devenía exigible para que aquélla pudiera conocer que era un tercero quien podría disponer de sus datos mediante la aplicación de pago que se activaría.
De lo expuesto se concluye que la entidad demandada no habría acreditado la observancia de los deberes de diligencia que le eran exigibles en la autenticación de las operaciones de pago, pues ni habría probado haber implementado un mecanismo antiphising de protección de los usuarios de los instrumentos de pago por ella emitidos frente al uso fraudulento por un tercero para hacerse con las credenciales del instrumento; ni habría puesto en conocimiento del usuario los datos necesarios para que este conociera que se trataba de instalar una aplicación de pago por un tercero; ni tampoco de avisarle por el mecanismo habitual de contacto con el cliente que se estaban intentando realizar transferencias de alto importe, a fin de que el demandante hubiera podido, con carácter previo, dar su visto bueno a las utilizaciones concretas que se pretendían, lo que hubiera permitido conocer tal uso fraudulento, conocimiento que solo adquirió tras examinar los movimientos de su cuenta bancaria.
Por ello, no cabe observar negligencia grave del demandante de los deberes de conducta al usar del instrumento de pago y al dirigirse a un enlace simulado y habrá de ser, en consecuencia, la entidad demandada como proveedora de los servicios de pago usados de manera fraudulenta por un tercero logrando con ello acceder a la cuenta bancaria del demandante, quien haya de responder las pérdidas sufridas por éste con tales operaciones."
-Barcelona
La Sentencia número 501/2024, de 26 de junio, de la Audiencia Provincial (Secc. 17ª) de Barcelona (6), refleja lo siguiente:
"Como recurda la SAP de Asturias sección 1 del 20 de marzo de 2024 (...) "encontramos que el sistema de responsabilidad para la entidad proveedora del servicio de pago que aparece diseñado en el RDL de Servicios de Pago reviste los caracteres de un régimen de responsabilidad cuasi objetivo, puesto que, además de asumir la carga de demostrar la exactitud y corrección de la operación de pago, le incumbe también la de probar que fue el usuario quien incurrió en fraude o negligencia grave."
Por lo que, no probando el BBVA conforme art 44.1 que la operación no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por BBVA en tanto que proveedor de servicios de pago, es por todo ello, y por la carga probatoria que tenia, por lo que debe responder BBVA como razona la sentencia apelada.
En este sentido como recuerda la SAP de Barcelona sección 1 del 07 de junio de 2023 (...) con cita de la "la SAP de Pontevedra, 177/2023, de 23 de marzo : " En interpretación de directiva 2015/2366 , la negligencia que hace responder al cliente es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario , no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional. Como parámetro del actuar negligente también cabrá acudir al art. 1.104 CC , que exige la diligencia asociada a la naturaleza de la obligación y a las circunstancias personales, de tiempo y lugar. Ello destacándose la complejidad y grado de perfección que presenta en la actualidad el método de "phishing" de difícil detección por persona de formación media, así como el deber de la proveedora, del servicio de dotarse de tecnología suficiente y adecuada con exigencia de medidas implantadoras activas, sin entenderse suficientes avisos generales o en página web de mero carácter informativo o divulgativo -por todas, SS. AP Pontevedra (Secc. 6ª) 21.12.21 y Madrid (20ª) 20.5.2022 , en la línea de lo razonado en SS. AP Valencia (6ª) 13.6.2022 ,Granada (5ª) 20.6.2022 y Badajoz (3ª) 21.6.2022 -."
-Burgos:
La Sentencia núemro 92/2024, de 14 de marzo, de la Audiencia Provincial (Secc. 2ª) de Burgos (7), establece:
"Como señala esta Audiencia Provincial S. 3ª en S. de fecha 5-12-2022: "La mayor parte de las AAPP han apreciado responsabilidad del proveedor de servicios de pago cuando lo único que ha hecho el usuario es descargarse estos programas maliciosos, sin introducir un segundo código de autenticación. Así, SSAP Zaragoza sección 5 del 1 de julio de 2022 ( ROJ: SAP Z 1482/2022 ), Granada sección 5 del 20 de junio de 2022 ( ROJ: SAP GR 957/2022 ), Valencia sección 6 del 13 de junio de 2022 ( ROJ: SAP V 2622/2022 ), Madrid sección 20 del 20 de mayo de 2022 ( ROJ: SAP M 7327/2022 ), y Pontevedra sección 6 del 21 de diciembre de 2021 ( ROJ: SAP PO 3078/2021 ). Y la AP Alicante sección 8 del 12 de marzo de 2018 ( ROJ: SAP A 632/2018 ) ha sido clara a la hora de aplicar el principio de inversión de la carga de la prueba en favor del usuario, al decir " es la prestadora de los servicios de pago quien tiene la obligación de facilitar un sistema de banca telemática segura, y no son sus clientes- usuarios los que deben prevenir ni averiguar las modalidades de riesgos que el sistema conlleva, ni prevenir con un asesoramiento experto los mismos, no pudiendo en suma la parte obligada legalmente a ofrecer un modelo de servicio de caja que requiere de un especial nivel de seguridad, objetar que el usuario debía conocer aspectos técnicos tales como identificar una web como falsa -cuando no consta que fuera burda y por tanto, evidente de toda falsedad".
Como ha señalado SAP Madrid S. 10 de 13-1-2023 :" La responsabilidad contemplada en esta Ley es cuasi-objetiva, es decir, se trata de una responsabilidad de la entidad que presta servicios de pago que sólo permite exonerarse mediante la prueba de la culpa grave del ordenante."
En definitiva, la atribución en la sentencia de 1ª instancia al usuario de la carga de la prueba sobre la falta de existencia por su parte de fraude o negligencia grave en la disposición de fondos objeto del procedimiento, desestimando por ello las pretensiones de su demanda, vulnera la citada normativa comunitaria.
CUARTO.- La aplicación de la doctrina expuesta al presente caso determina la íntegra estimación de las pretensiones formuladas en la demanda.
Es cierto que en el presente caso, no se ha probado la forma en la que los autores del fraude han vulnerado el sistema de autenticación reforzada, y realizado la suplantación de identidad porque en la denuncia y en la demanda no se indica de forma concreta, pero la falta de claridad sobre la forma de operar de los defraudadores también ha sido consecuencia de que la parte demandada tras proponer la prueba de interrogatorio de parte renunció a ella por lo que no puede invocar que no se haya ofrecido una explicación más detallada, cuando pudo haberla obtenido mediante la citada prueba.
Aunque la entidad demandada dispone de un sistema de seguridad reforzado y que las operaciones realizadas se indica fueron realizadas con los requisitos de autorización pertinentes, se reconoce por aquella que existen distintos sistemas de suplantación de identidad, entre ellos el denominado: SIM swapping que consiste en la clonación o duplicación de la tarjeta SIM del teléfono de la víctima con la finalidad de tener acceso al número de telefónico y, de esta manera, usurpar la identidad del perjudicado, acceder a redes sociales donde constan los datos personales de la víctima, poder acceder al correo electrónico vinculado al dispositivo, a la información contenida en el teléfono móvil entre la que pudiera encontrase las claves o credenciales personales, secretas e intransferibles del propietario del terminal, incluida la clave de firma electrónica de acceso a la Banca online de las entidades financieras.
De ello resulta que, en esos casos, el SMS de clave de operación se puede recibir en un terminal fraudulento, lo que hace ineficaz el citado sistema de seguridad.
En el presente caso, el cliente lo es desde hace varios años, no se aporta dato alguno que permita considerar que la operación del usuario haya sido fraudulenta por su parte, ni la forma en que aquella se ha realizado, pero sí que se obtuvo mediante la autorización de un préstamo preconcedido por la propia entidad a nombre del cliente, que la operativa fue realizada desde una IP en el extranjero y con transferencia inmediata a una cuenta en Lituania, actuación extraña a una operativa ordinaria.
Por todo ello consideramos que no ha sido la demandante la beneficiaria (directa o indirecta) de las transferencias que se han hecho desde su cuenta; sin que en definitiva se haya acreditado tampoco la negligencia grave del usuario en la disposición fraudulenta del importe, habiendo aquel realizado actuaciones inmediatas para la paralización de la operación de crédito y transferencia, presentando denuncia y comunicando su falta de autorización a las operaciones indicadas.
La falta de prueba por la entidad demandada de la actuación fraudulenta o negligencia grave del actor determina, en aplicación de la normativa indicada, su ausencia de responsabilidad y en consecuencia la estimación de las pretensiones formuladas en el escrito de demanda sobre responsabilidad de la parte demandada en la ejecución de las operaciones realizadas (préstamo y transferencia).
Ahora bien, careciendo esas operaciones de la autorización del actor, la consecuencia ha de ser su nulidad con reintegro al actor únicamente respecto de las comisiones percibidas por la constitución del crédito, así como las amortizaciones percibidas por la entidad con cargo al saldo de la/s cuentas bancaria/s del actor más sus intereses, asumiendo además la entidad demandada la disposición del importe de 6.000€ transferido fraudulentamente a la cuenta en el extranjero."
-Cantabria:
La Sentencia número 189/2024, de 13 de marzo, de la Audiencia Provincial (Secc. 2ª) de Cantabria (8); expone:
"La controversia gira en torno a la calificación del comportamiento de Dª Marí Luz como gravemente negligente.
Pues bien, resolviendo conjuntamente los motivos fáctico y jurídico de la apelación es oportuno señalar que son reiteradas las decisiones de las Audiencias Provinciales que atribuyen a las entidades prestadoras de servicios de pago, responsabilidad patrimonial cuasi objetiva por el riesgo que el propio sistema de pagos conlleva y de la que sólo puede exonerarse mediante la prueba de la culpa grave del ordenante, correspondiendo a la entidad acreditar que la operación ordenada fue auténtica y no estuvo afectada por un fallo técnico o por otra deficiencia como pudiera ser un supuesto de phishing, tal y como establece el art. 44.1. del Real Decreto-Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera ( "Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago").
En este sentido la SAP de Pontevedra de 23 de marzo de 2023 señala que "A la hora de estudiar la concurrencia de negligencia grave del usuario del servicio de pago online, partiendo del admitido criterio de responsabilidad cuasi objetiva de la entidad en la prestación del servicio de banda virtual respecto a operaciones de pago como la transferencia, reiterada jurisprudencia considera que dicha negligencia debe ser grave en atención a las circunstancias demostradas del caso, atribuyéndose en todo caso la carga probatoria de la misma al proveedor del servicio con arreglo a art. 217 LEC . En interpretación de directiva 2015/2366 , la negligencia que hace responder al cliente es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional. Como parámetro del actuar negligente también cabrá acudir al art. 1.104 CC , que exige la diligencia asociada a la naturaleza de la obligación y a las circunstancias personales, de tiempo y lugar. Ello destacándose la complejidad y grado de perfección que presenta en la actualidad el método de "phishing" de difícil detección por persona de formación media, así como el deber de la proveedora del servicio de dotarse de tecnología suficiente y adecuada con exigencia de medidas implantadoras activas, sin entenderse suficientes avisos generales o en página web de mero carácter informativo o divulgativo -por todas, SS. AP Pontevedra (Secc. 6ª) 21.12.21 y Madrid (20ª) 20.5.2022 , en la línea de lo razonado en SS. AP Valencia (6ª) 13.6.2022 , Granada (5ª) 20.6.2022 y Badajoz (3ª) 21.6.2022 -".
La realidad de las prácticas delictivas como el mencionado phising, hace exigible aumentar las medidas de seguridad específicas, como ya señaló la SAP de Barcelona de 7 de marzo de 2013, ya que el banco no puede ofrecer un sistema on line sin adoptar las medidas de seguridad necesarias.
En el mismo sentido, cabe citar entre otras muchas, las SSAP de Valladolid de 23 de octubre de 2023, Huelva 16 de octubre de 2023, o Pontevedra de 18 de septiembre de 2023, o la de esta misma sección segunda de la Audiencia Provincial de Cantabria de 10 de octubre de 2023 (ROJ: SAP S 1267/2023), y todas las que en ellas se citan.
Como consecuencia de lo hasta aquí expuesto, ha de concluirse que la entidad demandada, como prestadora de servicios de pago, debe asumir la responsabilidad patrimonial que se le exige por el riesgo que el propio sistema de pagos conlleva, tal como se interesó por la actora.
Derivado lo anterior el recurso debe ser desestimado."
-Ciudad Real:
La Sentencia 106/2024, de 6 de junio, del Juzgado de Primera Instancia e Instrucción Número 3 de Tomelloso (9); recoge:
"Como ha mantenido la jurisprudencia a este respecto, entre otras la SAP Ceuta, sección 4ª, 52/2022 de 22 de septiembre o la SAP Madrid, sección 9ª, de 4 de mayo de 2015 "de este modo, el Real Decreto-ley 19/18 regula un sistema de responsabilidad cuasi objetiva de la entidad proveedora del servicio, con inversión de la carga probatoria, al presumirse la falta de autorización, si el titular lo niega, como ocurre en este caso. No obstante, este sistema de responsabilidad civil cesa cuando conforme a lo establecido en el artículo 46.1 el cliente ha actuado fraudulentamente o con negligencia grave a la hora de aplicar los medios razonables de protección de seguridad personalizados de que haya sido provisto".
El artículo 3.5 LSP determina que se considerará autenticación reforzada la basada en la utilización de dos o más elementos categorizados como conocimiento (algo que solo conoce el usuario), posesión (algo que solo posee el usuario) e inherencia (algo que es el usuario), que son independientes -es decir, que la vulneración de uno no compromete la fiabilidad de los demás-, y concebida de manera que se proteja la confidencialidad de los datos de identificación.
Como primera cuestión, de la prueba practicada resulta suficientemente acreditado que las operaciones efectuadas sobre la cuenta del actor no fueron consentidas, sino resultado de una posible estafa, sin perjuicio de lo que pudiera resultar de la causa penal correspondiente, como resulta de la propia declaración del Sr. Josías, que narró en juicio como recibió un email con el logotipo de UNICAJA y posterior llamada telefónica, en el que le advertían de que se estaban intentando realizar operaciones sobre su cuenta, y requiriéndole para que aportara ciertos datos a fin de evitarlo. La defraudación sufrida se corrobora por el hecho de que el actor acudió a la Guardia Civil a denunciar los hechos como resulta del documento número 7 de la demanda, el 11 de agosto de 2022 a las 9:21 horas, es decir, al día siguiente de haber sufrido la estafa, que tuvo lugar por la noche, el día 10 de agosto. También se hace constar en la denuncia que el actor acudió a la oficina de UNICAJA a comunicar la sucedido el mismo día 11 de agosto de 2022, hecho que también ratificó en su declaración en la vista del presente procedimiento. Por último, la existencia de una estafa se pone de manifiesto en el hecho de que se realizaron extracciones de dinero (reintegros) en cajeros automáticos de la localidad de Dos Hermanas, Sevilla (como resulta del documento número 6 de la contestación).
Las indicadas comunicaciones suponen el cumplimiento por el actor del primero de los requisitos previstos en la LSP en cuanto a la comunicación de las operaciones no autorizadas (43.1).
Partiendo de lo anterior, procede, en primer lugar, y a los efectos de valorar tanto la diligencia de la demandada en la adopción de medidas de control, como la posible negligencia grave de la actora, examinar el email y SMS recibidos por el defraudado.
Se aporta como documento número 1 de la demanda copia del email recibido por el actor. Figura como fecha de recepción el 10/08/2022 a las 22:30 horas. Aparece como remitente el correo no-reply@notifica.unicaja.es <mailto:no-reply@notifica.unicaja.es>,siendo el asunto "aviso de Unicaja Banco". El cuerpo del correo indica "Estimado cliente, le informamos que su transferencia SEPA Inmediata con clave nº (...) ha sido devuelta por la entidad de destino por CUENTA BLOQUEADA, MOTIVO SIN ESPECIFICAR. En consecuencia hemos procedido a abonar el importe de la",resultando el mensaje incompleto. A continuación figura un número de teléfono sobre el que se lee "llámanos".
De igual forma, aporta la actora como documento número dos una serie de SMS recibidos por el demandante en el teléfono de su titularidad ( NUM004) en ellos se le informa de los siguientes extremos: "vas a dar de alta la tarjeta NUM001 para pago móvil"; "vas a dar de alta la tarjeta NUM002 para pago móvil"; "vas a dar de alta la tarjeta NUM005 para pago móvil"; "vas a transferir 2.000 € a una cuenta OPENBANK finalizada en NUM003"; "vas a transferir 500 € por BIZUM" con indicación del número de teléfono al que se dirige la transferencia; "vas a realizar una recarga de 2.000 euros sobre la tarjeta NUM005"; "vas a transferir 2.000 euros a una cuenta OPENBANK finalizada en NUM006"; "vas a dar de alta la tarjeta NUM002" para pago móvil; "Tarjetas prepago. Estás solicitando la contratación de una tarjeta prepago", entre otros. Todos estos SMS llevan aparejada una clave de seguridad, haciendo constar, en algunos de ellos la leyenda "NO COMPARTAS ESTA CLAVE CON NADIE", en letra mayúscula.
A la vista de lo anterior, en lo referente al cumplimiento por parte de la entidad del deber de adoptar las medidas para impedir el fraude, cabe citar la STS de 12 de mayo de 2016, que declaró que "conforme a la naturaleza y función del contrato de cuenta corriente bancaria, el cercioramiento o comprobación de la veracidad de la firma del ordenante constituye un presupuesto de la diligencia profesional exigible a la entidad bancaria con relación a sus obligaciones esenciales de gestión y custodia de los fondos depositados por el titular de la cuenta, cuyo incumplimiento da lugar a la indemnización de daños y perjuicios, conforme a lo dispuesto en los artículos 1101 y 1106 del Código Civil ".
La realidad de prácticas delictivas como el referido " phising ", hace exigible aumentar las medidas de seguridad específicas, como recuerda la SAP de Barcelona, 7 de marzo de 2013 , pues el banco no puede ofrecer un sistema on line sin adoptar las medidas de seguridad necesarias, en el mismo sentido que hizo la ya citada sentencia de la Audiencia Provincial de Alicante, de 12 de marzo de marzo, aplicando los criterios que expresaba la STS de 18 de marzo de 2016 , que imponía ponderar, en este tipo de supuestos, factores tales como la causa del evento dañoso, la concurrencia de un déficit de la seguridad que legítimamente cabía esperar y la facilidad probatoria correspondiente a cada una de las partes.
Como se afirma en dicha sentencia, no basta con medidas genéricas de protección o avisos estereotipados de cuidado, sino que "la seguridad de las operaciones bancarias precisa de soluciones tecnológicas avanzadas a los efectos de garantizar tanto la autenticidad como la integridad y confidencialidad de los datos", sin que se repute suficiente los avisos genéricos de los bancos, a través de su web, que ostentarían la calificación de " formulas predispuestas", vacías de contenido."
Se ha acreditado por la demandada que se remitieron sms, un total de 16, al actor para comunicar las operaciones que estaban siendo realizadas, y a los efectos de que las mismas pudieran ser confirmadas por medio de clave OTP (One Time Password, o contraseña de un solo uso). Así resulta tanto de la propia documental de la actora a la que la entidad se remite en su escrito de contestación, como del documento número 3 de la contestación donde se hacen constar los sms remitidos cuyo contenido coincide con los aportados de contrario. De igual forma resultan aportadas las claves OTP remitidas en dichos sms (documento número 5 de la contestación). En los mensajes se informaba al usuario tanto de la operación que iba a realizar, en mensaje claro y comprensible, como de la clave para confirmar la operación, indicando algunos de ellos que no debía ser facilitada a terceros.
A la vista de lo anterior, se ha de entender acreditado suficientemente por la demandada el cumplimiento de lo dispuesto en la normativa referida, en particular, el cumplimiento con el sistema de autenticación reforzada. Así, si bien el actor declaró no haber proporcionado sus credenciales (elemento de conocimiento) a terceros, siendo que los presuntos defraudadores pudieron efectuar transferencias e incluso contrataciones, la única explicación lógica es que accedieran a los servicios online que el banco pone a disposición del cliente empleando sus credenciales, toda vez que sólo así se explica que el cliente recibiera, subsiguientemente, los mensajes conteniendo las claves de verificación OTP, necesarias para culminar las operaciones efectuadas. De igual forma, el actor reconoció en su declaración que telefónicamente proporcionó al tercero los datos que le fueron requiriendo, llegando a manifestar que hizo que ver que no estaba cómodo con la comunicación de sus datos, si bien la premura manifestada por el interlocutor, y la posibilidad de estar sufriendo un ataque a sus cuentas, le llevó a proporcionar los datos requeridos.
Sentado lo anterior, procede examinar si, por parte del actor, existió negligencia grave en el cumplimiento de sus deberes de custodia.
En este sentido es procedente destacar, que sobre la diligencia que ha de guardar el usuario, la norma exige que ésta sea grave. Sobre la diligencia grave, se pronuncia, por todas, la SAP de Pontevedra de 23 de marzo de 2023 señala que: "a la hora de estudiar la concurrencia de negligencia grave del usuario del servicio de pago online, partiendo del admitido criterio de responsabilidad cuasi objetiva de la entidad en la prestación del servicio de banda virtual respecto a operaciones de pago como la transferencia, reiterada jurisprudencia considera que dicha negligencia debe ser grave en atención a las circunstancias demostradas del caso, atribuyéndose en todo caso la carga probatoria de la misma al proveedor del servicio con arreglo a art. 217 LEC . En interpretación de directiva 2015/2366 , la negligencia que hace responder al cliente es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional. Como parámetro del actuar negligente también cabrá acudir al art. 1.104 CC , que exige la diligencia asociada a la naturaleza de la obligación y a las circunstancias personales, de tiempo y lugar. Ello destacándose la complejidad y grado de perfección que presenta en la actualidad el método de "phishing" de difícil detección por persona de formación media, así como el deber de la proveedora del servicio de dotarse de tecnología suficiente y adecuada con exigencia de medidas implantadoras activas, sin entenderse suficientes avisos generales o en página web de mero carácter informativo o divulgativo -por todas, SS. AP Pontevedra (Secc. 6ª) 21.12.21 y Madrid (20ª) 20.5.2022 , en la línea de lo razonado en SS. AP Valencia (6ª) 13.6.2022 , Granada (5ª) 20.6.2022 y Badajoz (3ª) 21.6.2022 -".
En el caso particular que nos ocupa, como se ha puesto de relieve, el actor manifestó en juicio que recibe habitualmente comunicaciones del banco por el teléfono móvil, si bien no suele realizar operaciones por medio de la banca digital, sino personándose en la entidad. Declaró que recibió un correo electrónico con el logotipo del banco informando de una transferencia, con indicación de un número de teléfono para recibir asistencia; que se puso en contacto con él una persona identificada como " Damian", a través de un teléfono con prefijo de Málaga, que le dijo que estaban intentando acceder a sus cuentas, si bien no concretó si fue él quien realizó la llamada o se recibió por parte de terceros. También declaró que en los sms recibidos no le pidieron sus claves ni posiciones de la tarjeta de coordenadas, pero por medio de la llamada le explicaron que, con celeridad, debía mandar unas claves y que le fueron proporcionando unos mensajes en los que aparecía una numeración y él tenía que confirmarla, para que el supuesto responsable de UNICAJA pudiera bloquear las operaciones fraudulentas; por último, declaró que el interlocutor le metía prisa para que le diera esta información, reconociendo que no leyó el contenido íntegro de los mensajes.
A la vista de lo anterior, se ha de entender que el actor incurrió en negligencia grave en la conservación de sus claves, siendo un deber derivado del contrato, lo que determina la exención de la responsabilidad de la demandada, que ha acreditado suficientemente la aplicación de los debidos controles de autenticación. Así, se ha de considerar que el consumidor incurrió en una negligencia revestida de gravedad suficiente, por cuanto proporcionó claves contenidas en un total de 16 sms que fue recibiendo, en los que, de forma sencilla, podía leerse la operación que estaba siendo autorizada, hecho que debió llevar al mismo a sospechar, prolongándose dichas comunicaciones de forma suficiente en el tiempo para que el actor hubiera podido comprobar, mediante la lectura de los mensajes, que estaba proporcionando claves de seguridad que no debían ser compartidas, por cuanto indicaban los propios mensajes.
Si bien se ha de partir, como expresa la jurisprudencia indicada, que la estafa de phishing, se elabora de forma sofisticada por terceros con intención de causar engaño, en el presente caso, ha de entenderse que la conducta del demandado fue más allá de confiar en la apariencia de realidad que ofrecía el correo electrónico recibido, por cuanto no sólo aportó credenciales de seguridad, lo que podría determinar una falta de diligencia no grave, sino que esa aportación fue reiterada en múltiples ocasiones, pudiendo haber salvado el error mediante la lectura de alguno de los mensajes recibidos.
Por todo lo expuesto procede aplicar la consecuencia prevista en el artículo 46 LSP y declarar la responsabilidad exclusiva de la parte actora por las operaciones no autorizadas realizadas en su cuenta por terceros, desestimando íntegramente la demanda.
No procede entrar en la cuantificación del perjuicio sufrido, toda vez que el demandado no deber responder de dichas cantidades como era pretensión de este procedimiento."
La Sentencia número 58/2024, de 22 de febrero, de la Audiencia Provincial (Secc. 1ª) de Ciudad Real (10), considera:
"(...) cabe apreciar que efectivamente se produjo la agregación de la tarjeta al móvil y una vez añadida las disposiciones objeto de este litigio. El enrolamiento de la tarjeta se realiza mediante un sistema de autentificación reforzada, que implica la introducción de la clave de acceso en la banca on line y con posterioridad la de un código que se envía al teléfono móvil. Afirma la demandante que no tenía vinculado su teléfono a la banca on line, más los datos evidencian que el mensaje OTP de código para la autenticación reforzada se envió a su teléfono móvil. La propia demandante, aunque niega tenga un Samsung, en la referencia a la aplicación de pago con tarjeta en virtud de la cual se efectuaron los cargos discutidos, no niega que el teléfono móvil de envío de dicha clave es el suyo. Lo cual se evidencia mediante el contraste del propio número de teléfono que figura en la documental presentada por la demandante dirigida al banco y el teléfono al cual según se detalla en el documento número cuatro se envió la clave OTP para la autenticación reforzada. Señala la Sentencia de Instancia que la cláusula contractual que otorga el carácter de firma a dicha autenticación lo es para las compras en internet, más no puede obviarse que el sistema de enrolamiento precisa de dicha doble autenticación.
En cuanto a las disposiciones en cajeros o en comercios la tarjeta en el móvil realiza la misma función que una tarjeta física, y la seguridad de las operaciones se garantiza mediante el uso de la misma( token)y la introducción de pin. No existe ninguna normativa que requiera la exhibición del DNI en los establecimientos para verificar la ausencia de fraude; aspecto que depende de los establecimientos.
Dicho lo anterior, ello no implica que, a la vista del resultado de la prueba, hayan de calificarse dichas operaciones como consentidas. La demandante niega las disposiciones realizadas. A tal fin se aportó documental que acreditaba que uno de los días en los que se hicieron las disposiciones la demandante estaba trabajando en Ciudad Real y testifical de su cuñada quien afirmó que el día 16 de agosto la demandante se encontraba con su familia en Almagro. La dinámica de las disposiciones infiere que las mismas pudieran ser producto de fraude, algo que tampoco escapa a la entidad bancaria cuando así lo sugiere en la contestación a la reclamación. Ese primer paso de agregación de la tarjeta al teléfono móvil es el medio para posteriormente servirse de la misma para una serie de disposiciones en cajeros y comercios en diferentes lugares de la geografía española. Las sucesivas extracciones en cajero, las sucesivas disposiciones en un mismo comercio, las operaciones en diferentes localidades, algunas bien distantes de Ciudad Real, en un corto espacio de tiempo acredita de forma suficiente a través de la prueba de presunciones que nos encontramos en un uso fraudulento de tarjeta. Sobre dicha cuestión, la entidad bancaria niega su responsabilidad, invocando lo dispuesto en el art. 41 de la Ley de Servicios de Pagos, por entender que la demandante incurrió en negligencia grave o falta de custodia de sus claves.
Cierto que, para el uso de la tarjeta objeto de estos autos, el paso previo es su enrolamiento en el móvil. Como antes se refirió la entidad bancaria somete dicha operación a un sistema de doble autenticación. Por lo que puede presumirse que un tercero se hizo con los datos de la demandante, la clave de banca a distancia y tuvo a su disposición el código enviado al teléfono de la demandante, para introducirlo en la web y así permitir vincular a su teléfono la tarjeta de la perjudicada. El método más usual, una vez que un supuesto estafador se apodera de los datos y claves de la víctima, para saltarse la autenticación reforzada, es el conocido como "sim swaping", solicitando un duplicado de la sim, de modo que el autor del fraude consigue le llegue a él el código y no a la perjudicada. Sin embargo la demandante afirmó en su día no se hizo un duplicado de su sim, lo cual tampoco se documenta, ni en sentido positivo ni negativo mediante certificado o informe de la operadora. Existen también mecanismos de interceptación de códigos, o redirección de sms, que incluso retrasan la cautela o alarma del perjudicado, ya que no observa en la línea ninguna incidencia, como ocurriría con el duplicado, al desactivar la tarjeta sim original. En todo caso, puede inferir este Tribunal a la vista de la dinámica de las operaciones cuestionadas que algún mecanismo, aunque concretamente no se halla acreditado cuál, se utilizó para dichos fines fraudulentos. Y en este sentido ha de valorarse que los métodos empleados para ejecutar dichos pagos son cada vez más complejos y sofisticados. Justamente por dicha complejidad y sofisticación no puede reputarse gravemente negligente la conducta de un usuario que, en un momento dado, responde a un mensaje SMS que se identifica como remitido por el banco o a un enlace que le remite a una web que simula ser la de la entidad bancaria, de muy difícil distinción de las oficiales, por señalar alguno de los mecanismos fraudulentos más conocidos. Esta complejidad y sofisticación hace igualmente, que sea predicable que la entidad garante ha de adoptar un comportamiento diligente, a fin de que los sistemas de pago sean seguros para el usuario.
Aunque en autos no se ha acreditado el mecanismo utilizado por los terceros desconocidos que llevaron a cabo la actividad fraudulenta, en todo caso, y aun partiendo que la demandante hubiera interactuado a un mensaje o un enlace en una página web simulada o mediante cualquier otro mecanismo fraudulento, dicha negligencia no cabe entenderla grave o una infracción grave de las medidas de custodia de su claves, de conformidad con lo dispuesto en el art. 41 de la Ley de Servicios de Pago. La negligencia ha de ser grave, lo que equivale a la ausencia de previsión de lo que debe ser previsible, omitiendo las cautelas más elementales de un ciudadano medio. O en palabras del considerando 72 de la Directiva de Servicios de Pago " un grado significativo de falta de diligencia." No habiéndose acreditado dicho grado significativo de falta de diligencia imputable a la demandante, la entidad bancaria ha de responder y reintegrar las disposiciones efectuadas por operaciones no consentidas. La demandante cumplió su obligación de notificar sin demora, tan pronto tuvo conocimiento de las operaciones fraudulentas a la entidad bancaria, y en consecuencia se estima correctamente aplicado lo dispuesto en el art.41 de la LSP.
Procede, pues, desestimar el recurso."
-Coruña:
La Sentencia número 303/2024, de 22 de mayo, de la Audiencia Provincial (Secc. 4ª) de A Coruña (11), refiere:
"(...) la secuencia de hechos que resulta de la prueba practicada es la siguiente:
-El 29 de julio de 2021, tras ignorar el Sr. Amadeo otros dos mensajes semejantes anteriores, uno del 19 de julio a nombre de ABANCA y otro de esa misma tarde del 29 de julio sin remite identificable, tecleó otro que de nuevo le advertía de que un dispositivo no autorizado estaba "conectado a su cuenta" y le pedía que "si no reconoce este acceso, verifique inmediatamente: DIRECCION000".
-Al hacer el usuario click en la dirección del mensaje y seguir las instrucciones del suplantador permitió que éste instalara la banca móvil en su propio dispositivo. Para finalizar la nueva instalación y hacerla operativa, ABANCA remitió a las 19:47:03 del mismo día 29 de julio un SMS al número de teléfono del cliente con un código numérico que el Sr. Amadeo tecleó o facilitó verbalmente, con lo que a continuación (19:47:43) recibió otro SMS de confirmación advirtiéndole de que el servicio de banca móvil había sido instalado en un terminal Android Xiaomi Redmi (que no es el del actor) y de la posibilidad de bloquearlo "si no es correcto" llamando al número de teléfono (981910525).
-Desde la banca móvil instalada por el suplantador, hizo éste dos compras en la web binance.com (un conocido sitio de compra de criptomonedas) con la tarjeta de crédito del Sr. Amadeo. No consta cómo logró el suplantador el número y el CVV/CVC de la tarjeta, pero sí que para confirmar cada una de las compras, una por importe de 6.000,00 € y la otra por importe 5.990,00 €, el Sr. Amadeo tecleó o facilitó verbalmente los dos códigos que recibió sucesivamente en su terminal ( NUM000), el primero a las 20:00:24 y el segundo a las 20:03:30. La segunda de las compras no se llegó a consumar al exceder del límite diario de la tarjeta.
-Los pasos personales del cliente relativos a la instalación de la banca móvil en el dispositivo del suplantador se ajustaron a las instrucciones verbales que el Sr. Amadeo recibió desde el teléfono número NUM001, con el que mantuvo comunicación durante 13 minutos desde las 19:45 horas del día 21 de julio. Consta otra llamada anterior desde el mismo número de teléfono de 15 segundos de duración, dentro del mismo minuto 19:45.
-Los pasos personales relativos a las dos compras (esto es, al menos la reproducción de los códigos numéricos de confirmación de cada una de ellas) se siguieron conforme a las indicaciones verbales que el Sr. Amadeo recibió desde el teléfono NUM002, con el que mantuvo comunicación durante 5 minutos desde las 19:59 horas del día 21 de julio. Constan otras tres llamadas a ese mismo número de teléfono -las tres, a diferencia de la anterior, desde el terminal del actor- a las 20:06 (5 segundos), a las 20:07 (12 segundos) y a las 20:46 (6 segundos).
-No consta la titularidad del número de teléfono NUM001 (prefijo de Pontevedra). En cambio, el número de teléfono NUM002 (prefijo de A Coruña) es uno de los que ABANCA tiene habilitado para su Servicio de Atención al cliente, concretamente para llamadas desde fuera de España.
6. Como resulta de lo expuesto, el relato del actor en la reclamación escrita que dirigió al Servicio de Atención al Cliente de Abanca el 23 de agosto de 2021, y que es sustancialmente el mismo que reproduce en la demanda, es inexacto en lo que se refiere a los datos proporcionados para la instalación remota de la banca móvil, pues con toda evidencia los facilitó el propio Sr. Amadeo a la persona que le llamó desde el número NUM001 o los tecleó siguiendo sus indicaciones. Al tiempo de la segunda llamada, el primer engaño ya había permitido la instalación de la banca móvil en un dispositivo ajeno, Android Xiaomi Redmi, ignorando el Sr. Amadeo la advertencia que recibió al respecto mediante SMS, sin duda alguna porque la persona con la que mantuvo la primera conversación le había convencido para hacerlo. La segunda llamada, desde el teléfono NUM002, permitió al suplantador obtener los dos códigos de confirmación de las compras que el Sr. Amadeo recibió en su móvil con tres minutos de diferencia durante la conversación. En algún momento anterior, sin que conste de qué manera, el suplantador se hizo con el número de la tarjeta de crédito y con su código CVV/CVC.
7. La actuación del propio demandante fue sin duda poco reflexiva y negligente, aun considerando que lo fue como consecuencia de un hábil engaño que dirigió sus pasos y que, si ahora nos parece evidente, es en parte debido al sesgo retrospectivo que siempre distorsiona el análisis de quien ya conoce el desenlace. A los efectos que interesan, la negligencia del usuario que puede llegar a neutralizar la responsabilidad del prestador de servicios de pago debe ser grave, según resulta del régimen establecido en los artículos 41 y a 46 del RD Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (en particular, art. 44.3, a tenor del cual corresponde al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave), y a este respecto la propia Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior, advierte en su considerando 72 que " si el concepto de negligencia supone un incumplimiento del deber de diligencia, la negligencia grave tiene que significar algo más que la mera negligencia, lo que entraña una conducta caracterizada por un grado significativo de falta de diligencia. Un ejemplo sería el guardar las credenciales usadas para la autorización de una operación de pago junto al instrumento de pago, en un formato abierto y fácilmente detectable para terceros".
8. A partir de lo expuesto, el pronunciamiento principal de la sentencia sustentado en la inexistencia de negligencia grave del usuario debe ser confirmado. No sin dejar de reconocer que el caso es dudoso y que situaciones similares han sido valoradas de distinta forma por otros tribunales, v.gr. por la sentencia núm. 17/2023 de la Sección Tercera de esta misma Audiencia Provincial, de 25 de enero de 2023, en la que se lee: " No es una negligencia, son tres. Y si la primera aún pudiera ser más o menos comprensible (pinchar en un enlace), la segunda ya es grave (facilitar usuario y contraseña), y la tercera es totalmente temeraria (informar de la confirmación)". El elemento diferencial es, en nuestro caso, el hecho de que al menos el paso último de confirmación se produjo en el contexto de una llamada telefónica que el usuario recibió desde un número de teléfono que, por la información que aparecía en su terminal, era efectivamente uno de los que el Servicio de Atención al Cliente de ABANCA tiene habilitado. Ahora sabemos que el suplantador logró simular una llamada desde ese número de teléfono (y unos minutos antes, desde otro igual con prefijo de Pontevedra), y así las cosas la valoración que merece la conducta del usuario, sin duda negligente, no alcanza el grado de gravedad exigible cuando, bajo engaño, facilita sus datos y los códigos de confirmación a la persona que le llama desde un número de teléfono de ABANCA y que simula ser un empleado de la entidad que está tratando de arreglar un problema relativo a su cuenta.
9. La demostración de negligencia grave por parte del usuario excluiría, según hemos visto, la responsabilidad de ABANCA. Por lo tanto, si se ha concluido que la negligencia del Sr. Amadeo no puede ser considerada como grave, la consecuencia debe ser que el daño ha de ser soportado exclusivamente por la entidad prestadora de los servicios de pago, no compartido con el usuario en razón de la concurrencia de conductas culposas. Una solución como la propuesta por ABANCA con carácter subsidiario en su recurso implicaría asignar responsabilidad parcial al propio usuario sin concurrir culpa grave, con manifiesta infracción de la disposición legal aplicable. El recurso debe ser, por ello, también desestimado en cuanto a este extremo."
La Sentencia número 191/2024, de 19 de abril, de la Audiencia Provincial (Secc. 3ª) de A Coruña (12), afirma:
"(...) corresponde a la entidad financiera acreditar la falta de diligencia de la usuaria. En este caso, como consta acreditado, que una vez introdujo su DNI y la clave de acceso, habría recibido un código sms como factor de autentificación. En el documento nº 2 de la contestación a la demanda, consistente en el informe del seguimiento de esta operación, se adjunta el código de verificación remitido al teléfono móvil de la cliente que consta en la base de datos de la entidad bancaria vía sms en donde se muestra las trazas del envío de dicho sms y donde consta a las 17.13 " Estás instalando tu BANCA MOVIL, para finalizar teclea el código ...". Como se expone en dicho informe, el código informado en este SMS ha de ser proporcionado para finalizar la instalación de la APP de Banca Móvil de Abanca en su dispositivo móvil. Sin él, es imposible hacerlo. El código es introducido y se finaliza la instalación, informando al cliente a las 17:14 con otro segundo SMS notificándole que el servicio de BANCA MOVIL se ha asociado al terminal ANDROID Samsung SM-A217F (móvil no perteneciente a la actora), con la advertencia de que si la vinculación no es correcta llame al teléfono facilitado al efecto en el SMS o bloquee el terminal a través de la Banca Electrónica.
La prueba de la negligencia grave de la ordenante requerirá de la acreditación de circunstancias concurrentes en la operación de pago de las que quepa inferir que la misma pudo realizarse porque aquella obró con una significativa falta de diligencia al usar del instrumento de pago o al proteger sus credenciales. En el caso de autos, aun cuando pudo mediar engaño por la ordenante al facilitar su usuario y contraseña, la entidad bancaria habría probado que se produjo por la ordenante una negligencia grave al introducir el código de seis números que en el propio sms se informaba la finalidad del uso del mismo, que era la instalación de la banca móvil, lo cual supuso su instalación en un nuevo dispositivo, incumpliendo las obligaciones recogidas en el artículo 41 RDL 19/2018. consistentes en las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas, lo cual no aconteció en el caso de autos. Por tanto, habría quedado probada la negligencia grave de la clienta.
TERCERO. - Como siguiente motivo de impugnación se alega error de derecho a la hora de atribuir a la parte ordenante una carga de prueba que no le corresponde y que la presunción de culpa o de responsabilidad cuasi-objetiva es de la entidad bancaria.
En la sentencia se exponía que " Debe indicarse, por otra parte, que tampoco se han aportado elementos que permitan examinar con mayor solvencia la apariencia de engaño, especialmente la concreta imagen con el logotipo de ABANCA. En la denuncia se menciona que se adjuntan los pantallazos de las conversaciones e imágenes del sitio web, lo cual no ha sido aportado. En la conversación telefónica incorporada y en la denuncia, la testigo indicó que la persona que contactó con ella procedió a borrar ese mensaje en que le proporcionaba el enlace requiriéndole los datos. Aun sin poner en duda que el enlace enviado revistiera la suficiente apariencia de engaño, la testigo incurrió en un engaño que alcanza la negligencia grave, contra la que la entidad bancaria nada puede hacer. (...)".
Este pronunciamiento obiter dicta, no excluye la ratio decidendi de la sentencia que conllevó a la valoración de que parte de la entidad bancaria se habría acreditado la prueba de la negligencia grave de la ordenante por las circunstancias concurrentes en el caso de autos. Al proveedor de servicios de pago le corresponde la carga procesal de acreditar la negligencia grave de la ordenante, lo cual ha acontecido como se ha expuesto anteriormente.
Como acertadamente se expone por el apelado, en su escrito de oposición al recurso de apelación, el cómo se produjo el engaño es una información de la que puede disponer la parte demandante. En el recurso de apelación se extracta la captura de pantalla del logotipo de Abanca que se visualizaría de pinchar en el enlace que le fue remitido a la Doña Piedad. Aunque haya mediado engaño para beneficiarse de la operación por parte del defraudador, en el caso de autos, por las concretas circunstancias concurrentes, habría mediado una falta de diligencia de la usuaria, al haberse acreditado por la entidad bancaria que pese remitir la comunicación vía sms de la instalación de la banca a distancia, se habría hecho uso por la clienta de ese código que suponía un factor de autentificación, lo que supone que esa iniciativa de introducir ese código conlleva una negligencia grave, más cuando se le informaba en el sms del contenido de que sería para activar una banca móvil. En estas circunstancias fácticas con la inclusión de esa credencial de seguridad que recibió en su propio terminal móvil permitió autenticar la operación.
Ahora bien, al proveedor de servicios de pago (la entidad bancaria) le corresponde la carga procesal de acreditar su propio comportamiento diligente.
En este caso, habría comparecido como testigo-perito D. Marino, gestor técnico de la oficina de prevención de fraude de ABANCA, explicando en el acto de la vista, que cuando se instala la banca móvil "se considera que el factor de seguridad se aporta cuando se provisiona, cuando se instala la aplicación" y "después si hay una transferencia posterior ya no lo hay porque se considera que ya se envió un OTP a la clienta en primer término" y aclara además que no se pediría el OTP si "la transferencia está dentro del límite que tiene el cliente en su contrato de banco a distancia se hace la transferencia".
Del examen del contrato y de las condiciones particulares y generales, aportados junto con la demanda, no quedaría acreditado que mediara un límite de importe en las operaciones de pago sobre el cual no se requeriría un factor de autentificación reforzada.
Además de ello, hay que tener en cuenta el art. 68 del Real Decreto 19/2018 impone la obligación a los proveedores de servicios de pago de aplicar la autenticación reforzada de clientes, en la forma, con el contenido y con las excepciones previstas en el Reglamento Delegado (UE) 2018/389 de la Comisión Europea, cuando aquél: "a) acceda a su cuenta de pago en línea; b) inicie una operación de pago electrónico; (o) c) realice por un canal remoto cualquier acción que pueda entrañar un riesgo de fraude en el pago u otros abusos." Ahora bien, el art. 68.2 dispone que "En lo que se refiere a la iniciación de las operaciones de pago electrónico mencionada en el apartado 1, letra b) respecto de las operaciones remotas de pago electrónico, los proveedores de servicios de pago aplicarán una autenticación reforzada de clientes que incluya elementos que asocien dinámicamente la operación a un importe y un beneficiario determinados".
El testigo-perito habría explicado que: "Sí, obviamente tenemos muchos casos donde lo hemos estudiado y hemos visto que eh lógicamente poner dos códigos es poner más que uno, pero es que tenemos casos donde se dan diez, doce, catorce... ósea si que es un pasito más, estoy de acuerdo, pero una vez que el cliente está "engañado"; ósea el "Click" de me convenció, a partir de ahí, en nuestra experiencia, van a meter uno, dos, tres, o cinco."
Al proveedor de servicios de pago le corresponde la carga procesal de acreditar tanto su propio comportamiento diligente en la autenticación de la operación de pago como el fraude o la negligencia grave del ordenante (por lo que habrá de probar los dos elementos para excluirse de responsabilidad). La prueba de la diligencia en el procedimiento de autenticación deberá realizarse en relación a las exigencias del Reglamento Delegado 2018/389 . Es preciso mencionar que los procesos o mecanismos de autenticación de las operaciones de pago deben cumplir con los requisitos que establece el Reglamento Delegado (UE) 2018/389, lo que exige:
a) Implementar las medidas de seguridad previstas en el artículo 1, que han de incluir el procedimiento de autenticación reforzada de clientes , pero también
b) Incluir mecanismos de supervisión de las operaciones que permitan al proveedor de servicios de pago detectar operaciones de pago no autorizadas o fraudulentas . A tal efecto el proveedor de servicios de pago ha de tener en cuenta la totalidad de los factores de riesgo enumerados en el artículo 2, y, entre ellos, los supuestos de fraude conocidos en la prestación de servicios de pago , lo que incluye, sin duda, la técnica del phishing .
En este sentido, la carga de la prueba del banco, que incluye, además del fraude o negligencia grave del usuario, su actuar diligente, ha de comprender la adopción y utilización de mecanismos de supervisión suficientes que permitan prevenir operaciones fraudulentas o no autorizadas.
En el caso de autos, y viendo las circunstancias concurrentes en concreto, aunque la entidad bancaria hubiera remitido un primer código OTP de implantación de la banca online, que la usuaria al introducirlo, conllevó que la banca electrónica se implantará en otro terminal, resulta que los defraudadores podían realizar operaciones de transferencias de dinero sin necesidad de introducir ningún otro código OTP, esto conlleva, a que se estaría incumpliendo por la entidad bancaria las medidas de seguridad de un procedimiento de autenticación reforzada, lo que conllevaría a una plena disponibilidad de los fondos sin mayores medidas de seguridad para intentar dificultar la disponibilidad por los defraudadores.
La SAP de La Rioja del 31 de julio de 2023 ( ROJ: SAP LO 443/2023 - ECLI:ES:APLO:2023:443) Sentencia: 342/2023 Recurso: 263/2022, con cita de la SAP Burgos nº 482/2022 de 5-12-2022 (rec 340/2022, secc 3ª) analiza la Directiva 2015/2366 del Parlamento Europeo de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior, antecedente de la norma ahora examinada, y dice:
"El sistema de autenticación reforzada se define en el artículo 3 de la Directiva como "la autenticación basada en la utilización de dos o más elementos categorizados como conocimiento (algo que solo conoce el usuario), posesión (algo que solo posee el usuario) e inherencia (algo que es el usuario), que son independientes- es decir, que la vulneración de uno no compromete la fiabilidad de los demás-, y concebida de manera que se proteja la confidencialidad de los datos de autenticación".
Se desarrolla el sistema de autenticación reforzada en el Reglamento 2018/389 de la Comisión Europea. El artículo 4.1 del Reglamento establece que " cuando los proveedores de servicios de pago apliquen la autenticación reforzada de clientes, de conformidad con elartículo 97, apartado 1, de la Directiva (UE) 2015/2366 , la autenticación se basará en dos o más elementos categorizados como conocimiento, posesión e inherencia y tendrá como resultado la generación de un código de autenticación". Y el artículo 5.1 dispone que " cuando los proveedores de servicios de pago apliquen la autenticación reforzada de clientes (...) también deberán adoptar medidas de seguridad que reúnan todos los requisitos siguientes:
a) que el ordenante sea informado del importe de la operación de pago y del beneficiario;
b) que el código de autenticación generado sea específico para el importe y el beneficiario de la operación de pago aceptados por el ordenante al iniciar la operación;
c) que el código de autenticación aceptado por el proveedor de servicios de pago se corresponda con el importe específico original de la operación de pago y con la identidad del beneficiario aceptados por el ordenante;
d) que cualquier cambio del importe o del beneficiario suponga la invalidación del código de autenticación generado". Finalmente, los artículos 6, 7 y 8 del Reglamento precisan lo que debe entender como elementos que definan la posesión, el conocimiento o la inherencia por parte del usuario.
En este caso el instrumento de pago contaba con una autenticación reforzada consistente en un código que se enviaba al móvil del usuario para poder ejecutar cada operación de pago. Se trata de un sistema que cumple con los requisitos de posesión, puesto que se manda a un dispositivo en poder del usuario, y de conocimiento, que son las claves de autenticación. (...)
Cumpliéndose los requisitos de autenticación, el usuario solo deberá soportar las pérdidas en caso de " haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 69".
(...)
En el caso de autos, mediaría una deficiencia del servicio prestado por el proveedor de servicios de pago al no constar aplicada la autenticación reforzada en cada operación de pago (en el caso de autos, fue una única operación de 4.999 euros), no constando ser informada Doña Piedad del importe de la operación y beneficiario, no constando generado un código de autenticación generado específico para el importe y el beneficiario de la operación de pago, que de haberse enviado al móvil de la usuaria, supondría un obstáculo para la formalización de la operación de pago por los defraudadores.
En consecuencia, mediaría una infracción del art. 44 del Real Decreto 19/2018 de modo que no se habría probado suficientemente por la entidad bancaria una deficiencia del servicio prestado por el proveedor de servicios de pago al no constar un sistema de autenticación reforzada OTP para la operación de pago que se realizó de 4.999 euros.
Por ello, mediaría una situación de concurencia de culpas, por un lado, quedaría probada la deficiencia del sistema del proveedor de servicios de pago al no constar un sistema de autenticación reforzada en las operaciones de pago y, por otro lado, también quedó constatada la negligencia grave de la usuraria como se expuso anteriormente. En cuanto a la determinación del grado de culpabilidad debe ser moderado, y en una libre apreciación, al no mediar reglas tasadas, lo más justo sería que en la declaración de concurrencia de culpas sea de un porcentaje del 60 % para la clienta (Dona Piedad) y de un 40% para la entidad bancaria, pues ha mediado una negligencia grave de la usuaria que habría conllevado a que se habría instalado la aplicación de banca móvil en otro terminal, pero habiéndose producido por una falta de diligencia como se ha probado, si la entidad bancaria hubiera tenido un sistema de autentificación reforzada para la operación de pago de 4.999 euros se podría haber evitado la retirada del importe, que se produjo en escasos minutos (a las 17.17 minutos) mientras la usuaria se estaba poniendo en contacto con el servicio de atención al cliente de la entidad bancaria al percatarse de la situación.
Por tanto, se condena a ABANCA COPORACIÓN BANCARIA, S.A a que abone a la parte demandante la cantidad de 1.999,6 euros (40 % de 4.999 euros) más los intereses legales desde la reclamación extrajudicial hasta el efectivo pago de los mismos. Asimismo, deberá abonar los intereses legales desde la fecha de la sentencia, incrementados en dos puntos."
La Sentencia número 11/2024, de 9 de enero, de la Audiencia Provincial (Secc. 3ª) de A Coruña (13), indica:
"(...) en cuanto a las dos transferencias realizadas el 21 de sept. 2020, por importe de 5.490 € y 5.000 €, fueron retrotraídas por el Banco al no haber sido todavía abonadas.
Tres días antes (18) se realizó una operación por internet -compra-, protestándose a la entidad bancaria el día 21, denunciándose en comisaría el 22 de septiembre a las 11,27, con una ampliación posterior el día 25 respecto a otra operación del día 21 (se indica a las 19,16 horas).
Se niega por la recurrente haber recibido ningún SMS del Banco, sin embargo la demandada ha acreditado que fue la actora quién incumplió sus deberes de custodia, en cuanto a sus claves personales, facilitando de dicha manera que se consumara el daño.
En efecto se aportaron por la entidad bancaria los certificados REDSYS, y la remisión sms/otp al teléfono de la actora, por lo que o bien facilitó los códigos recibidos a un tercero, o fue víctima de un troyano en su teléfono móvil, o en su caso se le clonó la tarjeta sim.
Pero en cualquier caso las dos operaciones impugnadas se autenticaron mediante un "doble factor", debiendo conocerse para realizarse el usuario y contraseña de la banca "on line", igual que conocer el contenido de la sms/otp remitido por el banco al teléfono de la actora.
Las operaciones fueron registradas, contabilizadas y registradas, sin ningún fallo técnico, y así se certificó, de conformidad con el art. 44 de la Ley de Servicios de Pago, con lo cual aunque la demandante pudo haber sido objeto de una actividad ilícita ello no puede imputarse al Banco Santander.
El documento nº 2 de la contestación acredita como se remitieron los sms -con código de seguridad y autorización de compra el 18.9.2020 a las 23:35:20 y otra autorización de compra el 21.9.2020 a las 19,55 horas, habiéndose oficiado a la operadora Orange para verificar los envíos por sms.
Finalmente, nótese que en el hecho IV de la demanda se refleja que tras acudir a las oficinas del Banco Santander, se dirigió a denunciar a Comisaría, constando la denuncia presentada el 22 de septiembre a las 11,27 horas, por lo que ello no se coordina con lo hoy sostenido en el recurso de que el Banco no actuó con diligencia al no haber bloqueado su tarjeta respecto a la última compra de 21 de septiembre, que provocó la ampliación de denuncia del día 25 de septiembre.
Segundo.- Por lo demás es sobradamente conocido las líneas de prevención que efectúan determinados Bancos como en nuestro caso, para prevenir este tipo de delitos telemáticos, phisign y smishing a través de la propia web, a fin de que nunca se pedirá por correo electrónico ni por sms las claves de acceso a la Banca on line o los datos de las tarjetas de crédito, debiendo tenerse la mayor precaución con los enlaces, donde te piden datos personales, clave banca on line, número completo de la tarjeta, etc...
En consecuencia la demandante fue la que incumplió los deberes de custodia que le impone la Ley de Servicios de Pago, que exigen un deber de custodia para las claves personales, aunque lo haya hecho engañada, por lo que no se puede desplazar la responsabilidad a la entidad bancaria (véase el art. 41 de aquélla), habiéndose ya pronunciado el Banco de España sobre la cuestión."
-Girona:
Según expresa la Sentencia número 276/2024, de 17 de abril, de la Audiencia Provincial (Secc. 1ª) de Girona (14):
"Tal como se expone en la sap de Burgos, civil sección 3 del 13 de noviembre de 2023 ( roj: sap bu 836/2023 - ecli:es:apbu:2023:836 ) "a nivel europeo hay que tener en cuenta la directiva 2015/2366 de 25 de noviembre de servicios de pago en el mercado interior, cuya trasposición se lleva a cabo por el real decreto ley 19/2018 de 23 de noviembre, ley de servicios de pago. La finalidad de la Directiva es sobre todo la de dar entrada a nuevos servicios de pago, como los servicios de iniciación de pagos y los servicios de información sobre cuentas, que no son aquí de aplicación, aunque también se aprovecha para precisar las obligaciones del usuario y del proveedor de servicios en relación con los instrumentos de pago y la responsabilidad en caso de operaciones no autorizadas o ejecutadas incorrectamente. También se exige un reforzamiento de las medidas de seguridad en relación con la autenticación del usuario, introduciendo la llamada autenticación reforzada, aunque tales medidas serán objeto de desarrollo posterior por el Reglamento de la Comisión Europea 2018/389 de 27 de noviembre de 2017."
Conforme se expone en la SAP Asturias sap, civil sección 3 del 05 de octubre de 2023 ( roj: sap c 2483/2023 - ecli:es:apc:2023:2483 ):
"El art. 44.1 LSP establece la carga probatoria del proveedor sobre la autenticación de la operación ante negativa del usuario, sentando la responsabilidad del usuario que actúe de modo fraudulento o con negligencia grave (arts. 44.3 y 46.1) y fijando como obligaciones esenciales del citado usuario la protección de sus credenciales de seguridad personales y la comunicación sin de mora al proveedor del servicio en casos de extravío, sustracción o utilización no autorizada ( art. 41). Por su parte, el prestador del servicio deberá garantizar el control técnico adecuado y debidos niveles de seguridad en la operativa, respondiendo por daños y perjuicios en caso de incumplimiento ( arts. 148 y 147 LGDCU ).
A la hora de estudiar la concurrencia de negligencia grave del usuario del servicio de pago on line, partiendo del admitido criterio de responsabilidad cuasi-objetiva de la entidad en la prestación del servicio de banda virtual respecto a operaciones de pago como la transferencia, reiterada jurisprudencia considera que dicha negligencia debe ser grave en atención a las circunstancias demostradas del caso, atribuyéndose en todo caso la carga probatoria de la misma al proveedor del servicio con arreglo al art. 217 LEC .
En interpretación de directiva 2015/2366 , la negligencia que hace responder al cliente es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional. Como parámetro del actuar negligente también cabrá acudir al art. 1.104 CC , que exige la diligencia asociada a la naturaleza de la obligación y a las circunstancias personales, de tiempo y lugar. Ello destacándose la complejidad y grado de perfección que presenta en la actualidad el método de " phishing" de difícil detección por persona de formación media, así como el deber de la proveedora, del servicio de dotarse de tecnología suficiente y adecuada con exigencia de medidas implantadoras activas, sin entenderse suficientes avisos generales o en página web de mero carácter informativo o divulgativo (entre otras, SAP de Pontevedra núm. 177/2023, de 23 de marzo ").
La sentencia dictada por la AP de las Coruña, SAP, Civil sección 3 del 05 de octubre de 2023 ( ROJ: SAP C 2483/2023 - ECLI:ES:APC:2023:2483 ) "La negligencia que se exige en el usuario para que quede neutralizada la responsabilidad del proveedor de pagos ha de ser grave, es decir, no resulta suficiente con que dejara de observar una diligencia extrema. Señala a este respecto la SAP de A Coruña, 86/2023, de 29 de marzo , "la negligencia grave supone una falta de la diligencia más elemental que consiste en no hacer lo que todos hacen". En esta línea, la SAP de Pontevedra, 177/2023, de 23 de marzo establece que "la negligencia que hace responder al cliente es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional. Como parámetro del actuar negligente también cabrá acudir al art. 1.104 CC , que exige la diligencia asociada a la naturaleza de la obligación y a las circunstancias personales, de tiempo y lugar. Ello destacándose la complejidad y grado de perfección que presenta en la actualidad el método de ' phishing' de difícil detección por persona de formación media, así como el deber de la proveedora del servicio de dotarse de tecnología suficiente y adecuada con exigencia de medidas implantadoras activas, sin entenderse suficientes avisos generales o en página web de mero carácter informativo o divulgativo -por todas, SS. AP Pontevedra (Secc. 6ª) 21.12.21 y Madrid (20ª) 20.5.2022 , en la línea de lo razonado en SS. AP Valencia (6ª) 13.6.2022 , Granada (5ª) 20.6.2022 y Badajoz (3ª) 21.6.2022 -". Por tanto, la prueba de la negligencia grave del ordenante requerirá de la acreditación de las circunstancias concurrentes en la operación de pago de las que quepa inferir que la misma pudo realizarse porque aquel obró con una significativa falta de diligencia al usar del instrumento de pago o al proteger sus credenciales, aspectos que no concurre en el caso de autos ( SAP de Pontevedra núm. 539/2021, de 21 de diciembre ). Y, en el caso de autos, se desconocen cuáles fueron esas circunstancias concurrentes ya que, como refleja la sentencia de instancia, "no existe prueba alguna de cómo se produjo exactamente la defraudación", hecho que también es confirmado por la propia entidad demandada en su escrito de oposición a la demanda al señalar que "a pesar de que ello se omita en el escrito de demanda, fue la propia parte demandante la que necesariamente cedió sus claves de seguridad de alguna forma que esta parte no puede conocer puesto que pertenece a la esfera interna de la demandante (...). A este respecto, la demandante Dª Carolina negó en su declaración en sede judicial haber facilitado o cedido sus credenciales y el número PIN de su dispositivo móvil a terceros o a requerimiento presunta o aparentemente del Banco Santander (desde 5m:39s a 6m:14s de la grabación).
No es suficiente para acreditar la negligencia grave en la actuación de la parte demandante elucubraciones sobre el modo en que se considera que la cesión de las claves de seguridad se acometió ("seguramente tras acceder a un enlace malicioso enviado vía SMS o vía Email por un remitente que no era Banco Santander y teniendo el enlace nada que ver con entidad bancaria"), en tanto que dichas afirmaciones están huérfanas de toda prueba. Como señala la SAP de Cantabria núm. 679/2022, de 19 de septiembre " la entidad bancaria demandada no puede invertir la carga de la prueba exonerándose de la actividad acreditativa que le corresponde al amparo de la alegación de que todas las operaciones habían sido autenticadas, registradas y contabilizadas, en la medida, en que de ser así, lo fueron de forma fraudulenta porque el titular de los contratos no las autorizó y comunicó y denunció el fraude. Es a la entidad financiera a quien corresponde acreditar la falta de diligencia del usurario, sin apelar a meras conjeturas, no demostradas " (en similares términos, SAP de Cáceres núm. 132/2022, de 16 de febrero ).
A ello debe sumarse la diligente actuación de la parte demandante quien, además de poner en conocimiento de la entidad bancaria, a través de su servicio de atención al cliente, el carácter no autorizado de las operaciones tras ser notificada por la entidad, vía sms, de que "se ha bloqueado preventivamente su tarjeta * NUM000 al registrar operaciones poco habituales", procedió (Dª Esperanza) a interponer denuncia por esos hechos en el puesto de la Guardia Civil de Carballo a las 2 horas y 21 minutos después de recibirse el referido aviso. Denuncia que se ve ampliada al día siguiente, a las 10:45 horas, mediante acta de declaración de Dª Carolina. Ese mismo día se reitera por Dª Carolina de forma presencial en la sucursal el carácter no consentido de las disposiciones e insta su revocación. No tratándose en el caso de autos de una transferencia inmediata -al haberse materializado los pagos, respectivamente, el 11 y el 14 de septiembre-, resulta claro que era, además de factible, precisa una rápida actuación de la entidad bancaria para intentar cuando menos suspender la disposición del dinero y evitar, con ello, el resultado dañoso sin que, por su parte, se acredite actuación alguna al respecto."
TERCERO : Atendido lo expuesto y consideración admitida por la doctrina sobre a interpretación de la gravedad de la ausencia de diligencia fue extremadamente diligente poniéndolo en conocimiento del banco el mismo día horas después de haber advertido el engaño, y así consta en los documentos 11,12 y 13 adjuntos a la demanda.
El actor niega haber facilitado ningun dato o autorizado la operación. Era una operación inusual; las dos primeras entradas se hacen desde una IP diferente, posteriormente el tercero entra en a IP del cliente y ya entonces con acceso pleno a Caixabank now puede firmar las compras electrónicas hechas con las tarjetas del cliente. La entidad debió advertir estas circunstancias y ,con mayor conocimiento de la forma de actuar de estos estafadores, debió alertar al cliente de la situación, y efectuar una comprobación directa sobre el consentimiento para ejecutar esas operaciones."
Recoge la Sentencia número 62/2024, de 31 de enero, de la Sentencia número 62/2024, de 31 de enero, de la Audiencia Provincial (Secc. 2ª) de Girona (15), lo siguiente:
"SAP Valladolid, secció 1ª, de 23 d'octubre 2023:
"En el presente caso, nos encontramos ante la realidad de un fenómeno conocido como " phishing", termino informático referido a las técnicas que determinan revelación de información confidencial haciendo un click en un enlace a través del engaño a una persona, cliente o usuario de servicios de pago, ganando su confianza y suplantando su identidad ante un tercero, en este caso, la entidad bancaria (proveedor de los servicios de pago), lo que da lugar a que se lleven a cabo unas acciones que no fueron realmente autorizados por el cliente y que la entidad bancaria materializó de forma inmediata.
La sentencia de instancia, en su interpretación del art. 44.2º del RDL 19/2018 de servicios de pago, estima probado que no ha existido negligencia grave por parte de Dª Frida para justificar la responsabilidad de la entidad bancaria, a tenor de los hechos acreditados recogidos en la propia sentencia conforme a la prueba documental aportada en el siguiente sentido:
" el día 14 de mayo del 2021, la actora recibió un mensaje SMS en su móvil anunciándose el bloqueo de su tarjeta ,indicándole una enlace ( doc. nº 4), enlace a nombre del banco de Santander y aparece en la línea identificada como tal en el móvil. Ese mismo día 14 d 4mayo del 2021, a las 18,32 se llevó a cabo un cargo en su tarjeta de débito, por importe de 4.020 e. Y a las 18,35 horas, se llevó a cabo otro cargo de 400 € ( doc. nº 3 y 5). La actora comunicó a la entidad los hechos anteriores en los días siguientes que dieron lugar a la apertura de la correspondiente incidencia. El 21 de mayo se interpuso denuncia...".
Esta sala coincide con esta calificación de la conducta de la demandante para la obtención por un tercero de sus claves de acceso y su posterior utilización en el sistema de servicios de pagos on line, operación no autorizada, fraudulenta, la cual es notificada al proveedor sin demora, que se limitó a abrir un " incidente".
A partir de tales hechos, debe indicarse que corresponde al proveedor de tales servicios la carga de la prueba que el usuario de los mismos cometió fraude o negligencia grave y a tenor de los hechos ya expuestos, no puede calificarse de negligencia o culpa grave la actuación de la demandada al recibir el mensaje SMS de bloqueo de su tarjeta y hacer uso de un enlace a nombre del banco de Santander, especialmente cuando tampoco esta entidad llevó a cabo actividad alguna en el momento en que fue comunicada dichas operaciones para el bloque de la operación salvo la de abrir la referida incidencia.
Como se recoge en la SAP Valladolid, sección 3ª de 19 de octubre del 2022 en un supuesto en donde se llevaron 3 transferencias mediante órdenes giradas, consideraba, a tenor de la normativa aplicable, " que la entidad bancaria no había desplegado otra actuación que la advertencia del posible riesgo de captura de datos por terceros más información estereotipada que consta en pagina web, y en dicho supuesto, ay a tenor de la diligencia que es exigible a la entidad bancaria, que debe de aumentar las medidas de seguridad específicas ante este tipo de prácticas delictivas, consideró que no basta con medidas genéricas de protección o avisos estereotipados, sino que la seguridad de este tipo de operaciones bancarias precisa de soluciones tecnológicas avanzadas a los efectos de garantizar la autenticidad como la integridad y confidencialidad de datos."
Dicha sentencia se apoya en la diligencia exigible a la entidad bancaria:
".....En cuanto a la diligencia exigible a la entidad bancaria, que de manera incuestionable se beneficia de la extensión generalizada de este tipo de servicios de banca on line evitando los costes asociados a la atención de sus clientes en la red comercial mediante oficinas y personal, el art. 12 bis de la ley 34/02, de Servicios de la Sociedad de la información y de Comercio Electrónico obliga al proveedor de dichos servicios a realizar una información a sus clientes permanente, fácil, directa y gratuita sobre niveles de seguridad, restricción de correos no solicitados, y filtrado de servicios de Internet no deseados.
Tratándose, como es el caso, de un contrato de cuenta corriente, la doctrina interpretativa viene apreciando un deber de diligencia de la entidad depositaria y gerente del servicio de caja que se corresponde con la exigible a la de un "comerciante experto" y no la de un buen padre de familia.
En este sentido, cabe citar la STS de 12 de mayo de 2016 , que declaró que "conforme a la naturaleza y función del contrato de cuenta corriente bancaria, el cercioramiento o comprobación de la veracidad de la firma del ordenante constituye un presupuesto de la diligencia profesional exigible a la entidad bancaria con relación a sus obligaciones esenciales de gestión y custodia de los fondos depositados por el titular de la cuenta, cuyo incumplimiento da lugar a la indemnización de daños y perjuicios, conforme a lo dispuesto en los artículos 1101 y 1106 del Código Civil ".
La realidad de prácticas delictivas como el referido " phising ", hace exigible aumentar las medidas de seguridad específicas, como recuerda la SAP de Barcelona, 7 de marzo de 2013 , pues el banco no puede ofrecer un sistema on line sin adoptar las medidas de seguridad necesarias, en el mismo sentido que hizo la ya citada sentencia de la Audiencia Provincial de Alicante, de 12 de marzo de marzo, aplicando los criterios que expresaba la STS de 18 de marzo de 2016 , que imponía ponderar, en este tipo de supuestos, factores tales como la causa del evento dañoso, la concurrencia de un déficit de la seguridad que legítimamente cabía esperar y la facilidad probatoria correspondiente a cada una de las partes.
Como se afirma en dicha sentencia, no basta con medidas genéricas de protección o avisos estereotipados de cuidado, sino que "la seguridad de las operaciones bancarias precisa de soluciones tecnológicas avanzadas a los efectos de garantizar tanto la autenticidad como la integridad y confidencialidad de los datos", sin que se repute suficiente los avisos genéricos de los bancos, a través de su web, que ostentarían la calificación de " formulas predispuestas", vacías de contenido."
Estos fundamentos son reiteradamente recogidos en otras sentencias de las Audiencias Provinciales, como la SAP Navarra, sección 3ª de 9 de marzo del 2023, SAP Rioja de 17 de febrero del 2023, de Málaga, sección 5ª de 23 de mayo del 2023 o de Madrid, sección 10 de 13 de enero del 2023 ( que califica como responsabilidad cuasiobjetiva para la entidad financiera la prevista en la legislación ya expuesta salvo prueba de culpa grave del ordenante).
En conclusión, no ha probada la entidad demandada que, en este caso, la conducta Dª Frida, víctima de un fraude, pueda ser calificada de grave en la custodia y uso de sus claves de seguridad en el sistema de servicios de pago on line de su tarjeta de crédito, sistema de pago ofrece y pone a su servicio la entidad demandada, sin que tampoco se aprecie siquiera una concurrencia de culpa, como pretende el recurrente, ya que la ley únicamente exime de responsabilidad en supuestos de negligencia grave, fuera d ellos cuales, debe asumir la entidad recurrente, el reintegro de los importes dispuestos y no autorizados, en este caso, los 4.420 €, desestimándose el recurso de la entidad demandada.
b) No existe ningún incumplimiento contractual de la entidad demandada
Dicho motivo debe igualmente ser desestimado, no estamos ante un supuesto de responsabilidad contractual sino de responsabilidad legal prevista en el RDL 19/2018 de servicios de pago,art. 43 y ss, que son los que se recogen en la sentencia impugna y de ahí nace la responsabilidad de la demandada no de un incumplimiento concreto de una obligación pactada.
Es por todo lo indicado, que el recurso de apelación interpuesto, debe ser desestimado, confirmando la resolución recurrida".
SAP Barcelona, Secció 1ª, del 7 de junio de 2023:
/.../
De la regulación legal antes transcrita resulta que, como regla general, y sin perjuicio de la posibilidad de repetir contra el proveedor de servicios de iniciación de pagos, es el proveedor de servicios de pago el que responde de la restitución al ordenante del importe de las operaciones de pago no autorizadas.
Como excepción a esa regla general, se atribuye al ordenante esa responsabilidad cuando actúe de manera fraudulenta, o bien incumpla deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el art. 41, entre las que se incluyen la de tomar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas.
Correlativa a esa obligación es la norma sobre la carga de la prueba, establecida en el art. 44.3, según la cual es al proveedor de Servicios de pago a quien le incumbe probar que el usuario del Servicio de pago cometió fraude o negligencia grave, porque como ha señalado la jurisprudencia, la responsabilidad de aquél es una responsabilidad cuasi-objetiva.
En el caso de autos, la cuestión litigiosa se centra en determinar si la demandante, usuaria del servicio de pago, cometió negligencia grave, toda vez que la existencia de fraude por su parte aparece totalmente descartada.
La sentencia de primera instancia considera que la demandante actuó con plena diligencia, mientras que la apelante alega que se ha producido una valoración errónea de la prueba practicada ya que, como la propia actora reconoció, la Sra. Modesta recibió un correo electrónico, lo abrió y se descargó los archivos que contenía, sin tomar las debidas precauciones en relación a sus equipos informáticos, y no sólo eso, sino que cuando le solicitaron el TOKEN MOVIL, lo facilitó.
Sin embargo, la negligencia que se exige en el usuario para que quede neutralizada la responsabilidad del proveedor de pagos ha de ser grave, es decir, no resulta suficiente con que dejara de observar una diligencia extrema.
Como señala la reciente SAP de A Coruña, 86/2023, de 29 de marzo, " La negligencia grave supone una falta de la diligencia más elemental que consiste en no hacer lo que todos hacen."
O, según la SAP de Pontevedra, 177/2023, de 23 de marzo : " En interpretación de directiva 2015/2366 , la negligencia que hace responder al cliente es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario , no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional. Como parámetro del actuar negligente también cabrá acudir al art. 1.104 CC , que exige la diligencia asociada a la naturaleza de la obligación y a las circunstancias personales, de tiempo y lugar. Ello destacándose la complejidad y grado de perfección que presenta en la actualidad el método de " phishing" de difícil detección por persona de formación media, así como el deber de la proveedora, del servicio de dotarse de tecnología suficiente y adecuada con exigencia de medidas implantadoras activas, sin entenderse suficientes avisos generales o en página web de mero carácter informativo o divulgativo -por todas, SS. AP Pontevedra (Secc. 6ª) 21.12.21 y Madrid (20ª) 20.5.2022 , en la línea de lo razonado en SS. AP Valencia (6ª) 13.6.2022 ,Granada (5ª) 20.6.2022 y Badajoz (3ª) 21.6.2022 -."
Pues bien, al igual que ocurrió en los casos enjuiciados en las anteriores resoluciones, también en el caso de autos la actora fue víctima de un engaño, perpetrado con evidente pericia por el delincuente, y tampoco aquí observó la usuaria una conducta que pudiera calificarse como de gravemente negligente.
La actora recibió un email de un burofax y descargó los archivos adjuntos que no pudo abrir, por lo que los eliminó, sin que el hecho de que no sospechase que a través de los mismos se había podido introducir un troyano en su ordenador, y obrase en consecuencia, es decir, tomando medidas en relación con sus equipos informáticos, implique que actuase con negligencia grave. Más tarde, intentó acceder a su cuenta bancaria a través de lo que aparentemente era la página web de su entidad bancaria, para lo cual se le solicitó el código TOKEN MOVIL, con el fin de verificar su autenticidad, lo cual no es en absoluto inusual, y fue al no abrírsele la página web cuando consultó la misma con su móvil, advirtiendo que se había realizado una transferencia bancaria sin su autorización, por lo que inmediatamente se puso en contacto con el Banco, comunicándoselo.
Del relato fáctico anterior, que no se discute, quizás podría inferirse que la actora no agotó al máximo toda la diligencia que podría haber observado, porque producido el incidente con el email cuyos archivos no pudo abrir después de descargarlos en su ordenador, pudo haber dejado de utilizar ese dispositivo hasta ser revisado por personal especializado que hubiera descartado la existencia de algún virus malicioso, indetectable para el antivirus que ya tenía instalado. Pero esa actuación aislada, cuyas consecuencias dañosas no están al alcance de ser previstas por una persona media, ni tan solo implicaría a entender de este tribunal la omisión de la diligencia correspondiente a las circunstancias de las personas, del tiempo y del lugar ( art. 1.101 CC ), habida cuenta el uso generalizado de la operativa bancaria online, por lo que menos aún podemos conceptuarla como de negligencia grave."
-Huesca:
Razona la Sentencia número 230/2024, de 30 de junio, de la Audiencia Provincial (Secc. 1ª) de Huesca (16):
"(...) nos encontramos ante la realidad de un fenómeno conocido como "phishing", término informático referido a las técnicas que determinan revelación de información confidencial haciendo un "click" en un enlace a través del engaño a una persona, cliente o usuario de servicios de pago, ganando su confianza y suplantando su identidad ante un tercero, en este caso, la entidad bancaria (proveedor de los servicios de pago), lo que da lugar a que se lleven a cabo unas acciones que no fueron realmente autorizados por el cliente y que la entidad bancaria materializó de forma inmediata.
Es decir, la cuestión enjuiciada se enmarca en el ámbito de la contratación electrónica, que es aquella en que la oferta y la aceptación se tramita por medios electrónicos de tratamiento y almacenamiento de datos, conectados a una red de telecomunicaciones.
/.../
Atendiendo a la normativa expuesta, corresponde a la demandada la carga de demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada y que la afectada ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 41. Pues bien, con base en ello, en este caso, se considera que no está debidamente acreditada esa negligencia grave por parte de la actora, es decir, no se ha demostrado ni que concurra fraude por parte de la demandante, al reconocerse que ha sido víctima de phishing, ni tampoco que concurra una negligencia grave en aquella, como se desprende de la prueba practicada, tal y como recoge en los argumentos de la sentencia recurrida, que se comparten, al indicar " El acceso se efectuó a lo que ella creía que era la web de Ibercaja y se realizó mediante una utilización adecuada y habitual de sus datos y sus claves. En el documento de reclamación a Ibercaja se menciona que el acceso éste fue realizado a través del buscador Microsoft Edge, de lo que se infiere que cómo resultado de la búsqueda le dio la página web fraudulenta que se hizo pasar por la de la entidad. Una vez identificada, introdujo el código que le proporcionaron vía SMS. Respecto de éste, si bien es cierto que todavía no estaba realizando operación financiera alguna, no se aprecian motivos para que un ciudadano medio pudiera sospechar del carácter fraudulento del mismo, pues estamos ante un mensaje de texto que provenía del mismo número de Ibercaja. Pudiendo entenderse, además, que se le estaba exigiendo como un requisito adicional de identificación para poder acceder y operar en la banca electrónica".
Es decir, la facilidad y sencillez en el manejo de este tipo de datos conlleva el riesgo del fraude electrónico, sin que sea exigible al cliente medio un conocimiento informático sobre las eventuales técnicas de apropiación de sus datos personales, expuestos en la red en aras de posibilitar la agilidad y tratamiento masivo de transacciones electrónicas. Por el contrario, es incuestionable que las entidades bancarias se benefician de la extensión generalizada de este tipo de servicios de banca on-line, evitando los costes asociados a la atención de sus clientes en la red comercial mediante oficinas y personal y, por ello, la diligencia que es exigible a las mismas, se corresponde con la se exigiría a un "comerciante experto" y no la de un buen padre de familia, lo que le obliga, ante la realidad de prácticas delictivas como el referido "phising", a aumentar las medidas de seguridad específicas, por lo que no basta con medidas genéricas de protección o avisos estereotipados de cuidado, sino que "la seguridad de las operaciones bancarias precisa de soluciones tecnológicas avanzadas a los efectos de garantizar tanto la autenticidad como la integridad y confidencialidad de los datos", sin que se repute suficiente los avisos genéricos de los bancos, a través de su web, que ostentarían la calificación de " formulas predispuestas", vacías de contenido. Es decir, constatada la realidad de las operaciones defraudadoras y el conocimiento que cabe exigir a un consumidor medio en la adopción de medidas de cautela, para advertir y evitar las prácticas de captación de datos en el ámbito de la banca de particulares mediante los servicios de internet (que se conoce por sus siglas en inglés como "phissing"), debe concluirse que no resulta suficiente, a los fines de eximir a la entidad prestadora del servicio, las advertencias que aparecen reflejadas en la página a través de la que operaba el cliente, como así se afirma, entre otras, en sentencias de las Audiencias Provinciales, como la SAP Navarra, sección 3ª de 9 de marzo del 2023 , SAP Rioja de 17 de febrero del 2023, de Málaga, sección 5ª de 23 de mayo del 2023 o de Madrid, sección 10 de 13 de enero del 2023 (que califica como responsabilidad cuasi-objetiva para la entidad financiera la prevista en la legislación ya expuesta salvo prueba de culpa grave del ordenante),
Por ello, debe concluirse que la entidad demandada no ha probado, en este caso, que la conducta de la Sra. Teresa, víctima de un fraude, pueda ser calificada de grave en la custodia y uso de sus claves de seguridad en el sistema de servicios de pago on-line (sistema de pago que ofrece y pone a su servicio la entidad demandada), como pretende el recurrente, ya que la ley únicamente le exime de responsabilidad en supuestos de negligencia grave, fuera de los cuales, debe asumir la entidad recurrente el reintegro de los importes dispuestos y no autorizados que, en este caso, son 19.800 euros, desestimándose por ello este motivo de impugnación de la entidad demandada.
TERCERO.- Por último, atendiendo a la alegación de incongruencia omisiva respecto de los hechos controvertidos alegados en la audiencia previa, en torno a la falta de consideración de las condiciones contractuales pactadas, dicho motivo debe ser igualmente desestimado, ya que, no estamos ante un supuesto de responsabilidad contractual, sino de responsabilidad legal prevista en el RDL 19/2018 de servicios de pago, art. 43 y siguientes de la normativa que se recoge en la sentencia impugnada y de donde nace la responsabilidad de la demandada, no de un incumplimiento concreto de una obligación contractual pactada, por ello, nada se puede objetar a la sentencia dictada sobre este particular."
-Jaen:
La Sentencia número 546/2024, de 24 de abril, de la Audiencia Provincial (Secc. 1ª) de Jaen (17), se pronuncia en los términos siguientes:
"(...) se impone al cliente la obligación de proteger razonablemente sus credenciales personales.
Ahora bien, frente a la tesis de la apelante consistente en que es exigible al particular un "diligencia media" la custodia de sus claves ("personales e intransferibles"), es común opinión de nuestra jurisprudencia que el régimen normativo de aplicación a estos supuestos impone al banco una responsabilidad cuasi objetiva o, en otros términos, como bien destaca la sentencia apelada, sólo queda exonerado de responsabilidad en casos de grave negligencia del que resulta perjudicado, que se acerca a lo inexcusable.
En este sentido, esta AP de Jaén, en muy reciente sentencia de 24 de febrero de 2024, con cita de la anterior de 14 de diciembre de 2022 -rollo de apelación nº 1621/2022-, decía: "(...) se ha de partir de la consideración de que, con arreglo al marco jurídico en el que se desenvuelve la actividad de servicios de pago a través de banca "on line", el régimen de la responsabilidad de la prestadora del servicio ha de reputarse cuasi-objetiva, en la medida en que sólo se excluye en unos casos por culpa grave del cliente y en otros por únicamente por fraude imputable al mismo, lo que implica, además, que la carga de la prueba de esas circunstancias exoneratorias y la paralela inexigibilidad de otra conducta a la referida entidad incumba a ésta en todo caso (...).
(...) conforme al ya citado Art. 41 de la misma Ley, constituyen obligaciones del usuario de servicios de pago habilitado para utilizar un instrumento de pago, hacerlo en las que se establezcan y tomar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas; así como en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, habrá de notificarlo al proveedor de servicios de pago o a la entidad que este designe, sin demora indebida, en cuanto tenga conocimiento de ello. En tal sentido se pronuncia la SAP de Granada, secc 5ª, de 22 de junio de 2022, con mención de la SAP de Alicante -Sección 8ª- núm. 107/2018, de 12 de marzo.
En la misma línea, la también reciente sentencia de la Audiencia Provincial de Badajoz de 16 de junio de 2022 declara que "el proveedor de servicios de pago se encuentra sujeto al cumplimiento de específicas obligaciones de protección en la emisión de los instrumentos de pago y en los procesos de autenticación de las operaciones de pago cuya finalidad es minimizar la probabilidad de ejecución de operaciones no autorizadas y en relación con los instrumentos de pago ha de cumplir con las obligaciones sobre emisión y uso seguro que se establecen en el mencionado Art. 42.1 RDL 19/2018 y será el proveedor de los servicios de pago quien habrá de responder por las operaciones de pago resultantes del uso fraudulento del instrumento de pago por un tercero, y siempre que la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por ninguna deficiencia del servicio prestado por el proveedor de servicios de pago, salvo que el ordenante actuara de manera fraudulenta, o incumpliendo deliberadamente o por negligencia grave alguna de las obligaciones recogidas en el Art. 41 RDL 19/2018". Y añade "De esta manera, al proveedor de servicios de pago le corresponde la carga procesal de acreditar tanto su propio comportamiento diligente en la autenticación de la operación de pago como, en su caso, el fraude (requerirá de la acreditación de hechos de los que pudiera llegar a inferirse que aquel actuó con engaño para beneficiarse de la operación de pago) o la negligencia grave del ordenante (requerirá de la acreditación de las circunstancias concurrentes en la operación de pago de las que quepa inferir que la misma pudo realizarse porque aquel obró con una significativa falta de diligencia al usar del instrumento de pago o al proteger sus credenciales)".
Por último, mencionaremos la reciente SAP de Asturias, secc 7ª, nº 285/2023 de 12 de mayo, que resumidamente expresa: "a cuyos efectos debe indicarse que el marco normativo regulador de la prestación de los servicios de pago es el Real Decreto-ley 19/2018, de 23 de noviembre (...), y en el supuesto aplicable al case de autos rigen fundamentalmente los Arts. 41, 42 nº 1 a), 44 y 46, cuyo contenido damos por reproducido, que, en la interpretación de las Audiencias Provinciales, suponen la cuasi-objetivación de la responsabilidad del proveedor del servicio, y así, (...), es exigible a la apelante la responsabilidad patrimonial cuasi objetiva legalmente establecida, que, obviamente, supone un paso más en la protección al consumidor que el previsto en el art. 148 del Texto Refundido de la Ley para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, (...), puesto que viene a excusar al consumidor de la negligencia en que pueda haber incurrido por facilitar sus datos personales y claves de confirmación o firma electrónica en virtud de la acción defraudatoria de terceros". En esta misma línea, la sentencia de la Sección 20ª de la Audiencia Provincial de Madrid de 20 de mayo de 2022.
En el supuesto que nos ocupa, el usuario habría sufrido un fraude mediante la técnica del phishing, al contestar a un SMS fraudulento aportando las claves de seguridad, lo que ocasionó que el defraudador pudiera instalar su tarjeta en una aplicación de pago de un terminal y una vez instalada realizar las antes expresadas operaciones.
Pues bien, de la prueba practicada, si bien es posible evidenciar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago, sin embargo no ha demostrado, y a ella correspondía la carga probatoria, que se hubiera producido una negligencia grave en el actuar de los actores, que exonere de responsabilidad a la demandada, así como tampoco que hubiera proveído a los demandantes de los mecanismos de autenticación y supervisión suficientes (reforzados) para detectar y evitar la utilización fraudulenta de su medio de pago, como puede ser el dotarse de la tecnología antiphishing precisa para detectar las páginas o enlaces fraudulentos, impidiendo su acceso, lo que, de haberse producido, hubieran evitado que el defraudador pudiera hacerse con las credenciales del usuario del instrumento de pago por ella emitido, pues la rotura del enlace haría ya ineficaz cualquier conducta que frente al mismo pudiera observar el usuario receptor.
Así lo consideró de forma contundente el informe del Banco de España en respuesta a la reclamación que los actores formularon, aportado como documento número 7 de la demanda. El mismo se lleva a cabo un estudio concienzudo del caso, para concluir que la documentación facilitada no permite localizar "la existencia de la firma electrónica previa, ligada al teléfono móvil del cliente" y a sus tarjetas, lo que reviste trascendencia al alegar la propia entidad que es necesario disponer de dicha firma tanto para el alta en el servicio CES como para llevar a cabo reintegros. Y que la aportación de los servicios de Redsys (a que también se refiere la sentencia de instancia, frente a lo alegado en el recurso) pudieran demostrar que las operaciones fueron autenticadas, registradas y contabilizadas sin advertirse deficiencias, aquello no resulta suficiente. Por lo cual -concluye- la conducta de la entidad demandada resulta "alejada de las buenas prácticas bancarias y usos financieros", al no acreditarse suficientemente la existencia de una firma electrónica que posibilitara las operaciones de reintegro con código y el registro en Comercio Electrónico Seguro".
En términos del repetido RDL, la operación podría haber sido "autenticada", pero lo que es elemento nuclear de este litigio es la "falsedad" de tal autenticación, en términos de su Art. 44 (negación por el usuario de haber sido él quien ha autorizado la operación), escenario en el que recae la carga de la prueba en la entidad proveedora del sistema de pago. Pues bien, habiéndose constatado que la parte demandante ha sido víctima de "phishing", resulta claro que la operación no se encuentra completamente "autenticada" en términos de la LSP, porque falta la certificación de la identidad del usuario ordenante de la operación. Apunta a este respecto la SAP de Navarra núm. 223/2023, de 9 de marzo, que "no resulta suficiente, por sí solo, haber completado los mecanismos reforzados de autenticación establecidos por la entidad, debido a que si no se han implementado otros sistemas para restringir sólo al usuario el acceso al canal de banca electrónica que autentifica, no puede descansar automáticamente toda la responsabilidad en dicho usuario, dado que al proveedor del servicio de pago le compete la responsabilidad respecto del buen funcionamiento y la seguridad del mismo y es obligación esencial de las entidades prestadoras del servicio de banca on line el dotarse de medidas suficientes que garanticen al usuario la seguridad de las operaciones por lo que, en el supuesto de insuficiencia o mal funcionamiento de las adoptadas, deben ser las entidades bancarias las que asuman las consecuencias derivadas de los fallos de seguridad del sistema".
Con arreglo a este régimen jurídico de la responsabilidad del prestador de servicios de pago, hemos de concluir a la vista de los hechos acreditados que la apelante no había establecido un sistema de autorización de pagos con autenticación reforzada, lo que implica que la reglamentación expuesta, concretamente el citado Art. 46.2, presuponga que el prestador de servicios haya de asumir la responsabilidad patrimonial por un riesgo perfectamente descrito tanto para el usuario como para el prestador de servicios, como es la defraudación con el procedimiento de "phising".
Planteándose por la demandada la exclusiva responsabilidad de los actores por infracción de sus deberes de custodia, se plantea si el sobre el usuario de banca electrónica recae un deber de autoprotección, ya que es común que en estos supuestos de estafa informática se lleve a cabo, por parte de la víctima, una actuación que facilita la comisión del delito proporcionando las claves de manera involuntaria. Frente a ello, el Tribunal Supremo ha negado que se pueda culpabilizar a la víctima ni oponerse un deber de protección, y en este sentido se pronunciaba su sentencia nº 845/2014, de 2 de diciembre: «En lo relativo a las obligaciones de autoprotección que serían exigibles a la víctima, la jurisprudencia ha aceptado excepcionalmente en algunos casos la atipicidad de la conducta cuando el engaño es tan burdo, tan fácilmente perceptible, que hubiera podido ser evitado por cualquier sujeto pasivo con una mínima reacción defensiva, o, al menos, por un sujeto pasivo cualificado obligado a ciertas cautelas. Ahora bien, una cosa es la exclusión del delito de estafa en supuestos de "engaño burdo", o de "absoluta falta de perspicacia, estúpida credulidad o extraordinaria indolencia", y otra que se pretenda desplazar sobre la víctima de estos delitos la responsabilidad del engaño, y se le exija un modelo de autoprotección o autotutela que no esta definido en el tipo ni se reclama en otras infracciones patrimoniales". En palabras de la STS 482/2008, de 28 de junio, el principio de confianza o de la buena fe negocial que rige como armazón en nuestro ordenamiento jurídico, no se encuentra ausente cuando se enjuicia un delito de estafa. La ley no hace excepciones a este respecto, ni obliga al perjudicado a estar más precavido en este delito que en otros, de forma que la tutela de la víctima tenga diversos niveles de protección.
Como dijo la STS 162/2012, de 15 de marzo, "dejando al margen supuestos de insuficiencia o inidoneidad del engaño, en términos objetivos y subjetivos, o de adecuación social de la conducta imputada, la aplicación del delito de estafa no puede quedar excluida mediante la culpabilización de la víctima con específicas exigencias de autoprotección, cuando la intencionalidad del autor para aprovecharse patrimonialmente de un error deliberadamente inducido mediante engaño pueda estimarse suficientemente acreditada, y el acto de disposición se haya efectivamente producido, consumándose el perjuicio legalmente previsto".
Es necesario examinar en cada supuesto si la maniobra engañosa, objetivamente valorada ex ante en relación con las circunstancias del caso, es idónea para causar el error. Esto es, para provocar en el sujeto pasivo una percepción errónea de la realidad, aun cuando los sistemas de autoprotección disponibles pudieran hipotéticamente haberlo evitado mediante una actuación especialmente cautelosa. Pues de lo que se trata es de establecer la idoneidad del engaño en el caso concreto, y no tanto de especular acerca de si era o no evitable.
Y en este caso el engaño que se describe fue idóneo para provocar el error, al aparentar la llamada telefónica realizada (en nombre de una conocida compañía de telecomunicación) una tentadora oferta de regalo de dos terminales móviles (a coste "cero"), para cuya obtención únicamente habrían de satisfacer los gastos de envío, oferta verosímil en el contexto que se realizó.
En segundo lugar, debe señalarse que la obligación de la entidad que presta el servicio es la autenticación de la firma, para ello deben disponer de los sistemas de seguridad que permitan detectar las transferencias y disposiciones no autorizadas. Estos sistemas deben hacer posible que la entidad detecte cuándo los elementos de autenticación hayan podido sustraerse al titular o hayan sido comprometidos. La obligación del banco de comprobar la veracidad de la firma cobra especial relevancia en el ámbito de banca electrónica, pues es la prestadora de servicios quien debe facilitar un sistema de banca telemática segura. No ha de olvidarse que en el phishing se usan técnicas para ganarse la confianza del usuario del instrumento de pago y aprovecharse de una simulación cada vez más perfeccionada. A ello debiera responderse por la entidad bancaria también con mecanismos de protección cada vez mayores y mejores. En esta línea, la SAP de Pontevedra de 1 de diciembre de 2022, señala que «A la hora de estudiar la concurrencia de negligencia grave del usuario del servicio de pago on line, partiendo del admitido criterio de responsabilidad cuasi-objetiva de la entidad en la prestación del servicio de banda virtual respecto a operaciones de pago como la transferencia, reiterada jurisprudencia considera que dicha negligencia debe ser grave en atención a las circunstancias demostradas del caso, atribuyéndose en todo caso la carga probatoria de la misma al proveedor del servicio con arreglo a Art. 217 LEC. En interpretación de directiva 2015/2366, la negligencia que hace responder al cliente es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional. (...). Ello destacándose la complejidad y grado de perfección que presenta en la actualidad el método de "phishing" de difícil detección por persona de formación media, así como el deber de la proveedora del servicio de dotarse de tecnología suficiente y adecuada con exigencia de medidas implantadoras activas, sin entenderse suficientes avisos generales o en página web de mero carácter informativo o divulgativo".
Teniendo en cuenta las expresadas circunstancias, así como que los demandantes acudieron con rapidez a la formulación de la oportuna denuncia en sede policial (el 25 de febrero, habiéndose verificado las operaciones fraudulentas los días 21, 22 y 23 del mismo mes), dirigiendo también aviso al servicio de 24 horas de la entidad emisora de la tarjeta para obtener su inmediato bloqueo y, además, al propio Banco aquí demandado que, así, pudo cancelar una solicitud de préstamo que los estafadores habían realizado, no concurren las excepcionales circunstancias de gravedad en su negligencia ni de maquinación fraudulenta que hubieran permitido a la entidad aquí en adelante exonerarse de una responsabilidad que proclaman tanto la normativa de aplicación al caso como la doctrina jurisprudencial que viene interpretándola con reiteración conforme a los indicados criterios.
Por último, en cuanto a las alegaciones del recurso sobre el certificado Redsys, en un caso bien similar al presente, señala la SAP Almería de 31-1-2023 -con cita de las sentencias de las AAPP de Pontevedra Secc. 3. de 1-12-2022, de Zaragoza, Secc. 5ª, de 1-7-2022 y de Granada de 20-6-2022- que "En el presente supuesto (...) la entidad no estableció un doble sistema de control de autenticación de la identidad de quien realizaba la operación, resultando indiferente la certificación expedida por la entidad REDYSS que únicamente advera la corrección del funcionamiento del sistema, pero que no afecta a la obligación que impone la Segunda Directiva de Servicios de Pago o PSD2 (obligatoria a partir de enero de 2021 pero cuyo contenido tuvo en consideración el RD mencionado al establecer distinta responsabilidad del proveedor) de establecer un sistema de autenticación multi factor para minimizar los riesgos de fraude".
En conclusión, no apreciamos el error en la valoración de la prueba que se atribuye a la sentencia recurrida, y no puede eximirse a la recurrente de la responsabilidad declarada por la sentencia recurrida, que debe ser confirmada."
-La Rioja:
La Sentencia número 185/2024, de 18 de abril, de la Audiencia (Secc. 1ª) de Logroño (18), explica:
"(...) don Primitivo, presidente al momento de los hechos de la comunidad de propietarios demandante y autorizado para operar la cuenta de la comunidad abierta en la entidad Ibercaja, afirma que adoptó las precauciones necesarias para asegurarse la confidencialidad del código de identificación de usuario, clave de acceso, clave de firma, y tarjeta de coordenadas de IberCaja directo facilitadas por la entidad bancaria para realizar las operaciones correspondientes; y la entidad bancaria no ha acreditado negligencia alguna por parte de don Primitivo en la custodia y confidencialidad de las claves facilitadas. Afirma además don Primitivo que el domingo 24 de enero del año 2021, se percató de que no le funcionaba la tarjera SIM de Vodafone de su número de teléfono NUM000. Y el lunes 25 de enero, después de consultar el saldo de la cuenta bancaria de la Comunidad de propietarios, comprobó que habían realizado dos transferencias (de 4.978,00 € y de 3.507,00 €) así como aplicado dos comisiones (de 16,93 € y 11,92 € respectivamente de las transferencia precedentes) a cargo de la misma; todas ellas sin autorización ni requerimiento alguno por su parte, coincidiendo con una comunicación telefónica de personal de Vodafone en la que participaban que habían detectado un duplicado de su tarjeta SIM. Procediendo seguidamente a denunciar dichos hechos ante la Guardia Civil de Haro; y a poner en conocimiento de IberCaja los cargos que se habían realizado en la cuenta de la Comunidad sin su autorización ni conocimiento.
En prueba de interrogatorio don Primitivo manifiesta que era presidente de la comunidad y autorizado en la cuenta, el Lunes 25 de enero de 2021 vio que se habían hecho unas transferencias que no había autorizado, lo comunicó a Ibercaja y le dijeron que tenía que poner una denuncia, así lo hizo y volvió a Ibercaja con la denuncia, la operativa con el banco era por internet con unas tarjetas de acceso a la cuenta con unas claves de acceso y de firma y le mandaban un sms para marcar las coordenadas de la tarjeta, tal como constaba en el contrato; él no solicitó la forma de operar ni el banco se lo comunicó antes de realizarse las transferencias, se enteró después cuando fue al banco, se lo dijo el director del banco, no facilitó las claves de acceso a terceros, comunicó a Ibercaja las transferencias no autorizadas el día 25 a primera hora de la mañana, Vodafone le comunicó el duplicado de la tarjeta, y después le comunicó que su departamento lo había considerado como un fraude, no conoce a los beneficiarios de las transferencias, fueron más de 8000 euros, causando un perjuicio a la comunidad de propietarios, Ibercaja le pasó el cargo de las operaciones, y no le ha devuelto nada; firmó el contrato en octubre de 2020 en nombre de la comunidad de propietarios, el gestor de negocio le dio las claves en sobre cerrado, y las tarjetas, y le explicó cómo tenía que operar, para operar se identifica con el nombre de usuario, luego una clave de firma y le mandaban un sms para meter las coordenadas, o igual se lo pedía el ordenador, no lo recuerda, nunca un sms con un código, ese cambio se lo dijo el director después de realizarse las transferencias, solo utilizaba Ibercaja directo para control de la cuenta de la comunidad. Vodafone no le dijo quien había duplicado la tarjeta sim, las transferencias se hicieron en el mismo día, su teléfono dejó de funcionar el domingo 24, pensó en un fallo de la red, no recuerda si comunicó a Ibercaja que le habían duplicado la tarjeta sim, las transferencias siempre las hacía desde el ordenador de su propiedad, del despacho, que estaba apagado el domingo 24.
Sin que se aprecie error alguno en la valoración de la prueba testifical, el director de la oficina bancaria señor Armando declara que el señor Primitivo era el autorizado en las cuentas de la comunidad de propietarios, lo conoció el día que se personó en la ofcina para comunicar estos hechos, antes no había comunicado nada, comunicó que había utilizado el modo compartir datos del teléfono y había detectado unos movimientos de su cuenta del Banco Santander, y que miraran la cuenta de la comunidad de propietarios por si había habido algún problema, dijo que él no había realizado las transferencias, el doble método de autenticación clave de acceso, clave de firma y sms que el cliente recibe en su teléfono móvil y el cliente tiene que indicar, es un pin de seis dígitos; la tarjeta de coordenadas desde principios de 2021 el procedimiento cambia por una normativa europea que obliga a todas las entidades bancarias, y pasa a ser el de la doble autenticación con las claves que se le facilitaron y el sms que recibe en el teléfono asignado, no puede certificar quien ha tecleado las transferencias, si no se introducen correctamente los códigos no se autoriza la operación, el Banco de España dijo que no había nada reprochable a la entidad, ni a las otras entidades, y es conforme con el contrato, las operaciones están registradas y contabilizadas, el día que el cliente estuvo en la oficina lo comunicó a servicios centrales, las transferencias están dentro de los límites de 10000 euros del contrato, Ibercaja reclamó y le dijeron que no era posible la retrocesión porque tiene que haber fondos y consentir el beneficiario de la transferencia, que en este caso no se obtuvo; las transferencias son posteriores al duplicado de la tarjeta sim, le dijo que había tenido un problema con el móvil, también lo dice en la denuncia de la Guardia Civil. No sabe cuando se aprobó la nueva normativa europea, el contrato es de 5 de octubre de 2020, se envió la comunicación del cambio de la forma de operar a cada cliente; conoce el contrato marco de servicios de pago, que requiere el consentimiento del titular, el cliente comunicó la no autorización dentro de plazo, no restituyeron el importe reclamado porque no se lo han restituido a Ibercaja, no sabe si comunicaron el fraude al Banco de España, el banco no formuló denuncia por fraude, la denuncia la aportó el cliente; tiene conocimiento de este tipo de fraude.
No se aprecia error alguno en la valoración de la prueba, las alegaciones de la parte demandante han quedado acreditadas con la documental aportada al procedimiento:
La compañía Vodafone certifica que con fecha 24 de enero de 2020 se realizó un duplicado de tarjeta SIM sobre la línea NUM000, que dicho duplicado se solicitó a través del servicio de atención al cliente, y que dicha solicitud ha sido catalogada como fraude.
Se ha aportado el justificante de la transferencia emitida el 25 de enero de 2021 desde la cuenta de la Comunidad de Propietarios DIRECCION000 en Ibercaja, por un importe de 3.507 euros, con una comisión de 11,92 euros, por el concepto alquiler, a una cuenta de la entidad BBVA, siendo el beneficiario de la transferencia don Millán.
Se ha aportado el justificante de la transferencia emitida el 25 de enero de 2021 desde la cuenta de la Comunidad de Propietarios DIRECCION000 en Ibercaja, por un importe de 4.978 euros, con una comisión de 16,93 euros, por el concepto coche, a una cuenta de la entidad Caixabank constando como beneficiaria de la transferencia Agustina.
El mismo 25 de enero de 2021 don Primitivo denunció en la Guardia Civil la realización de dichas transferencias, además de otras operaciones no autorizadas en csu cuenta particular de la entidad Basnco Santander, por un posible duplicado fraudulento de la tarjeta SIM.
Por estos hechos se siguen las diligencias previas 129/2021 en el juzgado de Primera Instancia e Instrucción nº 2 Haro, donde están siendo investigadas varias personas entre las que no se encuentra el denunciante señor Primitivo.
El mismo 25 de enero de 2021 Ibercaja solicitó de la entidad Caixabank la retrocesión de las transferencias, por considerarlas un fraude, así, indica en el correo electrónico remitido a la entidad Caixabank incorporado al informe del Banco de España obrante en el procedimiento: Remitimos solicitud de devolución de transferencia emitida por Phishing a cuenta destino.... por importe de 4978 euros. Agradecemos bloqueen fondos en cuenta final.
El 26 de enero de 2021 Ibercaja solicitó de la entidad BBVA la retrocesión de las transferencias, por considerarlas un fraude, así BBVA alega al Banco de España: El día 26/01/2021 a las 14:49 horas, Ibercaja informó a BBVA de la emisión de la referida transferencia no autorizada, solicitando el bloqueo urgente de los fondos en la cuenta de destino NUM001.
El mismo día 26/01/2021 a las 16:16 horas, BBVA comunicó a Ibercaja que el titular ya había dispuesto de los fondos.
El día 27/01/2021 a las 8:42 horas, Ibercaja remitió a BBVA copia de la denuncia y carta de garantía de la solicitud realizada.
El mismo día 27/01/2021 a las 9:41 horas, BBVA informó a Ibercaja que se trasladaba la denuncia al departamento de fraude, reiterando que no existía saldo disponible para bloquear.
La demandada no ha acreditado que don Primitivo hubiera autorizado las transferencias que nos ocupan, muy al contrario, no solo el señor Primitivo niega haber autorizado las mismas, sino que la compañía Vodafone comunica un duplicado fraudulento de la tarjeta Sim de su teléfono móvil, hechos que denuncia el señor Primitivo en la Guardia Civil y por los que se siguen diligencias penales, y la propia entidad Ibercaja solicita la retrocesión de las transferencias por considerarlas fraudulentas. No es hasta el 1 de marzo de 2021, una vez que no tuvo resultado la solicitud de retrocesión de las transferencias, que la entidad Ibercaja rechaza la reclamación del cliente trasladando al mismo la responsabilidad por los hechos acaecidos. Y corresponde al banco probar que el usuario del servicio de pago cometió fraude o negligencia grave, de lo que no hay indicio alguno, y sí de haber sido el señor Primitivo víctima de un fraude, sin que por otro lado la entidad bancaria realizara actuación alguna tendente a averiguar el fraude, ni comunicar al Banco de España dicho fraude, que reconoció inicialmente, al solicitar la retrocesión de las transferencias por ser fraudulentas.
No bastando para eximir de responsabilidad al banco con que las transferencias fueran autenticadas, registradas con exactitud y contabilizadas, sino que además debe acreditar el banco que esas operaciones no se vieron afectadas por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago; y en este caso ha quedado acreditado que las transferencias efectuadas se vieron afectadas por una evidente deficiencia del servicio:
En el contrato de 6 de octubre de 2020 suscrito entre las partes se indica: El servicio Ibercaja Directo Negocios está dotado de un sistema de seguridad y fiabilidad para la transferencia electrónica de datos entre Ibercaja y sus clientes Usuarios. Dicho sistema de seguridad está basado en la encriptación de toda la información transferida y el cruce e intercambio de claves entre el Centro Servidor y el usuario para verificar y autentificar la identidad del emisor y el receptor en todas las transmisiones efectuadas.
Y la entidad bancaria indica que para mayor seguridad en la realización de estas operaciones, además de las claves de acceso y de firma, desde enero de 2021 se envían al teléfono móvil del usuario las claves de seguridad por SMS, lo que es más seguro que las claves de coordenadas.
Y tal como informa el Banco de España: De las manifestaciones de las partes y del examen de toda la documentación aportada a estas actuaciones se deduce que las operaciones discutidas se realizaron como consecuencia de la técnica conocida como clonación o duplicado de tarjeta del teléfono móvil o SIM swap fraud, que es un tipo de fraude sofisticado y complejo, puesto que implica una primera fase de investigación y contacto con la víctima, y una segunda fase de clonación física de la tarjeta SIM.
Seguidamente se describen las fases necesarias para llevar a cabo el fraude:
1) El estafador obtiene datos de la víctima a través de diferentes vías, ya sea mediante phishing o correos de suplantación de identidad, o a través de una web falsa, con métodos de ingeniería social o con el hackeo del teléfono móvil, entre otros.
2) A continuación el estafador solicita a la operadora de telefonía de la víctima un duplicado físico de la tarjeta SIM, pudiendo quedar bloqueada la original o, funcionar las dos a la vez.
3) Con la nueva tarjeta SIM el estafador puede recibir los SMS que contienen las claves de autenticación reforzada conocidas como OTP (siglas en inglés de one time password) para realizar operaciones bancarias. También puede resetear las contraseñas de acceso a la banca electrónica, obteniendo así acceso total a los productos bancarios del estafado, pudiendo contratar nuevos productos y/o realizar operaciones fraudulentas.
De modo que el sistema de seguridad para verificar y autentificar la identidad del emisor y el receptor en las transmisiones efectuadas, con un sistema de seguridad que indica el banco reforzado consistente en envió de un código sms al teléfono móvil del cliente, sin considerar el rango de seguridad de dicho dispositivo, fue deficiente, lo que dio lugar a la realización por terceras personas de transferencias no autorizadas por el cliente, sin que conste un actuar doloso ni gravemente negligente del cliente, lo que determina la responsabilidad de la entidad bancaria, y la obligación de restituir a la demandante la cantidad reclamada. El deber del cliente es actuar razonablemente en el cuidado de sus contraseñas y códigos, pero mediando un fraude mediante la ilícita duplicidad de la tarjeta SIM de su teléfono, sin que conste negligencia alguna del cliente, el riesgo se soporta por el prestador del servicio, en este caso la entidad bancaria demandanda, que no prestó un servicio seguro, como indicaba en el contrato, no realizó actuación alguna en orden a averiguar el fraude, ni lo comunicó al Banco de España, ni devolvió las cantidades transferidas fraudulentamente, incumpliendo así tanto el contrato como las obligaciones establecidas en RD/Ley 19/2018 de 23 de noviembre de servicios de pago, tal como ha razonado la juez de instancia, por lo que el recurso ha de ser desestimado y confirmada la sentencia de instancia."
-Lleida:
En la Sentencia número 303/2024, de 19 de abril, de la Audiencia Provincial (Secc. 2ª) de Lleida (19), se afirma:
"(...) la Audiencia Provincial de Madrid ha definido la negligencia grave del cliente como una conducta que se produce por iniciativa del usuario y no por consecuencia del engaño realizado por un delincuente profesional. Según esta definición, la persona que ha sido engañada para robarle su identidad no estaría cometiendo negligencia grave. Casos de negligencias graves son, por ejemplo: la persona extravía los datos personales y de su cuenta bancaria con las contraseñas anotadas en el mismo papel, en una libreta o similar; la web o correo electrónico de los estafadores es muy diferente de la real del banco, y a simple vista es fácil deducir que no es la legítima.
Incidiendo más en esa característica de grave, la Sala Penal del Tribunal Supremo tiene declarado que el "phishing" es una estafa informática en la que se integran todos los elementos del tipo penal del Art. 248.2 CP: el ánimo de lucro, la manipulación informática, el acto de disposición y el engaño bastante ( STS (Penal), sec. 1ª, nº 379/2019, de 23 de julio de 2019). Con respecto al "engaño bastante", la Sala Penal del Tribunal Supremo afirma que "no debe desplazarse indebidamente sobre los perjudicados la responsabilidad de comportamientos en los que la intención de engañar es manifiesta, y el autor ha conseguido su objetivo, lucrándose en perjuicio de su víctima" porque " el engaño no tiene que quedar neutralizado por una diligente actividad de la víctima" ( STS (Penal), sec. 1ª, nº 51/2020, de 17 de febrero de 2020).
Por su parte, de los Arts. 1101 y 1104 del Código Civil se infiere que la negligencia grave se equipara a la culpa lata, que "consiste en no proceder ni siquiera con la más elemental diligencia" o en "la más grave falta de diligencia, no hacer lo que todos hacen, no prever lo que todos prevén". Se alude a la culpa con previsión o dolo eventual, cuando el incumplimiento no es directamente querido, pero se han previsto los hechos. Se incurren en este tipo de negligencia cuando se omite las precauciones más elementales, dejando de prever lo que el resto de las personas habría previsto.
Asimismo, el Considerando 72 de la DSP2 dice que "A la hora de evaluar la posible negligencia o la negligencia grave del usuario de servicios de pago, deben tomarse en consideración todas las circunstancias. (...) si el concepto de negligencia supone un incumplimiento del deber de diligencia, la negligencia grave tiene que significar algo más que la mera negligencia, lo que entraña una conducta caracterizada por un grado significativo de falta de diligencia. Un ejemplo sería el guardar las credenciales usadas para la autorización de una operación de pago junto al instrumento de pago, en un formato abierto y fácilmente detectable para terceros".
/.../
Así pues, la negligencia grave debe surgir como consecuencia de la iniciativa del usuario, no como consecuencia de la iniciativa de un delincuente profesional, porque el engaño típico de la estafa excluye la negligencia grave. Si el phishing está caracterizado por el "engaño bastante", que es algo más que un burdo engaño, en el que caen multitud de personas, la víctima nunca puede haber actuado con negligencia grave, que es la más grave falta de diligencia, hacer lo que nadie más hace o no prever lo que todos prevén, o como dice el Considerando 72 de la DSP2 " una conducta caracterizada por un grado significativo de falta de diligencia". En caso de "criminalizar" a la víctima por dejarse engañar no sólo se subvierte la finalidad de la norma, sino que, además, se puede llegar al absurdo de descriminalizar estas estafas, porque la declaración de que el cliente actúa con negligencia grave podría excluir el engaño bastante y con ello la rebaja del tipo penal. Por ello, una interpretación errónea del concepto de "negligencia grave" que lleve a penalizar a los clientes por su falta de diligencia por el hecho de haber sido víctimas de una estafa punible, puede llevar al absurdo de proteger a los delincuentes.
En relación con la carga de la prueba, la SAP de Alicante, Sec. 8ª, nº 107/2018, de 12/3/2018 considera que la responsabilidad de la Entidad Bancaria es de "naturaleza cuasi-objetiva o de riesgo por razón legal". Esta declaración se reitera, entre otras, en la SAP de Zaragoza, Sec. 5ª, S. 01-07-2022, nº 804/2022, rec. 1130/2021.
Pero es que, además, los proveedores de servicios de pago no sólo están obligados a rastrear las páginas web que suplantan su identidad, también están obligados a realizar un análisis de riesgo de las operaciones y a implementar medidas de seguridad acorde a los riesgos presentes. Como dice la Sentencia de 16 de septiembre de 2022 del Juzgado de 1ª Instancia nº 3 de Santander "los bancos deberían incorporar sus propios "detectores de humo" para anticipar cuando puede estar teniendo lugar una estafa e intervenir", afirmación que guarda relación con la obligación que impone el Reglamento Delegado 2018/389 de realizar un análisis de riesgos en tiempo real para detectar cuándo una orden de pago es fraudulenta.
Asimismo, la Sentencia nº 88/2023, de 7 de junio de 2023, dictada por el Juzgado de 1ª Instancia nº 7 de Cerdanyola del Vallés, se pronuncia en un sentido análogo cuando razona " 11. Siendo Internet una red pública de comunicaciones, la seguridad de las operaciones bancarias precisa de soluciones tecnologías avanzadas a los efectos de garantizar tanto la autenticidad como la integridad y la confidencialidad de los datos. Por estos motivos las entidades prestadoras del servicio de banca online deben dotarse de medidas suficientes que garanticen al usuario la seguridad de las operaciones. Consecuencia derivada de la omisión, insuficiencia o defectuoso funcionamiento de las adoptadas es que han de ser las entidades bancarias las que asuman las consecuencias derivadas de los fallos de seguridad del sistema. (...)
12.-La responsabilidad en estos supuestos no puede atribuirse directamente al supuesto ordenante de la transferencia por entenderse ésta autorizada al haberse realizado de acuerdo con los sistemas de autenticación del banco. Los sistemas de autenticación se establecen por los proveedores de servicios de pago y si un banco no ha sido capaz de limitar el acceso al canal de banca electrónica no puede pretender que el presunto ordenante víctima de esta práctica fraudulenta sea el único responsable, pues es el banco quien tiene responsabilidad respecto del buen funcionamiento y la seguridad del mismo. (...) 13.- Las medidas de seguridad no solamente están destinadas a proteger la seguridad de las órdenes de pago emitidas por los clientes sino que su eficacia exonera a las entidades de crédito de sus responsabilidades frente a las órdenes de pago no emitidas por sus clientes de tal forma que el incumplimiento de este específico deber de vigilancia da lugar a una responsabilidad por " culpa in vigilando" o responsabilidad objetiva por el mal funcionamiento de los servicios de banca electrónica".
Finalmente y teniendo en cuenta el incremento de este tipo de fraudes, cuyas cifras de criminalidad rebasan las de otros sectores de actividades peligrosas y siendo la finalidad de la DSP2, que los usuarios gocen de la debida protección frente a los riesgos inherentes a los medios de pago digitales, la doctrina jurisprudencial establece que quien tiene las ventajas de un negocio por el que obtiene un lucro, debe soportar los inconvenientes de ese negocio como contraprestación por el lucro obtenido ( STS, Sala 1ª, S. 3-6-2006, nº 328/2006, rec. 281/1999). En consonancia con ello el Tribunal Supremo tiene declarado que en sectores de actividades peligrosas debe regir una responsabilidad objetiva, en razón al riesgo inherente al servicio prestado, cuyo título de imputación se fundamenta en la falta de la diligencia debida, que en estos casos debe ser rigurosa, ajustada las circunstancias concurrentes.
Como se explica en la STS (Civil Pleno), S. 15-3-2021, nº 141/2021, rec. 1235/2018 (Caso Uralita), F.D. Cuarto [sic] "En estos supuestos de actividades peligrosas permitidas, por ser socialmente útiles, colisionan los intereses de los terceros de no resultar perjudicados, con el propio y legítimo de los titulares que las gestionan de obtener los mayores rendimientos económicos posibles derivados de su explotación, a veces sometida, aunque no siempre, a un régimen de responsabilidad objetiva bajo aseguramiento obligatorio. Esa desigualdad, en las posiciones de ambas partes, se pone fácilmente de manifiesto por la circunstancia de que mientras los terceros soportan la amenaza eventual de sufrir daños significativos, con la única ventaja de obtener a cambio, en el mejor de los casos, un beneficio meramente difuso, el titular de la actividad, por el contrario, se beneficia de las ganancias generadas de su explotación en su particular provecho. Esta asimetría conduce a la posibilidad de justificar decisiones normativas que, por razones de justicia conmutativa, impongan a quien se aproveche de ese stock de riesgos, las cargas económicas de los perjuicios causados a los terceros ajenos a la misma, con la finalidad de compensar esa especie de daños expropiatorios o de sacrificio. De esta manera, se han utilizado las fórmulas latinas ubi emolumentum, ibi onus (donde está la ganancia está la carga) o cuius commoda, eius incommoda (quien obtiene una ventaja debe padecer los inconvenientes)".
Dado que el artículo 16 de la LSP obliga a los proveedores de servicios de pago a dotarse de un seguro de responsabilidad civil profesional, es dable declarar la responsabilidad objetiva de los proveedores de servicios de pago en aquéllos casos en los que sus clientes sean víctimas de una estafa de phishing, porque los pagos digitales se trata de un sector de actividad en auge, con constante incremento del índice delictivo, caracterizado por técnicas de engaño basadas en ingeniería social y uso de programas informáticos maliciosos imposibles o difícilmente detectables por los usuarios, en el que el principal beneficiario del uso de este sistema de pagos son los proveedores de estos medios -cuando menos son quienes obtienen el beneficio económico-, mientras que los clientes, que se ven obligados al uso de estos medios de pago -tanto por las restricciones legales al uso de dinero metálico como por el interés de los proveedores de servicios de pago en el uso de estas tecnologías-, sólo obtienen un interés difuso por el ahorro de tiempo en desplazamientos presenciales a la sucursal.
CUARTO.- Sostiene la parte apelante que el actor habría actuado con un importante descuido que califica de negligente grave al permitir la instalación de un programa en su teléfono movido por conocer el destino de un paquete que ni siquiera consta que estuviera esperando, lo que anuda a una presunta infracción el artículo 36 de la LSP , que por cierto esta Sala no observa en donde radicaría. Resulta pero, que en todo caso la espera o no de un paquete, no es un hecho que conste acreditado ya que no se fijó como controvertido si estaba o no esperando un paquete y si a la vista de ello, el mensaje que recibió era un cebo suficiente o no. El caso es que el actor es el encargado de aprovisionamiento de un taller mecánico y opera habitualmente con FedEx y otras empresas de mensajería, por lo que no puede considerarse negligente que intentara averiguar de que se trataba.
Por lo demás el mensaje SMS y la aplicación FedEx que se descargaba con él, tenía toda la apariencia de verosimilitud, como manifestó el perito, al punto de haber reconocido la propia demandada que se trataba de uno de los troyanos más sofisticados y peligrosos de la historia de Android, siendo que en un "troyano" es consustancial la instalación de un programa que vulnera la seguridad del dispositivo, sino no sería troyano, por lo que tampoco se observa esa falta de cautela y de mínima precaución tributaria de una calificación de negligencia grave que nos lleve a la aplicación del artículo 44 y 45 de la LSP, como parece entender la apelante.
Se dice también por el apelante que el actor hizo caso omiso de las cautelas previamente enviadas por IBERCAJA para evitar los supuestos de phishing. Olvida pero el apelante que no es este un supuesto al uso de phishing sino de smishing. Y si bien, muchos usuarios están conscientes de los peligros de hacer clic en un enlace contenido en un correo electrónico, pocas personas están conscientes de los peligros de hacer clic en enlaces contenidos en mensajes de texto. Los usuarios son mucho más confiados con los mensajes de texto, así que el smishing suele resultar lucrativo para atacantes que busquen obtener credenciales, información bancaria y datos privados.
Así en el caso del smishing al hacer clic en el enlace del SMS se abre un programa que induce a la instalación de un programa (un troyano) en el terminal que, a través de vulnerar la utilidad de accesibilidad del móvil (pensada para personas con capacidades sensoriales alteradas), se apodera del mismo y permite espiar y vigilar lo que se hace en el teléfono, de manera que cuando el actor puso sus datos en la aplicación del banco, lo hizo en la verdadera aplicación, pero siendo espiado por el ciber delincuente, por lo que no se pueden atender los motivos de recurso alegados por el apelante.
Se alega asimismo que fue el actor quien autorizó tras recibir el SMS de IBERCAJA, la realización de la operación, pero olvida el recurrente que el teléfono estaba infectado, debiendo recordarse lo dispuesto en el artículo 44.2 del Real Decreto Ley 19/2018 de Servicios de Pago, norma que dispone que los registros bancarios de los instrumentos de pago no son suficientes, por sí solos, para demostrar que la operación de pago fue autorizada por el ordenante, ni para demostrar que el ordenante ha actuado fraudulentamente o con negligencia grave: " A los efectos de lo establecido en el apartado anterior, el registro por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 41."
En relación con la infracción de los artículos 1089 y 1091 del CC hay que recordar asimismo que la propia LSP ya prevé en su Disposición transitoria quinta y en relación a los contratos en vigor que, los contratos que los proveedores de servicios de pago que operen en España tengan suscritos con su clientela, a la fecha de entrada en vigor de este real decreto -ley, para la regulación de las condiciones en las que ha de tener lugar la prestación de los servicios de pago a los que se refiere este real decreto-ley, seguirán siendo válidos una vez entre en vigor la misma, sin perjuicio de la aplicación, a partir de dicho momento, de las disposiciones de carácter imperativo que resulten más favorables para los consumidores y microempresas.
En relación con la valoración de la prueba testifical, esta es de libre valoración por los tribunales y lo cierto es que las manifestaciones del Sr Fulgencio ni quitan ni ponen a lo esencial, cual es si el actor incurrió o no en negligencia grave y ya hemos dicho que no está acreditada esa negligencia grave. Recordemos nuevamente que el Reglamento Delegado 2018/389 , de 27 de noviembre de 2017, que complementa la DSP2 en lo relativo a las normas técnicas para la autenticación reforzada de cliente, establece la obligación de realizar un análisis de riesgo en tiempo real basado en el análisis de operaciones y en los elementos que caracterizan al usuario en un contexto de uso normal de las credenciales de seguridad. Ese análisis de riesgo debe tener en cuenta una serie de factores a los que nos hemos referido en el párrafo sexto del fundamento de derecho Segundo y que sin duda fueron obviados en su mayoría por la entidad demandada.
Finalmente, y en relación con la supuesta falta de exhaustividad en los fundamentos de la sentencia que se recurre, y la pretendida infracción del art. 218 LEC, tampoco concurren. La sentencia es plenamente exhaustiva y contesta a todas y cada una de las alegaciones vertidas por el demandado, explicitando la razón por la que entiende que no ha existido negligencia por parte del actor, narrando el íter de los hechos, la inmediatez del actor en comunicar y denunciar la incidencia y la legislación que considera aplicable al caso, por lo que este ultimo motivo de recurso ha de ser también desestimado."
-Lugo:
Conforme razona la Sentencia número 232/2024, de 25 de junio, de la Audiencia Provincial (Secc. 1ª) de Lugo (20):
"(...) se ha acreditado que a principios de mayo de 2021, Jeremy que era director y propietario de una escuela de música puso a la venta on line un Bajo recibiendo la oferta de un comprador el 5 de mayo de ese mismo año, para lo cual facilita su cuenta corriente, y el comprador le hace llegar un enlace fraudulento para confirmarle que ha hecho el ingreso, y le dirige a una página clonada y falsa de ABANCA que pide las claves de seguridad para aceptar el ingreso.
Ante tal apariencia de veracidad, y visto el año en que se produjo la operación, no se puede concluir que la experiencia del consumidor en hacer operaciones on- line utilizando los servicios de ABANCA, es suficiente para eximir a esta entidad de responsabilidad por las sustracciones que se efectuaron en la cuenta del particular de manera fraudulenta, puesto que tal y como se recoge en la sentencia de instancia y no ha sido desvirtuado por la parte apelante, los SMS de ABANCA no avisan con claridad a un usuario de un peligro.
Así en un primer SMS al cliente que ha pinchado un enlace fraudulento ABANCA le dice:
Atención Estás instalando tu banca móvil, para finalizar teclea el código en la banca móvil, sí tienes dudas ,llámanos al NUM000"
Y en el segundo SMS le indica:
Se ha asociado el terminal, ANDROID Samsung SM-A202F, al servicio de bca. Móvil el 5/5/2021 14:48, si no es correcto bloquéalo en el NUM001 o en BCE Elec.
Como decíamos en ninguno de los dos se puede llegar a atisbar un aviso sobre un peligro en la operación que estaba realizando el particular, y tal y como como se comprobó no fue suficiente llamar al teléfono facilitado por ABANCA para frenar la operación fraudulenta puesto que las sustracciones estuvieron sincronizadas con la llamada del usuario a la entidad bancaria. Por lo tanto, se incumple con claridad por ABANCA el requisito del llamado "código de refuerzo" de la autentificación a que me he referido en el anterior fundamento."
-Málaga:
Destaca la Sentencia número 192/2024, de 19 de marzo, de la Audiencia Provincial (Secc. 5ª) de Málaga (21):
"Las acciones de restitución del dinero sustraído ilícitamente contra las entidades financieras de servicios de pago, requieren la concurrencia de tres requisitos:
a) Que la operación de pago no haya sido autorizada por la víctima. La existencia de una operación no autorizada se producirá en los casos de "phishing", ya que, el usuario de los servicios de pago no es la persona que emite el consentimiento por su iniciativa, sino que el usuario cede las claves privadas inconscientemente al delincuente ante una apariencia errónea de profesionalidad de los medios telemáticos utilizados para que éstos, en contra de su voluntad, utilicen los instrumentos de pago.
b) La existencia de un daño, el cual se traduce en el montante total sustraído.
c) Existencia de una relación de causalidad entre la conducta (acción u omisión) y el daño producido. El legislador ha establecido una imputación de responsabilidad cuasi-objetiva a los proveedores de servicios de pago haciéndolos responsables siempre y cuando no quiebre la relación de causalidad por existencia de diligencia cualificada en las obligaciones del proveedor de servicios de pago o culpa de la víctima por negligencia grave o fraude. La diligencia cualificada en las operaciones no autorizadas consiste en la obligación de proporcionar al usuario mecanismos de seguridad acordes para garantizar la seguridad y privacidad de las credenciales privadas ( artículo 42.1.a) del RDL 19/2018). La única posibilidad que existe para que quiebre la relación de causalidad por culpa de la víctima se contempla en el artículo 46 del Real Decreto-ley. Dicho artículo descarga la responsabilidad del proveedor de servicios de pagos cuando la víctima haya actuado con fraude o negligencia grave en sus obligaciones de conservar sus claves privadas derivadas de la obligación establecida en el artículo 41.b) del citado cuerpo legal.
A estos efectos, el RDL 19/2018, establece una responsabilidad de la entidad bancaria "cuasi objetiva" cuando la víctima no haya dado autorización real a la operación realizada a través de este método delictivo. La responsabilidad se imputa de forma directa al banco con independencia de si la entidad ha incurrido en culpa o dolo, quedando exonerado únicamente en los casos de fuerza mayor o culpa exclusiva del perjudicado, dado que la entidad bancaria depositaria de los fondos afectados tiene la obligación legal de devolver a la víctima la cantidad total que se le ha sustraído mediante las operaciones no autorizadas, salvo que expresamente acrediten que el usuario del servicio de pago cometió fraude o negligencia grave (art. art. 44.3 Ley Servicios de Pago).
Cuando una entidad bancaria presta un servicio de banca on line tiene la obligación de dotarse de las medidas suficientes que garanticen al usuario la seguridad de las operaciones. Por este motivo, si hay una omisión, insuficiencia o funcionamiento defectuoso de estas medidas, tienen que ser las propias entidades bancarias las que asuman las consecuencias derivadas del fallo del sistema de seguridad. Teniendo en cuenta que, los sistemas de verificación de autenticidad de las operaciones se diseñan y se establecen por parte de las entidades bancarias, si un banco no ha sido capaz de limitar el acceso de los delincuentes a su sistema no puede pretender trasladar la responsabilidad a la propia víctima.
Al respecto esta Sala ya se pronunció en idéntico sentido en Sentencia num. 340/2023 de 23 mayo, en la que se citan las Sentencia de la Audiencia Provincial de Madrid de Sección 20ª, Sentencia 184/2022 de 20 May. 2022, Rec. 945/2021 ( las que en esta se citan), resolución citada también en la resolución recurrida que nos ocupa, por lo que la resolución recurrida es conforme a derecho, a juicio de esta Sala pues como señala la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior regula la forma de valorar la negligencia del usuario del servicio, estableciendo a la hora de evaluar la posible negligencia o la negligencia grave del usuario de servicios de pago, deben tomarse en consideración todas las circunstancias. Las pruebas de una presunta negligencia, y el grado de esta, deben evaluarse con arreglo a la normativa nacional. No obstante, si el concepto de negligencia supone un incumplimiento del deber de diligencia, la negligencia grave tiene que significar algo más que la mera negligencia, lo que entraña una conducta caracterizada por un grado significativo de falta de diligencia. Un ejemplo sería el guardar las credenciales usadas para la autorización de una operación de pago junto al instrumento de pago, en un formato abierto y fácilmente detectable para terceros. Se deben considerar nulas las cláusulas contractuales y las condiciones de prestación y utilización de instrumentos de pago mediante las cuales aumente la carga de la prueba sobre el consumidor o se reduzca la carga de la prueba sobre el emisor. Además, en situaciones específicas y, más concretamente, cuando el instrumento de pago no esté presente en el punto de venta, como en el caso de los pagos en línea, resulta oportuno que el proveedor de servicios aporte pruebas de la presunta negligencia, puesto que los medios a disposición del ordenante son limitados en esos casos.
Así las cosas, es forzoso concluir que el comportamiento de la demandante de acceder al enlace facilitado en el correo electrónico que recibió, actuando en el convencimiento de que era un correo electrónico de la entidad bancaria, no constituye por sí solo una imprudencia grave, al solicitarse las claves bancarias en una web exactamente igual a la página oficial de Banco Santander, sin que exista ninguna prueba referida a que autorizase las operaciones de cargo en su cuenta corriente a través de APPEL PLAY ya que el banco no ha acreditado que exigiese para la realización de estas operaciones ningún método complementario de verificación, sólo se alega que debió realizarse, sin que conste si se puede realizar también por los ciberdelincuentes una suplantada la identidad, por lo que ningún error de valoración de la prueba ni de distribución de la misma, es de apreciar."
-Madrid:
Indica la Sentencia número 191/2024, de 25 de abril, de la Audiencia Provincial (Secc. 14ª) de Madrid (22):
"(...) corresponde a Ibercaja la carga de demostrar que la operación fue autorizada por el Sr. Mateo y que éste no actuó fraudulentamente con ánimo de obtener un beneficio ni cometió alguna negligencia grave.
Pues bien, sobre esta cuestión no disentimos de la valoración de la prueba que ofrece la sentencia de primera instancia ni de la conclusión que alcanza sobre que Ibercaja no ha acreditado, como le corresponde, que las operaciones se realizasen conforme lo pactado puesto que ni en el contrato de banca on line, denominado comercialmente "Contrato Ibercaja Directo", ni en el contrato de depósito a la vista ambos de 12 de junio de 2007, aparece consignado el teléfono alguno del cliente. El documento nº 7 de la contestación efectivamente indica que el SMS de confirmación, con el código de las operaciones, que supuestamente fue remitido al número de teléfono del Sr. Mateo que éste indicó como propio en la denuncia que presentó ante la Policía el 3 de marzo de 2021. Pero se trata de un documento de parte cuyo valor probatorio fue impugnado en el juicio por la defensa del actor. Ningún documento de terceros corrobora la efectiva remisión de los SMS al teléfono que indica ese documento, como sin duda podría ser un informe de la compañía de telefonía que confirmase la realidad de esos envíos el 2 de marzo de 2021. Además, como afirma la sentencia, tampoco consta que ese teléfono fuese el designado por el Sr. Mateo para autorizar operaciones como las realizadas.
Destacar, por lo demás, que la cuenta se abrió en el 12 de junio de 2007, casi catorce años antes de que sucedieran los hechos. El extracto de la cuenta refleja movimientos por importes modestos (documento 3 demanda), el más elevado corresponde al ingreso de la pensión del actor, algo que contrasta con las dos operaciones que figuran realizadas con una diferencia de tiempo de poco más de un minuto y por los importes de 51.000 y 57.000 euros. No consta, ni se aduce por Ibercaja, que el cliente haya realizado alguna vez operaciones similares o con ánimo de defraudar. La apelante alega que la responsabilidad debe recaer en el actor por un posible incumplimiento de su deber de custodia de sus datos bancarios o de la seguridad de su dispositivo móvil, en caso de haber permitido intromisión de terceros. No obstante, en hipótesis, y aunque nada conste al respecto, tampoco cabe descartar otras hipótesis posibles, tal como una intrusión en los sistemas informáticos del banco.
En definitiva, la prueba obrante en autos no nos permite considerar probado con la necesaria y conveniente certeza que el Sr. Mateo autorizase las operaciones a las que nos venimos refiriendo, lo que constituye motivo suficiente para desestimar el recurso y para confirmar de la sentencia de instancia sin necesidad de entrar a analizar otras cuestiones."
-Navarra:
Advierte la Sentencia número 702/2024, de 27 de mayo, de la Audiencia Provincial (Secc. 3ª) de Navarra (23):
"(...) en palabras de la Directiva 2015/2366, sobre servicios de pago en el mercado interior (Considerando 72) , no basta con cualquier falta de diligencia o precaución en la custodia de las credenciales personales, sino que debe darse una conducta significativamente negligente.
De esta forma, "grave" sería la negligencia de quien toma la iniciativa a la hora de desproteger sus credenciales, o la negligencia de quien hace entrega de los datos y credenciales a un tercero que se muestra claramente como tal, como ajeno a la entidad bancaria mediante signos y evidencias suficientes de tal ajenidad. Pero no ostenta la misma "gravedad" relevante la negligencia de quien no actúa por iniciativa propia sino arrastrado por comportamiento fraudulento de tercero, mediante un mecanismo de fraude muy específico y complejo, y de difícil detección, en el que es fácil ser víctima de un engaño ante la apariencia y creencia de oficialidad de la entidad, sin embargo, fraudulentamente aparentada por suplantación, sin que se aprecie en ello una cualificada negligencia.
Y como han recogido otros Tribunales de apelación "(...) la negligencia que hace responder al cliente es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional. Como parámetro del actuar negligente también cabrá acudir al art. 1.104 CC , que exige la diligencia asociada a la naturaleza de la obligación y a las circunstancias personales, de tiempo y lugar. Ello destacándose la complejidad y grado de perfección que presenta en la actualidad el método de " phishing" de difícil detección por persona de formación media, así como el deber de la proveedora del servicio de dotarse de tecnología suficiente y adecuada con exigencia de medidas implantadoras activas, sin entenderse suficientes avisos generales o en página web de mero carácter informativo o divulgativo ( SAP Pontevedra de 23 de marzo de 2023 y las que en ella se citan).
En base a ello el recurso debe ser estimado acogiendo la pretensión de condena contenida en la demanda, siendo innecesarios los pronunciamientos declarativos interesados ."
Establece la Sentencia número 141/2024, de 29 de enero, de la Audiencia Provincial (Secc. 3ª) de Navarra (24):
"La entidad demandada no ha aportado prueba alguna que acredite que quepa atribuir al demandante algún grado de responsabilidad, debido a su culpa o negligencia, en la realización de las transferencias de dinero objeto de la demanda. Como tampoco de se ha acreditado que no existiera fallo técnico u otra deficiencia en el servicio prestado por la entidad demandada.
Los extractos de movimientos de la cuenta del demandante no acreditan más que los cargos realizados en la misma; los 7 mensajes de texto remitidos por la entidad al demandante, en las dos fechas en las que se produjeron las 23 transferencias de fondos por Bizum, no acreditan por si solas su recepción por el actor ni que no pudieran llegar a conocimiento de terceros sin intervención del mismo y, el registro de la transferencia y trazabilidad de operaciones aportado, no demuestra que las mismas se realizaran por el propio demandante o por un tercero al que aquél hubiera facilitado los datos precisos para poder ordenarlas. Y no se ha aportado por la demandada prueba técnica de la que pudiera concluirse la imposibilidad de que los datos referidos pudieran llegar a conocerse por terceros defraudadores sin intervención del cliente.
De hecho, se han conocido en la práctica judicial casos iguales al presente y con intervención de la misma entidad financiera como, por ejemplo, el resuelto en grado de apelación por SAP Granada, 4ª, 164/2023 de 04 de mayo, en el que se consideró acreditado, en base a una prueba técnica, que, pese a estar el teléfono móvil en posesión del cliente, los mensajes de texto por sms no habrían llegado al mismo. Señalando esa misma resolución en argumento, que compartimos consistente en que " (...) a la vista de las numerosas transferencias en pocos minutos, sus importes y los destinatarios, la demandada debió dudar de la autenticidad de las autorizaciones, y suspender las mismas tal y como le habilitaba el apartado c) de la estipulación 7 de las condiciones generales del contrato"."
-Ourense:
En la Sentencia número 393/2024, de 27 de mayo, de la Audiencia Provincial (Secc. 1ª) de Ourense (25), se pone de relieve lo siguiente:
"La representación de la entidad Banco Santander sostiene, con base en el relato de hechos contenido en el fundamento segundo, que doña Jenifer incurrió en negligencia grave al haber suministrado su clave de acceso, firma electrónica y los CSV que le fueron remitidos a su teléfono móvil, incumpliendo con ello las obligaciones previstas en el artículo 41 del Real Decreto, conforme al cual el usuario de servicios de pago debe tomar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas y, en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, deberá notificar tal circunstancia al proveedor de servicios de pago o a la entidad que este designe, "sin demora indebida en cuanto tenga conocimiento de ello."
Tal argumento supone obviar que, una vez facilitada su clave de acceso y firma electrónica, antes de que tuviese lugar la realización de las operaciones fraudulentas, doña Jenifer contactó con el personal de la entidad Banco Santander para comunicar lo sucedido hasta ese momento, proporcionándole su gestora un número de teléfono al que debía llamar ante la posibilidad de estar siendo víctima de una estafa.
En consecuencia, obvia la parte apelante que doña Jenifer cumplió con las obligaciones que le impone el citado artículo 41 del del Real Decreto, pues procedió a notificar inmediatamente, incluso antes de que tuviesen lugar los cargos fraudulentos, la posible utilización no autorizada del instrumento de pago.
En el propio recurso de apelación se relata que, tras haber pinchado doña Jenifer el enlace que recibió en su teléfono móvil, y haber facilitado su clave de acceso y firma electrónica, el estafador, quien llamó a doña Jenifer después de que esta ya hubiese comunicado a su gestora la incidencia, solicitó a la demandante una nueva alta de dispositivo seguro y consulta de CVV, recibiendo doña Jenifer 4 códigos que cedió al estafador, siendo ese el momento en el que se efectuaron las compras con la tarjeta de doña Jenifer.
Siendo esta la secuencia temporal de lo ocurrido, considero que doña Jenifer no incumplió con el obrar diligente que le impone el artículo 41 del Real Decreto, pues comunicó inmediatamente la posible utilización no autorizada de su tarjeta, disponiendo el artículo 46.3 del Real decreto que, salvo en caso de actuación fraudulenta, el ordenante no soportará consecuencia económica alguna por la utilización, con posterioridad a la notificación a que se refiere el artículo 41.b), de un instrumento de pago extraviado o sustraído.
Por ello, comunicada la incidencia a su gestora, fue la entidad bancaria la que incumplió con las obligaciones impuestas por el artículo 42 del Real Decreto, precepto conforme al cual el proveedor de servicios de pago, una vez recibida notificación del ordenante relativa al extravío, sustracción o posible utilización no autorizada del instrumento de pago, debe impedir cualquier utilización del instrumento de pago.
Una vez que doña Jenifer se puso en contacto con su gestora, incumbía a la entidad impedir el uso fraudulento de la tarjeta. Al no haber obrado con la diligencia debida, con inobservancia de dispuesto en el artículo 42 del Real Decreto, la entidad bancaria debe, por aplicación de lo dispuesto en el artículo 45 del Real Decreto, devolver el importe de la operación no autorizada y restablecer en la cuenta de pago en que se haya adeudado dicho importe el estado que habría existido de no haberse efectuado la operación de pago no autorizada.
QUINTO.-Obiter dicta, y aun cuando doña Jenifer no hubiese comunicado a su gestora la incidencia, considero que la entidad bancaria habría de devolver igualmente los cargos realizados a consecuencia de las operaciones no autorizadas.
Para que el ordenante, cliente, deba soportar las pérdidas consecuencia de operaciones de pago no autorizadas, no es suficiente con que el proveedor de servicios no haya tenido intervención en los hechos. La responsabilidad del ordenante exige, conforme al artículo 46 del Real Decreto, que su actuación haya sido fraudulenta o fruto del incumplimiento, deliberado o por negligencia grave, de una o varias de las obligaciones que prevé el artículo 41 del Real Decreto.
La clave consiste, por tanto, en supuestos como el enjuiciado, en determinar cuándo un cliente actúa de manera gravemente negligente, no pudiendo concluirse que ha existido un obrar descuidado o falto de diligencia por el simple hecho de que el banco haya permanecido ajeno al ardid urdido por el estafador.
Es preciso poner de relieve que son las propias entidades quienes fomentan la utilización de sus servicios de banca on-line, obteniendo reducciones de costes que repercuten directamente en su beneficio, por lo que sería totalmente injusto hacer pechar al usuario con las nocivas consecuencias derivadas de los riesgos de utilización de un servicio facilitado por la entidad, en buena medida, en su propio beneficio.
Aplicando estas consideraciones obiter dicta al supuesto de litis, hemos de recordar que doña Jenifer pinchó un enlace que le llegó por medio de un SMS que le fue remitido a la misma carpeta en que recibía habitualmente los SMS enviados por el Banco Santander. Junto a tal circunstancia, ha de valorarse que el "phiser" que contactó con ella simuló llamar desde el número de atención al cliente de la entidad bancaria, apareciendo tal numeración en la pantalla del terminal de la demandante.
Nos encontramos, en consecuencia, ante un sofisticado fraude que impediría calificar la conducta de doña Jenifer como gravemente negligente, lo que impide que el proveedor de servicios de pago quede exonerado de su obligación de indemnizar."
Resalta la Sentencia número 215/2024, de 2 de mayo, de la Audiencia Provincial (Secc. 5ª) de Ourense (26):
"Este Tribunal se ha pronunciado, entre otras, en las sentencias de veinte de abril y 22 de junio de 2.023 sobre el mecanismo defraudador utilizado en este caso, en los siguientes términos: "Y a partir de tal consideración, la única negligencia imputable al consumidor radica en haber confiado en el SMS recibido en su móvil, en la línea de mensajes de la demandada, y consignar en la página a la que resultó redireccionado las claves de acceso a su usuario, lo que esta Sala no ha considerado constitutivo de una negligencia grave en atención a la distribución de la responsabilidad regulado en la LSP. En la reciente sentencia de veinte de abril de dos mil veintitrés señalamos, en un supuesto análogo: "... la prueba allegada por el banco al respecto, que se redujo a una certificación del empleado de la demandada responsable del Departamento de Banca Digital aparece desmentido o, al menos, resulta insuficiente para probar, como le corresponde a la recurrente, aquella actuación negligente del cliente basada en la comunicación a terceros o cuidado de la clave de acceso. Como señala la sentencia de la Sec. 3ª de la AP de Burgos de 5 de diciembre de 2022 a propósito del fraude por phishing, "la mayor parte de las AAPP han apreciado responsabilidad del proveedor de servicios de pago cuando lo único que ha hecho el usuario es descargarse estos programas maliciosos, sin introducir un segundo código de autenticación. Así, SSAP Zaragoza sección 5 del 1 de julio de 2022 ( ROJ: SAP Z 1482/2022 ), Granada sección 5 del 20 de junio de 2022 ( ROJ: SAP GR 957/2022 ), Valencia sección 6 del 13 de junio de 2022 ( ROJ: SAP V 2622/2022 ), Madrid sección 20 del 20 de mayo de 2022 ( ROJ: SAP M 7327/2022 ), y Pontevedra sección 6 del 21 de diciembre de 2021 ( ROJ: SAP PO 3078/2021 )".
Se da la circunstancia en este caso de que el usuario sí facilitó el segundo código de autenticación, lo que, en principio sí podría calificase como de una actuación gravemente indiligente, que exoneraría de responsabilidad al proveedor de los servicios de pago. Pero, sin embargo, deben valorarse concretas circunstancias concurrentes en el presente caso, pues, por una parte, la demandante acudió previamente a la oficina bancaria donde la empleada que le atendió no solamente no procedió a bloquear la cuenta, sino que tampoco proporcionó a la usuaria la información sobre las pautas que habitualmente siguen los defraudadores tras ese primer paso inicial. En suma, el procedimiento seguido en este caso se produce de forma repetida y la información de seguridad proporcionada a la demandante era claramente insuficiente. Y, en segundo lugar, la facilitación de las claves se produce tras recibir una llamada telefónica que figuraba en su terminal como procedente de un departamento del banco y era coherente con el procedimiento indicado por la empleada que le había atendido inmediatamente antes, lo que configura una puesta en escena del engaño basada en la confianza que proporcionaba la identificación del número telefónico y que produjo en la demandante el error de considerar como su interlocutor la entidad bancaria y por ello no podemos calificar como gravemente negligente la actuación de la usuaria."
-Palma de Mallorca:
La Sentencia número 342/2024, de 19 de junio, de la Audiencia Provincial (Secc. 5ª) de Palma de Mallorca (27), recoge las consideraciones siguientes:
"Los cargos por importe total de 5.700 euros se efectuaron a través del sistema de pago de la demandada. No se justifica en las actuaciones que el actor procediera a la activación de ese sistema mediante el uso de claves ni instrumento facilitados por la demandada. En el dispositivo móvil del actor constan los mensajes recibidos sobre los cargos y la llamada de teléfono en la que aparece como emisora la demandada. Conforme a la normativa aplicable el certificado emitido por REDSYS unido por la parte demandada no es suficiente para exonerarla de responsabilidad. A través del documento se certifica que las operaciones fueron autorizadas, registradas con exactitud y contabilizadas sin que interviniera fallo técnico ni otra deficiencia. Pero ello no acredita que la operación fuera autorizada por el cliente ni que éste hubiera incurrido en fraude (lo que no se alega por la propia demandada) ni en negligencia grave en la custodia de sus claves. Incumbe a la parte demandada, en tanto que entidad prestadora del servicio, facilitar los medios de seguridad oportunos a fin de evitar el defectuoso funcionamiento del sistema que ofrece, máxime si se considera la frecuencia con la que se producen supuestos como el presente y frente los que el profesional debe estar en alerta. En el mismo sentido de excluir negligencia del cliente consumidor en supuesto como el presente se pronuncia la SAP Cáceres nº570/23, de 22 de diciembre, señalando que
"...no cabe apreciar imprudencia grave en el demandante, consumidor, que exonere de responsabilidad a la entidad bancaria, demandada. Ocurriendo que de la prueba practicada, la cual es valorada de forma correcta y lógica en la instancia, no resulta probada la existencia de una actuar negligente grave del demandante; sí resultando probado en base a la prueba practicada que su actuar ha sido diligente en todo momento, contactando tan pronto como tiene conocimiento del primer cargo fraudulento con la entidad bancaria para comunicarlo, así como acudiendo a dependencias policiales para la interposición de denuncia al día siguiente. Advirtiéndose como una actuación razonable, según los parámetros de la lógica, no advirtiendo actuar negligente que revista gravedad, el hecho de que el mismo haya aportado datos personales cuando le son requeridos, en apariencia, para paralizar los cargos fraudulentos que le habían sido anunciados; y ello porque dicho datos no han sido ofrecidos a un tercero sin razón, o han estado a la vista de terceros por omisión del demandante, sino que el mismo, ante la apariencia creada informáticamente de que recibe un mensaje de texto remitido por conducto oficial de parte de la entidad bancaria, y ante la apariencia creada informáticamente de que recibe llamada de la entidad bancaria a través del número propiedad de esta, siendo dichas vías a través de las cuales con anterioridad se comunicaba con la entidad bancaria en cuestión, razonablemente proporciona los datos con la intención de frenar los cargos fraudulentos".
En consecuencia, no cumplida por la parte demandada la carga de justificar que la operación fuera autorizada por el cliente o la negligencia de éste en la custodia de sus claves, debe estimarse la demanda para condenar a la demandada al abono de la cantidad que se le reclama."
La Sentencia número 221/2024, de 16 de mayo, de la Audiencia Provincial (Secc. 4ª) de Palma de Mallorca (28), mantiene:
"Esta Sala debe tener en cuenta que la negligencia a que se refiere el precepto ha de revestir la condición de grave,no siendo suficiente una negligencia leve ni media para la exclusión de la responsabilidad de la entidad bancaria. En este sentido, el considerando 72 de la Directiva (UE) 2015/2366, sobre servicios de pago en el mercado interior, dispone que:
«A la hora de evaluar la posible negligencia o la negligencia grave del usuario de servicios de pago, deben tomarse en consideración todas las circunstancias. Las pruebas de una presunta negligencia, y el grado de esta, deben evaluarse con arreglo a la normativa nacional. No obstante, si el concepto de negligencia supone un incumplimiento del deber de diligencia, la negligencia grave tiene que significar algo más que la mera negligencia, lo que entraña una conducta caracterizada por un grado significativo de falta de diligencia. Un ejemplo sería el guardar las credenciales usadas para la autorización de una operación de pago junto al instrumento de pago, en un formato abierto y fácilmente detectable para terceros»
Además, en relación con el concepto de negligencia grave, con carácter general, cabe afirmar que la jurisprudencia viene entendiendo que linda con el dolo. Así, la sentencia de la Sala Primera del Tribunal Supremo de 30 de enero de 2003 revisa en profundidad el concepto, conectándolo con el de falta de diligencia inexcusable, por lo que su apreciación ha de ser restrictiva.
La sentencia de 22 de junio de 2023 de la sección 5ª de la Audiencia Provincial de Asturias ( ROJ: SAP O 2047/2023 - ECLI:ES:APO:2023:2047) niega la calificación de grave a la negligencia consistente en "haber confiado en el SMS recibido en su móvil, en la línea de mensajes de la demandada, y consignar en la página a la que resultó redireccionado las claves de acceso a su usuario",y a la misma conclusión llega este tribunal tras apreciar que lo mismo puede ser reprochado al demandante, quien, además, reaccionó sin tardanza tras percatarse de lo sucedido y presentó la correspondiente denuncia y dio aviso a la entidad demandada.
La SAP de Madrid de 13 de enero de 2023, por su parte, establece que "... "la entidad que presta el servicio de pago solo puede exonerarse de responsabilidad, mediante la prueba de culpa grave del usuario que emite la orden de pago. En el supuesto objeto de recurso, estamos ante un fraude llamado "phishing", por el que se suplanta la identidad de la entidad bancaria para obtener información sobre las claves o credenciales de las cuentas bancarias o tarjetas de crédito/débito. Se envía un correo electrónico con la apariencia de ser remitido por la entidad bancaria, que contiene un enlace a una página que aparenta ser sitio oficial de ésta, pero que en realidad pertenece a un dominio bajo control del phiser".
La sentencia de la Audiencia Provincial de Madrid, sección 11, de fecha 28 de febrero de 2022, hace un compendio de la misma y se menciona la sentencia de la Audiencia Provincial de Madrid (Sección 9ª) núm. 178/2015 de 4 mayo de 2015 (JUR 2015\151311), que se pronuncia en el sentido siguiente: "Salvo actuación fraudulenta, incumplimiento deliberado o negligencia grave del ordenante (Art. 32), la responsabilidad será del proveedor del servicio de pago, lo que supone que a él le corresponde la carga de la prueba de que la orden de pago "no se vio afectada por un fallo técnico o cualquier otra deficiencia " (art 30).
En atención a lo expuesto, considera esta Sala, que la responsabilidad contemplada en esta Ley es cuasi-objetiva, es decir, se trata de una responsabilidad de la entidad que presta servicios de pago que sólo permite exonerarse mediante la prueba de la culpa grave del ordenante.
En base a ello, valorando las circunstancias concurrentes en el presente caso, no cabe apreciar negligencia grave por parte de la demandante en el cumplimiento de su obligación de proteger sus credenciales de seguridad. No puede tacharse de gravemente negligente la conducta de quien, tras recibir en el mismo canal en el que recibe habitualmente las comunicaciones procedentes de su banco un mensaje de texto en el que se le informa que tiene que verificar su identidad facilitándole un enlace para ello, decide pulsar en ese enlace e introducir su usuario y contraseña, dado que, para una persona no experta, no es fácil detectar que el mensaje recibido es fraudulento o que la web a la que ha accedido a través del enlace facilitado es falsa.
No se niega que el actor incurriera en falta de diligencia, o de exceso de confianza, pero no se estima que esto pueda ser llevado al extremo de ser tenido por una negligencia grave como la que invoca la recurrente, por lo que debe desestimarse el recurso de apelación interpuesto y confirmarse la resolución recurrida."
-Pontevedra:
La Sentencia número 244/2024, de 2 de mayo, de la Audiencia Provincial (Secc. 6ª) de Pontevedra (29), se pronuncia en el sentido siguiente:
"(...) no basta para imputar la negligencia grave al usuario de la tarjeta la presunción que invoca la parte apelante, en aras a eludir su responsabilidad, basada en el mero alegato de que el primero tuvo que haber incumplido necesariamente sus deberes de custodia respecto a las claves personales, se precisa prueba del fraude o de culpa grave.
Tampoco la afirmación de la apelante de que ha acreditado el correcto registro y contabilización de las operaciones negadas por el actor a través del certificado emitido por Redsys Servicios de Procesamiento, S.L., es suficiente al fin que se propone. Ciertamente la referida sociedad certifica que "las operaciones fueron autorizadas, registradas con exactitud y contabilizadas y no se vieron afectadas por un fallo técnico o cualquier otra deficiencia. Las operaciones fueron compras presenciales autenticadas por el método de seguridad de la marca y no identificadas", y en el documento que acompaña a la anterior certificación se recogen las cuatro operaciones objeto de la demanda, todas realizadas en un pequeño período de tiempo (17:06 a 17:24) durante la tarde del día 3 de septiembre en comercios de la C.A. Cataluña, con cuatro códigos de autorización que se ignora si fueron remitidos por SMS y a qué terminal. Hecho fundamental, por cuanto es un requisito exigido por el sistema de seguridad del uso de la tarjeta y no se ha acreditado. La carga de la prueba de la remisión efectiva del SMS y al concreto terminal que supuestamente se remitió corresponde a la demandada, por cuanto exigir al actor que pruebe que no lo recibió supondría exigir al cliente la prueba de un hecho negativo, lo que supone una prueba diabólica. En este sentido el Banco de España viene recordando la obligación que tiene la entidad prestadora del servicio de acreditar la autenticación de las operaciones se extiende también al contenido de los mensajes SMS que habrían sido remitidos conteniendo las claves de confirmación y tales mensajes no han sido aportados.
Como tampoco se ha explicado el por qué la entidad demandada consideró inicialmente las operaciones fraudulentas, pues es lo cierto que el demandante tiene conocimiento de tales por un mensaje que la demandada le envió a su móvil la tarde del día 3 de febrero advirtiéndoles de que se había detectado un posible uso fraudulento de su tarjeta de crédito, con la cual se habían realizado varias operaciones sospechosas, lo que motivó, como se recoge en sentencia, que el demandante, tras verificar que la tarjeta la tenía en su poder, inmediatamente la bloquease y diese de baja, acudiendo a primera hora del día siguiente a la entidad bancaria y a formular la oportuna denuncia en la Comisaria de la Policía.
En fin, que el Banco demandado no ha logrado probar que el demandante haya desatendido sus deberes de custodia respecto a sus claves personales permitiendo la transmisión o transmitiendo a terceros, tampoco ha demostrado el método por el que se enviaron los códigos de autorización, y si en el caso de ser mensajes de SMS, que el código numérico de un solo uso fuese remitido al teléfono móvil del reclamante, haya sido tecleado por él vía internet o utilizado de algún otro modo, si es que tales mensajes han llegado realmente al terminal de Don Cristobal, pues ni en la contestación ni en el recurso se describe la concreta conducta que él desarrolló o se abstuvo de ejecutar y que haya supuesto un incumplimiento de su deber de preservar la seguridad, fuera de meras hipótesis o especulaciones poco definidas, de hecho la juzgadora descartó el método phishing que se alegaba en la contestación y nada sobre el particular se alega en el recurso, es más, ni siquiera se describe que tenía que haber hecho el actor para evitar el "hackeo" de su teléfono, si es que este hecho aconteció, y ello a pesar de que, como se indicó, la carga de la prueba concierne a la entidad demandada.
Por consiguiente, no habiéndose acreditado en modo alguno que las operaciones de pago fueran autorizadas por el demandante ni habiéndose demostrado que éste actuara fraudulentamente o con negligencia grave, en aplicación de la normativa sobre Servicios de Pago que se ha expuesto, corresponde, tal resolvió la juzgadora de instancia, a la entidad bancaria demandada asumir el perjuicio económico causado al actor por la utilización indebida y no autorizada por tercero/s desconocido/s de la tarjeta de crédito; desestimando el recurso y confirmando la recurrida al no existir error alguno en la valoración de la prueba por parte de la juzgadora."
En la Sentencia númeor 58/2024, de 5 de febrero, de la Audiencia Provincial (Secc. 6ª) de Pontevedra (30), se declara:
"La parte apelante impugna la sentencia alegando que la operación de pago por tarjeta fue debido a la existencia de actuación negligente por la demandada, porque la comunicación vía SMS y la posterior llamada telefónica llegaron a través de líneas de la entidad Abanca.
En el presente caso nos encontramos ante el hecho de que don Marcelino recibió en su teléfono móvil un SMS con un mensaje supuestamente de Abanca en el que le indicaban: "AVISO PARA Marcelino: un DISPOSITIVO no autorizado esta conectado en su cuenta online. Si no reconoce este acceso verifique inmediatamente: NUM000". El demandante, según se reseña en la sentencia -en base al relato efectuado por el actor en la denuncia presentada en la Comisaría de Policía- presionó el link y accedió a su cuenta bancaria on line comprobando que todo estaba correcto. Unos minutos después recibió una llamada desde el número de teléfono NUM001 que tuvo una duración de unos 20 minutos (según se acredita con el documento nº 3 de la demanda). Consta que durante ese tiempo el señor Marcelino recibió una serie de SMS en los que se le avisa por parte de la entidad Abanca que está instalando su banca móvil en otro dispositivo y se le indica el código que debe enviar para finalizarla. Seguidamente en otro SMS la entidad bancaria le concreta cuál es el terminal telefónico al que se ha asociado el servicio de banca, dando la posibilidad de bloquear en caso de no ser correcto. Finalmente, a través de un nuevo SMS, se le informa de una compra por importe de 5.800 euros en comercio Binance, facilitando una clave para confirmar la operación. El demandante reconoce que fue facilitando a la persona que le llamó en nombre de Abanca todos los códigos y claves que fue recibiendo en su teléfono móvil, incluso el número CVC de verificación de su tarjeta, que resulta preciso para completar una compra, y que tras proporcionar este le colgaron el teléfono. Afirma que procedió a devolver la llamada al mismo número y que le contestaron desde una centralita de Abanca.
/.../
En el presente caso nos encontramos ante el hecho de que el demandante recibió la comunicación fraudulenta por SMS desde la misma línea telefónica de Abanca, lo que se acredita por el hecho de que en la misma recibió los restantes SMS que sí le envío dicho banco. De igual forma el número de teléfono desde el que recibió la llamada corresponde a la entidad bancaria, pues es el que se le indicó para bloquear la asociación de su banca móvil a otro dispositivo telefónico, como se acredita con los documentos nº 2 y 3 de la demanda. Por lo tanto, sí se creó en el usuario una falsa apariencia de que la comunicación telefónica y el SMS inicial habían sido realizados por Abanca al haber sido utilizadas de forma indebida dichas terminales telefónicas por parte del tercero defraudador. No obstante, esto podría justificar la instalación de banca móvil en otro dispositivo telefónico, pero este hecho no es el que ha generado el perjuicio económico al apelante. En la denuncia presentada en su día manifestó que en la llamada telefónica recibida le comentaron que había un cargo en su tarjeta bancaria de una compra por valor de 4.500 euros y le solicitaron un código para anular ese pago. La entidad bancaria fue informando al actor en todo momento a través de los SMS de las distintas operaciones que iba realizando, indicando incluso la posibilidad de bloqueo si algo no era correcto, como expresamente se hizo constar respecto a asociar el servicio de banca móvil a un nuevo terminal -que no consta que sea propiedad del demandante-, pese a lo cual este desoyó la señal de aviso recibida y facilitó el código para seguir con dicha operación. Por la parte apelante no se justifica ni explica tampoco por qué facilitó la clave para confirmar una compra en un comercio por cuantía de 5.800 euros, cuando el motivo de hacer todas las actuaciones era ante la falsa advertencia de que le iban a hacer un cargo por una adquisición por una cantidad inferior. No sólo facilitó el código recibido por SMS sino también el código de verificación CVC, autorizando así de forma expresa la compra, no pudiendo ignorar que esta era la finalidad de la operación, pues de forma expresa fue informado por SMS de la clase de negocio autorizado (compra), el vendedor (comercio Binance) y la cuantía (5.8000 euros), sin que la parte apelante haya dado explicación del porqué autorizó esa compra.
Debemos entonces concluir que efectivamente existió un fallo en el sistema de comunicaciones de la entidad Abanca y que la misma dio lugar a captar la confianza del señor Marcelino. Sin embargo, dicha demandada dio cumplimiento a las exigencias de control mediante el procedimiento de autenticación reforzada de clientes con un sistema de doble control, advirtiendo además en todo momento al demandante de las específicas actuaciones que estaba llevando a cabo, y el concreto perjuicio sufrido por el demandante se produjo al autorizar con cargo a su tarjeta una compra, siendo conocedor de que si facilitaba la clave y el CVC de su tarjeta se llevaría a cabo la operación, lo que, por razones que se ignoran, llevó a cabo al facilitar los mismos a los estafadores.
Lo expresado nos lleva a idéntica conclusión que la juzgadora a quo, al considerar que la estafa tuvo lugar por negligencia grave imputable al apelante, al haber facilitado el mismo a terceros los códigos y claves personales precisos para realizar la compra cuyo importe ahora reclama, lo que supone que aquel obró con una significativa falta de diligencia al usar el instrumento de pago y al proteger sus credenciales, lo que nos lleva a desestimar el recurso de apelación interpuesto y a confirmar la sentencia de instancia."
-Tarragona:
En la Sentencia número 278/2024, de 9 de mayo, de la Audiencia Provincial (Secc. 3ª) de Tarragona (31) se puede leer lo siguiente:
"(...) se trata por tanto de dilucidar si el actor ha de soportar las pérdidas, y ello solo sucederá si ha actuado de manera fraudulenta, que ni se alega ni se prueba, o porque haya incumplido deliberadamente, o por negligencia grave alguna de las obligaciones del art.-41, y como se ha expresado, entre estas, se encuentra la de notificar la utilización no autorizada , sin demora indebida en cuanto tenga conocimiento de ello. En este sentido, la SAP de Zaragoza de 14 de mayo de 2013, señala que "salvo una tardanza injustificada del usuario del servicio de banca electrónica en comunicar la irregularidad de las operaciones, será el banco quien deberá devolverle de inmediato el importe de la operación no autorizada "
8.- La apelante entiende que se produjo esa tardanza injustificada por el hecho de resultar acreditado que el actor accedió a su área personal en cinco ocasiones, afirmando que en estas accedió a los movimientos de su cuenta y de su tarjeta. Como prueba de ello adjunta como documento nº 6 las impresiones de pantalla de su sistema informático interno, que dice en su contestación que acreditan los contactos del cliente a través del canal móvil en las fechas 9,26,30 de junio y 4 y 9 de julio. En estos pantallazos, lo único que observamos es que figuran las fechas, las horas, el canal, este Genoma Mobile, Genoma Callcentyer, VRU, el agente donde se reseñan una serie de letras y números, en algunos como comentario, " El cliente pide un gestor en el Menú General", y en el detalle del 9 de junio bajo el concepto operaciones, aparece "validación cliente internet. Obtiene los movimientos retenidos de un producto ". En el detalle del 26 de junio, figura del mismo modo, validación cliente internet" y en dos ocasiones, Obtiene los movimientos retenidos de un producto "En el detalle del 4 de julio, en el citado apartado Operaciones, se refleja: " Validación Cliente Internet , Transferencia de ( ...) importe 2000 euros, Recupera la configuración de acceso a setings de un cliente, Obtiene las cuentas favoritas de un cliente ."
9.-Por lo que respecta al documento nº 7 de la contestación, los logs informáticos de las consultas realizadas el 9 de junio de 2018, afirma el apelante en su escrito de contestación, que en este documento se pueden observar todas las acciones del actor, entre ellas, visualizar pagos, pese a que el documento en un listado de páginas, con códigos, difícilmente descifrables para esta Sala, y no se ha aportado dato adicional que permita estimar probado que lo que reflejan dichos listados y códigos, es que el actor visualizó los pagos, esto es que comprobó los movimientos de su cuenta y de su tarjeta en esa fecha.
10-. Por tanto, en relación a este último documento hemos de decir que a falta de cualquier otra corroboración, ningún testigo técnico o perito nos ha explicado que esa sucesión de códigos represente una visualización de los movimientos de la cuenta y de los cargos habidos, no podemos otorgarle la virtualidad que el apelante pretende. Respecto de los pantallazos, el referido documento nº 6, hemos de señalar que la prueba se revela igualmente como insuficiente, el acceso al área personal del cliente como afirma la sentencia de instancia puede serlo para realizar diversas operaciones, y no necesariamente la consulta del extracto de los movimientos de la cuenta o de la tarjeta, la apelante no justifica suficientemente que comporta en la operativa el acceso que supone "validación cliente internet", esto es, que ese acceso el 9 o el 26 de junio de junio, permitiera visualizar las operaciones no autorizadas, tampoco la recurrente aporta elementos periféricos o explicaciones acerca de qué supone esa comprobación de movimientos retenidos, pero del tenor de la conversación telefónica aportada lo que podemos deducir es que ello no supone el acceso a todos los movimientos, sino que este concepto de movimientos retenidos aparece y al desplegarse figuran tales movimientos retenidos y su detalle, pero lo que no justifica la recurrente es que en el momento del acceso, las operaciones no autorizadas realizadas en los días 7 y 8 de junio por importes de 582 y 450 euros, se encontraran entre estos movimientos retenidos, para poder afirmar así, que tales operaciones fueron conocidas por el actor. Tampoco nos aclara la entidad que esta anotación en su sistema informático, de obtención de movimientos retenidos de un producto lo fuera de la tarjeta de débito, también contaba el actor con una tarjeta de crédito, y según consta en las alegaciones efectuadas por la apelante al Banco de España, el actor, tiene otros productos contratados además de la cuenta nómina, para rechazar por ello como hace la entidad la devolución de los pagos hechos antes del 9 de junio, pese a que abona realmente importes del mismo día 9 de junio y posteriores, como se advierte en el documento nº 8 de la contestación, que recoge más reintegros que los pagos realizadas los días 7,8 y 9 de junio, lo que viene a contradecir su propia causa de oposición. Cierto es que el actor en su carta de reclamación al Servicio de Atención al Cliente de la demanda, ( folio 74 de las actuaciones ) aduce, que el 9 de junio posiblemente accedió a la aplicación para ver el estado de cuentas, pero que ello no implicaba acceder a los movimientos de la tarjeta, y la demandada no justifica con suficiente certeza que ello fuera así, incluso el actor aduce que aun en el caso de haber accedido a los movimientos, hasta el 9 de junio solo existían dos cargos que pudo haber atribuido a importes gastados por él, plantea una hipótesis por tanto, pero nada más, no un reconocimiento de acceso a los movimientos. La recurrente, reiteramos, realiza la aseveración de que el actor visualizó los cargos, en base a una documental que no aclara, y lo mismo podemos decir en relación al acceso y la comprobación de movimientos retenidos de un producto que se realiza el 26 de junio. Es al proveedor de los servicios de pago al que correspondía esta prueba y su documental es insuficiente. Del mismo modo que la apelante aporta pantallazos de su sistema interno podía haber exhibido documentalmente el funcionamiento de su aplicación, qué es lo que observa el usuario al acceder a la misma, e ilustrar del mismo modo, y no lo hace, ni tampoco corrobora de ninguna manera que el hecho de efectuar una transferencia desde la cuenta comporte automáticamente la exhibición de los movimientos de la misma, o la presentación del saldo, de hecho la demandada incide en que a través de los accesos debió de percatarse el actor de los cargos, pero nada dice de que a través de los accesos a la aplicación, se visualizara el saldo.
11.- Se observa un déficit probatorio por parte de la entidad bancaria, es esta la que ha de probar el incumplimiento de las obligaciones del usuario, es esta la que ha de demostrar que en la operativa de la aplicación para la ejecución de una transferencia, el usuario entra o tiene que entrar en el histórico de la cuenta, o en de la tarjeta, y además ver su saldo, mermado ya en la fecha de la transferencia por los numerosos cargos, para poder así afirmar, que el actor conoció los cargos no autorizados y permaneció inactivo, permitiendo con ello la consumación de sucesivas operaciones no autorizadas. El rigor probatorio ha de ser mayor y la documental en la que la apelante sustenta su renuencia a la restitución es poco clarificadora, y resulta abiertamente contradicha por el relato del actor en la grabación telefónica, en la conversación lo que se advierte es que cuando la interlocutora le dice que vaya a su cuenta y que vaya a movimientos retenidos, porque le está preguntando por un pago de 72,08 euros, que aún no se ha cargado, hecho el día 15, manifiesta el actor que ve otro pago del sábado, dice de 350 euros, luego expresa, "madre mía, que tengo aquí otro cargo de 2.800 euros, y aquí otro, hay un montón de cargos que no son míos ", y es aquí cuando se le pregunta que saldo tendría que tener y contesta que veintitantos mil euros, y la interlocutora entonces le dice que van a acceder al extracto de movimientos y hacer las comprobaciones desde el 1 de mayo.
12.-Resulta un tanto insólito, que de haber conocido realmente los cargos fraudulentos, el actor dejara pasar el tiempo, sin nada hacer, con la merma que ello estaba suponiendo para su patrimonio, si no es porque ninguno de los accesos que realizó a la aplicación revelaban realmente la sucesión de las operaciones no autorizadas, probablemente con una tarjeta clonada, sin que nada tuviera el usuario que sospechar para seguir con mayor detenimiento los movimientos de su tarjeta, cuando, esta se hallaba en su poder, y como dijo, no se le había requerido ningún código de verificación anteriormente que le alertara del uso fraudulento de su tarjeta.
13.-En conclusión, de lo que se trata es de que el actor demorara injustificadamente la notificación al proveedor de los servicios de pago las operaciones no autorizadas, en cuanto tuvo conocimiento de las mismas, es esta demora inmotivada la que representa el incumplimiento de la obligación que le es exigible, y le hace soportar las pérdidas, pero ello requiere como presupuesto que tenga conocimiento de la operación, no que eventualmente hubiera podido tenerlo si hubiera acudido al detalle o histórico de movimientos de su cuenta regularmente, sin que podamos advertir en modo alguno en esta falta de seguimiento regular del histórico de movimientos negligencia grave del demandante, pues ni legal ni contractualmente está obligado a ello."
-Tenerife:
Afirma la Sentencia número 177/2024, de 23 de abril, de la Audiencia Provincial (Secc. 3ª) de Tenerife (32):
"Cierto es que la perpetración del hecho dañoso requiere de la actividad del usuario del servicio, que es en definitiva quien introduce las contraseñas que permiten a ese tercero operar desde la cuenta bancaria y por medio de las tarjetas de débito o de crédito asociadas a esa cuenta bancaria. También es cierto que las entidades, y, en este caso, la demandada acredita que así lo ha hecho, emiten avisos de manera continua a los usuario de que jamás piden determinados datos; sin embargo, aun desde esa perspectiva, los hechos base de esta reclamación no pueden estimarse constitutivos de la negligencia grave requerida para eximir de responsabilidad a la demandada, teniendo en cuenta que, en este caso, concurre incumplimiento contractual por parte de la demandada, consistente en la ausencia de control en ejecución de operaciones con las características evidenciadas en este caso, teniendo en cuenta que, en contra de lo que suele ser el patrón de conducta del usuario, se ejecutan un número importante de operaciones por medio de comercio electrónico, justo después de efectuar las modificaciones de clave de acceso y de limitación de disposiciones por medio de tarjetas. Operaciones que tiene una doble característica, la primera que se llevan a cabo casi simultáneamente y la segunda y también llamativa, que se producen desde ciudades situadas en cada lado del mundo.
En este sentido, la SAP de Ourense de 9 de junio de 2023, señaló: "5. (.) El deber de diligencia de la demandada para asegurarse la correcta autenticación de las operaciones de pago exigía no solo aplicar el procedimiento de autenticación reforzada de clientes, sino también dotarse de mecanismos de supervisión que permitieran detectar operaciones fraudulentas. (.) Resulta no obstante, que no se acreditó por medio alguno por parte de la entidad demandada la implementación en el sistema informático de las operaciones de pago al momento de los hechos objeto del proceso los indicados mecanismos de supervisión que permitiera detectar operaciones fraudulentas, limitándose la prueba aportada en relación a su actuación en la prevención del phishing a la remisión de correos a los usuarios de los instrumentos de pago que había emitido, entre ellos el demandante, en los que informaba de aquella técnica defraudatoria y realizaba recomendaciones y advertencias que el usuario debía de observar para evitar el conocimiento de las credenciales de su instrumento de pago por el defraudado, correos explicativos insuficientes para entender observada la diligencia propia pues supondría dejar únicamente al cuidado del usuario la evitación de un fraude que debía prevenirse con una conducta activa propia mediante el mecanismo tecnológico adecuado (la antes mencionada SAP Pontevedra 539/2021).
En este contexto, adquieren especial relevancia hechos tales como los movimientos inusuales (solicitud de préstamos preconcedidos y realización de dos transferencias inmediatas), la rapidez de la operativa (todas las operaciones se hicieron en apenas nueve minutos), el importe de lo dispuesto o incluso su origen en un dispositivo en el que se acaba de instalar la aplicación, que evidencian un carácter claramente fraudulento del conjunto de las operaciones que la entidad bancaria necesariamente tenía que haber percibido. La falta de adopción de estos mecanismos de supervisión resulta palmaria y especialmente grave a la vista del conocimiento por parte de la entidad -según declara el testigo en el acto de la vista- de que este tipo de prácticas se efectúan habitualmente los viernes a medio día (tiempo en que se produjeron, en nuestro caso, las operaciones controvertidas".
En consecuencia, es precisamente la falta de acreditación de la entidad demandada de medidas de seguridad en su sistema operativo la que impide que se pueda adoptar otra solución distintas a la expresada en la sentencia recurrida, razón por la cual, desestimando el recurso, se confirma la sentencia recurrida."
Señala la Sentencia número 173/2024, de 22 de abril, de la Sentencia número 173/2024, de 22 de abril, de la Audiencia Provincial (Secc. 3ª) de Tenerife (33):
"Descartada la existencia de una actuación fraudulenta del actor, debemos determinar si su actuación debe ser calificada como negligente, partiendo de que el concepto de negligencia a que se refiere la citada norma debe ser grave. En tal sentido, las sentencia de las Audiencias Provinciales han venido conformando un concepto de negligencia al efecto, señalando la de Pontevedra de 23 de marzo de 2023: "En interpretación de la Directiva 2015/2366, la negligencia que hace responder al cliente es la que deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que haya podido ser inducido por delincuentes profesionales. Como parámetro del actuar negligente también cabrá acudir al art. 1.104 CC, que exige la diligencia asociada a la naturaleza de la obligación y a las circunstancias personales, de tiempo y lugar. Ello destacándose la complejidad y grado de perfección que presenta en la actualidad el método de "phising" de difícil detección por persona de formación media, así como el debe de la proveedora, del servicios de dotarse de tecnología suficiente y adecuada con exigencias de medidas implantadoras activas, sin entenderse suficientes avisos generales o en páginas web de mero carácter informativo".
En consecuencia, se concluye señalando que la negligencia a la que se refiere el artículo 44.3, debe ser una negligencia grave, cercana al concepto de falta de diligencia inexcusable, razón por la cual su apreciación debe ser de carácter restrictivo.
Como antes señalamos, los preceptos citados de la Ley de Servicios de Pago establece una responsabilidad cuasi objetiva del proveedor de esos servicios, de manera que se produce una inversión de la carga probatoria, en el sentido de que corresponde a dicha parte acreditar tanto su comportamiento diligente en la autentificación de la operación de pago como, en su caso, el fraude, que requerirá, a su vez, de la acreditación de hechos de los que pudiera llegar a inferirse que el cliente actuó con engaño para beneficiarse de la operación de pago. También deberá acreditar la negligencia grave del actor, mediante la prueba de los hechos y circunstancias concurrentes, determinantes de una falta grave de diligencia al usar los instrumentos de pago o respecto de la protección de sus credenciales, falta de diligencia que pueda ser considerada como diligencia grave en el sentido antes expuesto.
CUARTO.- Un nuevo examen de lo actuado, conduce a estimar que la entidad demandada ha acreditado su comportamiento diligente en relación a los hechos de los que deriva la reclamación, aportando a la actuaciones la testifical del responsable de prevención de fraude de la entidad, refiriendo que la forma descrita por el actor es compatible con la introducción en el terminal del demandante de algún "troyano" que permite captar las credenciales, de modo que le lleva a confusión permitiendo dicho troyano que el actor estimara que los mensajes que recibía eran de la entidad bancaria cuando los envía ese tercero. Respecto de la actuación del Banco, mantiene dicho testigo que los certificados de la entidad Redsys acreditan que el proceso de autentificación se ha hecho correctamente, sin que se acredite la existencia de ninguna vulnerabilidad del mismo, en tanto que el fraude se produce en la terminal del cliente en la que el Banco no tiene modo de intervenir.
Por lo que se refiere a la carga de la prueba, en relación a la concurrencia de la negligencia grave en la actuación del actor, estimamos, en contra de lo señalado en la sentencia recurrida, que la demandada no ha acreditado la concurrencia de esa negligencia del cliente que le llevaría, de acuerdo con lo dispuesto en el art. 44.3 y demás preceptos relacionados del RDL 19/2018, a quedar eximido de toda responsabilidad en los perjuicios sufridos por el actor como consecuencia de los hechos expuestos. En tal sentido los hechos declarados probados evidencian que el cliente fue víctima de un engaño elaborado con gran pericia por ese tercero desconocido, consistente en la introducción de un troyano en la terminal del móvil, que le lleva a que, cuando accede a la app de la entidad bancaria, se le superponga otra pantalla en la que difícilmente puede darse cuenta que no corresponde con la de la entidad. Cierto es que la perpetración del daño requiere de la actividad del usuario del servicio, que es en definitiva quien introduce las contraseñas que permite a ese tercero operar desde la cuenta bancaria y por medio de las tarjetas de débito o de crédito asociadas a la cuenta bancaria. También es cierto que las entidades, y en este caso, la demandada acredita que así lo ha hecho, avisando continuamente a los usuario de que jamás piden determinados datos; sin embargo, los hechos base de esta reclamación, no pueden estimarse constitutivos de la negligencia grave requerida para eximir de responsabilidad de la demandada, teniendo en cuenta que, en este caso, el fraude empleado se produce superponiendo en la pantalla abierta por el actor, la app de la entidad demandada, una tercera de tales características que induce al usuario a entender que sigue actuando en la misma app que abrió, la original. Es decir, no se trata de que al cliente le llegue una comunicación a la que se encuentra asociada otra página, ni que esté contestando a una llamada de teléfono, por el contrario, habiendo accedido a la app de la entidad no cabe duda que esa circunstancia le lleva al convencimiento de que todas las peticiones provienen de ella, constituyendo un sistema tan sofisticado que impide que pueda estimarse que el cliente ha incurrido en la negligencia grave necesaria para que la entidad demandada quede exonerada de responsabilidad por la ejecución de operaciones no autorizadas por el cliente.
Consecuencia de lo expuesto es el derecho del actor a ser indemnizado en la cantidad de 11.787,72 euros correspondiente a los cargos en cuenta y tarjetas de crédito por las operaciones ejecutadas y no autorizadas, y en los intereses que hayan dado lugar esos cargos desde la respectiva fecha de cada uno de ellos. Se desestima las restantes peticiones por constituir duplicidad de dicha petición.
En consecuencia, procede, con estimación del recurso, revocar la sentencia recurrida y estimar sustancialmente la demanda."
-Valencia:
Afirma la Sentencia número 244/2024, de 29 de mayo, de la Audiencia Provincial (Secc. 6ª) Valencia (34):
"(...) como señala la SAP Murcia sec. 1 núm. 18/2023 de 16 de enero, en lo relativo al régimen jurídico correspondiente a estos servicios de pago, existe una abundante jurisprudencia menor, pudiéndose citar, a tal efecto, y como alguna de las últimas resoluciones que analizan la responsabilidad de la entidad de crédito emisora las SsAP de Alicante (8ª) 107/18, de 12 de marzo; Pontevedra (6ª) 539/21, de 21 de diciembre; Madrid (11ª) 74/22, de 28 de febrero; Madrid (20ª) 184/22, de 20 de mayo; Valencia (6ª) 254/22, de 13 de junio; Badajoz (3ª) 159/22, de 16 de junio; o Granada (5ª) 212/22, de 20 de junio, y la conclusión común de estas resoluciones, como señala la SAP Granada 212/22 citada es que con arreglo al marco jurídico en el que se desenvuelve la actividad de servicios de pago, el régimen de la responsabilidad de la prestadora del servicio ha de reputarse cuasi objetiva, en la medida en que sólo se excluye en unos casos por culpa grave del cliente y en otros por únicamente por fraude imputable al mismo, lo que implica, además, que la carga de la prueba de esas circunstancias exoneratorias y la paralela inexigibilidad de otra conducta a la referida entidad incumba a ésta en todo caso, y tal conclusión se alcanza como consecuencia del régimen jurídico aplicable, que en este caso lo constituía el RD Ley 1/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (que derogó la Ley 16/2009, de 13 de noviembre, de servicios de pago) norma que incorpora, parcialmente, a nuestro Derecho, la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/ UE y el Reglamento (UE) núm. 1093/2010 y se deroga la Directiva 2007/64/CE (DF 11ª), en cuya virtud, salvo actuación fraudulenta, incumplimiento deliberado o negligencia grave del ordenante, la responsabilidad será del proveedor del servicio de pago ( art. 46), lo que supone que a él le corresponde la carga de la prueba de que la orden de pago no se vea afectada por un fallo técnico o cualquier otra deficiencia. Por tanto, la responsabilidad contemplada en esta Ley es cuasi objetiva, es decir, se trata de una responsabilidad de la entidad que presta servicios de pago que sólo permite exonerarse mediante la prueba de la culpa grave del ordenante. En base a todos estos criterios, cabe concluir que la Ley de los Servicios de Pago establece un sistema de responsabilidad cuasi objetiva para la entidad financiera, previendo que en caso de disposiciones fraudulentas, el proveedor de servicios de pago deberá devolver de inmediato el importe de la operación no autorizada, quedando exento de esta obligación solo en el caso de que la operación no autorizada sea fruto de la actuación fraudulenta del cliente o del incumplimiento, deliberado o por negligencia grave, de una o varias de sus obligaciones. Además, la Ley prevé una inversión de la carga de la prueba, en tanto es el proveedor de los servicios, quien debe probar que la operación fue debidamente autenticada, cuando el usuario de los servicios lo niegue (art. 44).
5.- Así las cosas, este tribunal discrepa de dichas consideraciones esgrimidas por la entidad demandada en cuanto a una supuesta negligencia grave del actor, una vez valorada de nuevo en esta alzada la prueba practicada en el ejercicio de su facultad revisora que tiene legalmente encomendada, y comparte plenamente las conclusiones que alcanza el juez de instancia, y según describe el actor en los documentos 4 a 7 de la demanda (reclamaciones y denuncias en Comisaría), intentó acceder a su ordenador y se percató de que estaba bloqueado, y, a continuación, recibió una llamada en su teléfono fijo de quienes, en principio, se identificaron como operarios de Microsoft, que se ofrecieron para solucionar el problema y desbloquear el ordenador, instalando dos aplicaciones en su teléfono móvil (Android y Quicksupport), y los mismos le manifestaron que, para desbloquear su ordenador, era necesario instalar una aplicación que costaba cinco euros para por lo que el actor les proporcionó los datos de la tarjeta y el PIN, siendo en ese momento cuando le pidieron los datos de otra tarjeta empezando el mismo a sospechar que podía tratarse de un fraude. Es decir, el uso fraudulento de la tarjeta se produce precisamente en el contexto de la comisión de un delito de estafa del que el actor habría sido víctima, es decir de un ilícito penal cuyo elemento nuclear es una conducta desarrollada por el sujeto activo tendente a producir engaño en el sujeto pasivo mediante ardides que llevan a torcer su voluntad a través del engaño, con artificios en ocasiones muy complejos, como sucede en el caso, con un modus operandi que conlleva una llamativa sofisticación que potencialmente podría haber llevado a error a cualquier ciudadano medio en la misma situación que el demandante, siendo un hecho notorio ( art. 281.4º LEC) la proliferación de este tipo de conductas delictivas en los últimos tiempos, conducta que en el caso describe perfectamente el actor con todo detalle en las reclamaciones y denuncias aportadas con la demanda (documentos 4 a 7 de la demanda fundamentalmente), por lo que difícilmente puede hablarse de una negligencia grave en el propio cliente, so pena de hacer recaer la culpa por la comisión del delito en la propia víctima.
6.- A partir de este momento, la actuación del actor fue sin duda intachable a la hora de poner el hecho en conocimiento de la entidad bancaria, pero no consiguió que se retrocediera el cargo, dada la conducta pasiva y displicente de la entidad, y ello a pesar de que, si bien constaba efectuada una compra de criptomonedas por el importe reclamado en este juicio ascendente a 3.518,58 € el día 10 de febrero de 2021, lo cierto es que el cargo en cuenta no se produjo sino hasta el día 1 de marzo de 2021 (documentos 2 y 3 de la demanda), teniendo la entidad tiempo más que suficiente para haber neutralizado el cargo, anulando la operación, de la que tuvo noticia ese mismo día, sin que se aprecie negligencia alguna en este punto en el demandante, ya que puso los hechos inmediatamente en conocimiento tanto de la entidad (telefónicamente y por escrito, en varias ocasiones), como de la policía, y así se desprende de los documentos y 4 a 7 aportados con la demanda, de los que resulta que comunicó el hecho de forma inmediata y telefónicamente a la propia entidad el mismo día 10 de febrero de 2021 en que se produjo la operación fraudulenta, y también acudió ese mismo día por la tarde, a la Comisaría de Policía, formulando la correspondiente denuncia, que amplió al día siguiente (documentos 6 y 7), e inmediatamente después, a la oficina de Bankia donde hizo entrega de la misma, en la que le indicaron que, hasta que no se hiciera firme la compra, no podía hacer la oportuna reclamación, recibiendo una llamada el día 16 de febrero de la empleada de la oficina manifestándole que ya podía formular la reclamación, lo que así verificó al día siguiente, 17 de febrero (documento 5), si bien al ser ilegible tuvo que ser transcrita, entregando el actor el texto mecanografiado el día 19 de febrero, siendo denegada dicha reclamación el día 29 de febrero, formulando una nueva reclamación el día 3 de marzo de 2021 (documento 4 de la demanda), dos días después de que se produjera el cargo del extracto en su cuenta corriente (documentos 2 y 3), que de nuevo fue desestimada el 30 de marzo de 2021 (documento 8).
7.- Por tanto, a la vista de la prueba practicada, descartada la supuesta negligencia grave del actor que le atribuye la entidad demandada, unido a la falta de diligencia de ésta a la hora de anular la operación y evitar el cargo, sólo a la misma es imputable, ya que el demandante actuó con diligencia desde el primer momento, comunicando el uso fraudulento de su tarjeta y aportando la correspondiente denuncia, y siendo evidente, además, que fallaron todos los controles por parte de la entidad bancaria para evitar el uso fraudulento de dicha tarjeta, al margen de que no se exigieron otras medidas de control adicionales como un código complementario, ni se comunicó al actor de forma inmediata la compra de criptomonedas mediante la remisión del oportuno aviso (por ejemplo mediante SMS), o incluso contactando telefónicamente con el mismo, dado que se trataba de una cantidad importante y en absoluto habitual, al ascender la compra fraudulenta a la cantidad de 3.518,58 €, por lo que no se agotaron las posibles medidas precautorias o de seguridad, suma que además superaba el límite máximo de la tarjeta, lo que, unido a su actuación pasiva, son circunstancias que, evidentemente, deben conllevar la desestimación del recurso -incluida la petición de compensación de culpas- con la consiguiente confirmación de la sentencia impugnada, cuyos razonamientos fácticos y jurídicos se comparten en su integridad."
-Vizcaya:
Finalmente, la Sentencia número 27/2024, de 24 de enero, de la Audiencia Provincial (Secc. 3ª) de Vizcaya (35), analiza las distintas respuestas ofrecidas por la jurisprudencia menor respecto de la consideración como gravemente negligente del comportamiento del usuario cuando permite que terceros accedan a datos de sus claves. Así, afirma:
(35) Sentencia número 27/2024, de 24 de enero, de la Audiencia Provincial (Secc. 3ª) de Vizcaya; Recurso: 447/2022: Ponente: PAULA BOIX SAMPEDRO;
"La respuesta no es unívoca en la distintas Audiencias Provinciales en cuanto a la consideracion como gravemente negligente del comportamiento del perjudicado cuando ha permitido con su actuación que terceros accedan a datos de sus claves y se supera con ello el sistema de autenticación establecido por la entidad bancaria. De esta casuística se hace eco la sentencia de instancia. Además de las resoluciones que en ella se indica, tambien cabe señalar la SAP Zaragoza sección 2 del 22 de diciembre de 2022 ( ROJ: SAP Z 2262/2022 - ECLI:ES:APZ:2022:2262) Sentencia: 407/2022 Recurso: 426/2022 en la que se aprecia negligencia grave " por la conexión a través de un link enviado por SMS cuya sola lectura ya hacía sospechar una procedencia fraudulenta, así como la entrada en página web reportada como dañina con la entrega a la misma de todas las credenciales posibles, superando incluso el doble factor de autenticación con introducción de la clave de firma (dos posiciones) y la OTP que se envía por SMS al titular, concluyendo que solo la conducta de la usuaria al actuar de manera negligente conllevó a la defraudación obtenida por terceros". La SAP A Coruña sección 3 del 25 de enero de 2023 ( ROJ: SAP C 196/2023 - ECLI:ES:APC:2023:196) Sentencia: 17/2023 Recurso: 757/2022 se sitúa en una línea similar
Frente a ello la SAP La Rioja sección 1 del 17 de febrero de 2023 ( ROJ: SAP LO 50/2023 - ECLI:ES:APLO:2023:50 ) Sentencia: 49/2023 Recurso: 11/2023 a pesar de la entrega de credenciales por parte del cliente, ofrece varios argumentos para entender que no cabe la exencion de responsabilidad. Primero indica que es el banco quien debe asumir los riesgos de las suplantaciones a través del teléfono móvil por ser quien se beneficia de la operativa a través de la App. Además entiende que los avisos del banco no son suficientes argumentando que " es el banco quien ofrece este producto, es en principio seguro, y es cierto que remite avisos y advertencias genéricas sobre su utilización; pero conociendo los distintos riesgos de los que avisa, le corresponde adoptar las medidas de seguridad o control necesarias, que en este caso no consta que se adoptaran. Y no basta con medidas genéricas de protección o avisos estereotipados de cuidado, pues tales avisos ostentarían la calificación de "formulas predispuestas", vacías de contenido. No son los clientes los que deben prevenir ni averiguar las modalidades de riesgos que el sistema conlleva, o estar al tanto de los mismos, ni prevenir con su asesoramiento experto dichos riesgos" Señala que hay otros aspectos reveladores de otras deficiencias en el servicio prestado pues la diligencia que debe prestar el banco no es sólo la reglamentariamente prevista sino "la adecuada a las circunstancias de personas, lugar y tiempo. Entre estas, cobran especial relevancia datos tales como, el perfil del cliente, los movimientos inusuales, los importes dispuestos, la hora en que se hace la operación, etc."
En esta línea se ha situado esta sección en resoluciones anteriores, pues tal y como indicabamos en la sentencia de 10 de noviembre de 2016 ( ROJ: SAP BI 2070/2016 - ECLI:ES:APBI:2016:2070) Sentencia: 429/2016 Recurso: 386/2016 " no puede ser obviado que los bancos conocen de la existencia de actuaciones delictivas fraudulentas por parte de diferentes profesionales en este tipo de actuación, y por ello la responsabilidad que en el sistema de banca on line se viene imponiendo legislativamente, en protección de los clientes para evitar fraudes"
Las circunstancias especificas de este caso concreto no permiten alcanzar una conclusion contraria a la indicada en la sentencia recurrida en su fundamento de derecho tercero, pues si bien no es discutible que existe cierto grado de negligencia por el exceso de confianza del demandante, no tiene la gravedad suficiente para que el banco eluda su responsabilidad. Y no solo por las razones expuestas en la sentencia sobre los múltiples afectados en fechas similares por el mismo modus operandi, no desvirtuadas por las alegaciones del recurrente, sino porque no se aprecia que el demandante entregara activamente sus claves a un desconocido como se dice en el recurso. Lo que cede es el control remoto de su ordenador y de su teléfono móvil, en la creencia de encontrarse en un contexto de ayuda del servicio técnico de Microsoft. No se representa el demandante que a través de ese control remoto se pueda acceder a claves de su cuenta bancaria on line, pues como indicaba en su demanda no almacenaba tales datos en el ordenador. No es él quien introduce en su teléfono móvil las claves para autorizar cada operación, de las que no es consciente. Por tanto no cede de forma voluntaria a un tercero sus credenciales de entrada a la cuenta on line ni los OTP para autenticar las operaciones, no opera de forma activa en su cuenta bancaria, circunstancia que es relevante en la calificación de la gravedad de la negligencia y que aqui no concurre."
IV.- Conclusiones:
-las fases necesarias para llevar a cabo el fraude suelen ser las siguientes:
-el estafador obtiene datos de la víctima a través de diferentes vías, ya sea mediante phishing o correos de suplantación de identidad, o a través de una web falsa, con métodos de ingeniería social o con el hackeo del teléfono móvil, entre otros;
-a continuación, el estafador solicita a la operadora de telefonía de la víctima un duplicado físico de la tarjeta SIM, pudiendo quedar bloqueada la original o, funcionar las dos a la vez;
-con la nueva tarjeta SIM el estafador puede recibir los SMS que contienen las claves de autenticación reforzada conocidas como OTP (siglas en inglés de one time password) para realizar operaciones bancarias. También puede resetear las contraseñas de acceso a la banca electrónica, obteniendo así acceso total a los productos bancarios del estafado, pudiendo contratar nuevos productos y/o realizar operaciones fraudulentas;
-las acciones de restitución del dinero sustraído ilícitamente contra las entidades financieras de servicios de pago, requieren la concurrencia de tres requisitos:
-que la operación de pago no haya sido autorizada por la víctima. La existencia de una operación no autorizada se producirá en los casos de "phishing", ya que, el usuario de los servicios de pago no es la persona que emite el consentimiento por su iniciativa, sino que el usuario cede las claves privadas inconscientemente al delincuente ante una apariencia errónea de profesionalidad de los medios telemáticos utilizados para que éstos, en contra de su voluntad, utilicen los instrumentos de pago;
-la existencia de un daño, el cual se traduce en el montante total sustraído;
-existencia de una relación de causalidad entre la conducta (acción u omisión) y el daño producido. El legislador ha establecido una imputación de responsabilidad cuasi-objetiva a los proveedores de servicios de pago haciéndolos responsables siempre y cuando no quiebre la relación de causalidad por existencia de diligencia cualificada en las obligaciones del proveedor de servicios de pago o culpa de la víctima por negligencia grave o fraude. La diligencia cualificada en las operaciones no autorizadas consiste en la obligación de proporcionar al usuario mecanismos de seguridad acordes para garantizar la seguridad y privacidad de las credenciales privadas ( artículo 42.1.a) del RDL 19/2018). La única posibilidad que existe para que quiebre la relación de causalidad por culpa de la víctima se contempla en el artículo 46 del Real Decreto-ley. Dicho artículo descarga la responsabilidad del proveedor de servicios de pagos cuando la víctima haya actuado con fraude o negligencia grave en sus obligaciones de conservar sus claves privadas derivadas de la obligación establecida en el artículo 41.b) del citado cuerpo legal.
-al proveedor de servicios de pago le corresponde la carga procesal de acreditar:
-su propio comportamiento diligente en la autenticación de la operación de pago;
-el fraude (requerirá de la acreditación de hechos de los que pudiera llegar a inferirse que aquel actuó con engaño para beneficiarse de la operación de pago) o la negligencia grave del ordenante (requerirá de la acreditación de las circunstancias concurrentes en la operación de pago de las que quepa inferir que la misma pudo realizarse porque aquel obró con una significativa falta de diligencia al usar del instrumento de pago o al proteger sus credenciales).
-son casos de negligencias graves:
-la persona extravía los datos personales y de su cuenta bancaria con las contraseñas anotadas en el mismo papel, en una libreta o similar; l
-la web o correo electrónico de los estafadores es muy diferente de la real del banco, y a simple vista es fácil deducir que no es la legítima;
V.- Resoluciones referenciadas:
(1) Sentencia número 502/2024, de 25 de junio, de la Audiencia Provincial (Secc. 1ª) de Asturias; Recurso: 508/2024; Ponente: MARTA HUERTA NOVOA;
(2) Sentencia número 289/2024, de 28 de mayo, de la Audiencia Provincial (Secc. 6ª) de Asturias; Recurso: 103/2024; Ponente: JAIME RIAZA GARCIA;
(3) Sentencia número 501/2024, de 25 de junio, de la Audiencia Provincial (Secc. 1ª) de Asturias; Recurso: 257/2024; Ponente: MARTA HUERTA NOVOA;
(4) Sentencia número 320/2024, de 21 de junio, de la Audiencia Provincial (Secc. 5ª) de Asturias; Recurso: 37/2024; Ponente: EDUARDO GARCIA VALTUEÑA;
(5) Sentencia número 109/2024, de 12 de abril, de la Audiencia Provincial (Secc. 3ª) de Badajoz; Recurso: 173/2024; Ponente: JESUS SOUTO HERREROS;
(6) Sentencia número 501/2024, de 26 de junio, de la Audiencia Provincial (Secc. 17ª) de Barcelona; Recurso: 987/2022; Ponente: JESUS ARANGÜENA SANDE;
(7) Sentencia núemro 92/2024, de 14 de marzo, de la Audiencia Provincial (Secc. 2ª) de Burgos; Recurso: 13/2024; Ponente: MAURICIO MUÑOZ FERNANDEZ;
(8) Sentencia número 189/2024, de 13 de marzo, de la Audiencia Provincial (Secc. 2ª) de Cantabria; Recurso: 766/2022; Ponente: BRUNO ARIAS BERRIOATEGORTUA;
(9) Sentencia número 189/2024, de 13 de marzo, de la Audiencia Provincial (Secc. 2ª) de Cantabria; Asunto: 810/2022; Ponente: ALBERTO LOPEZ LORENTE-SOROLLA;
(10) Sentencia número 58/2024, de 22 de febrero, de la Audiencia Provincial (Secc. 1ª) de Ciudad Real; Recurso: 210/2022; Ponente: MARIA PILAR ASTRAY CHACON;
(11) Sentencia número 303/2024, de 22 de mayo, de la Audiencia Provincial (Secc. 4ª) de A Coruña; Recurso: 37/2023; Ponente: PABLO SOCRATES GONZALEZ-CARRERO FOJON;
(12) Sentencia número 191/2024, de 19 de abril, de la Audiencia Provincial (Secc. 3ª) de A Coruña; Recurso: 149/2024; Ponente: ROSA LAMA MARRA;
(13) Sentencia número 11/2024, de 9 de enero, de la Audiencia Provincial (Secc. 3ª) de A Coruña; Recurso: 324/2022; Ponente: MARIA JOSEFA RUIZ TOVAR;
(14) Sentencia número 276/2024, de 17 de abril, de la Audiencia Provincial (Secc. 1ª) de Girona; Recurso: 905/2023; Ponente: MARIA LORETO CAMPUZANO CABALLERO;
(15) Sentencia número 62/2024, de 31 de enero, de la Sentencia número 62/2024, de 31 de enero, de la Audiencia Provincial (Secc. 2ª) de Girona; Recurso: 724/2023; Ponente: JAIME MASFARRE COLL;
(16) Sentencia número 230/2024, de 30 de junio, de la Audiencia Provincial (Secc. 1ª) de Huesca; Recurso: 502/2021; Ponente: PEDRO SANTIAGO GIMENO FERNANDEZ;
(17) Sentencia número 546/2024, de 24 de abril, de la Audiencia Provincial (Secc. 1ª) de Jaen; Recurso: 1531/2022; Ponente: ANTONIO CARRASCOSA GONZALEZ;
(18) Sentencia número 185/2024, de 18 de abril, de la Audiencia (Secc. 1ª) de Logroño; Recurso: 149/2023; Ponente: MARIA DEL PUY ARAMENDIA OJER;
(19) Sentencia número 303/2024, de 19 de abril, de la Audiencia Provincial (Secc. 2ª) de Lleida; Recurso: 1305/2022; Ponente: ALBERTO GUILAÑA FOIX;
(20) Sentencia número 232/2024, de 25 de junio, de la Audiencia Provincial (Secc. 1ª) de Lugo; Recurso: 964/2022; Ponente: MIRIAM IGLESIAS GARCIA-VILLAR;
(21) Sentencia número 192/2024, de 19 de marzo, de la Audiencia Provincial (Secc. 5ª) de Málaga; Recurso: 625/2023; Ponente: MELCHOR ANTONIO HERNANDEZ CALVO;
(22) Sentencia número 191/2024, de 25 de abril, de la Audiencia Provincial (Secc. 14ª) de Madrid; Recurso: 267/2023; Ponente: AGUSTIN MANUEL GOMEZ SALCEDO;
(23) Sentencia número 702/2024, de 27 de mayo, de la Audiencia Provincial (Secc. 3ª) de Navarra; Recurso: 1473/2023; Ponente: ILDEFONSO PRIETO GARCIA-NIETO;
(24) Sentencia número 141/2024, de 29 de enero, de la Audiencia Provincial (Secc. 3ª) de Navarra; Recurso: 633/2023; Ponente: ILDEFONSO PRIETO GARCIA-NIETO;
(25) Sentencia número 393/2024, de 27 de mayo, de la Audiencia Provincial (Secc. 1ª) de Ourense; Recurso: 295/2024; Ponente: RICARDO PAILOS NUÑEZ;
(26) Sentencia número 215/2024, de 2 de mayo, de la Audiencia Provincial (Secc. 5ª) de Ourense; Recurso: 58/2024; Ponente: EDUARDO GARCIA VALTUEÑA;
(27) Sentencia número 342/2024, de 19 de junio, de la Audiencia Provincial (Secc. 5ª) de Palma de Mallorca; Recurso: 200/2024; Ponente: MARIA ENCARNACION GONZALEZ LOPEZ;
(28) Sentencia número 221/2024, de 16 de mayo, de la Audiencia Provincial (Secc. 4ª) de Palma de Mallorca; Recurso: 821/2023; Ponente: MARGARITA ISABEL POVEDA BERNAL;
(29) Sentencia número 244/2024, de 2 de mayo, de la Audiencia Provincial (Secc. 6ª) de Pontevedra; Recurso: 985/2023; Ponente: MAGDALENA FERNANDEZ SOTO;
(30) Sentencia númeor 58/2024, de 5 de febrero, de la Audiencia Provincial (Secc. 6ª) de Pontevedra; Recurso: 762/2023;Ponente: EUGENIO FRANCISCO MIGUEZ TABARES;
(31) Sentencia número 278/2024, de 9 de mayo, de la Audiencia Provincial (Secc. 3ª) de Tarragona; Recurso: 634/2022; Ponente: SILVIA FALERO SANCHEZ;
(32) Sentencia número 177/2024, de 23 de abril, de la Audiencia Provincial (Secc. 3ª) de Tenerife; Recurso: 980/2022; Ponente: CONCEPCION MACARENA GONZALEZ DELGADO;
(33) Sentencia número 173/2024, de 22 de abril, de la Sentencia número 173/2024, de 22 de abril, de la Audiencia Provincial (Secc. 3ª) de Tenerife; Recurso: 890/2022; Ponente: CONCEPCION MACARENA GONZALEZ DELGADO;
(34) Sentencia número 244/2024, de 29 de mayo, de la Audiencia Provincial (Secc. 6ª) Valencia; Recurso: 187/2023; Ponente: PEDRO LUIS VIGUER SOLER;
(35) Sentencia número 27/2024, de 24 de enero, de la Audiencia Provincial (Secc. 3ª) de Vizcaya; Recurso: 447/2022: Ponente: PAULA BOIX SAMPEDRO;
JOSÉ MANUEL ESTÉBANEZ IZQUIERDO
JUEZ SUSTITUTO
No hay comentarios:
Publicar un comentario