Sentencia Civil 347/2023 Audiencia Provincial Civil de Illes Balears nº 5, Rec. 891/2022 de 02 de mayo del 2023

Se aceptan los fundamentos jurídicos de la sentencia apelada en lo que no se opongan a los que siguen

PRIMERO.- Debemos partir de los siguientes hechos probados:

1.- El Procurador D. Rubén remitió por correo electrónico al despacho de Abogados, hoy demandante, Huguet Abogados SL, un recibo de honorarios por un importe de 5.596,08 euros, indicando un IBAN de una cuenta bancaria en la que debía hacerse el ingreso, que por el número se infiere que era una cuenta del Banco de Sabadell oficina de Inca. El aludido IBAN debió ser hackeado por algún pirata informático no identificado, de modo que sustituyó el número de IBAN por otro distinto, que se correspondía con una cuenta bancaria en la entidad Open Bank de Madrid. El personal que trabaja en el aludido despacho no se apercibió del "hackeo".

2) Desde el del despacho de Abogados demandante el viernes 24 de abril de 2020 se efectuó una transferencia electrónica por la aludida cantidad a través de servicio online de Banca March SA. A tenor del formulario impreso se deduce que en el mismo, aparte de figurar el Iban "hackeado", también se hacía constar el nombre del indicado Procurador, y la finalidad de que dicha cantidad se destinaba al pago de una factura. Efectuada dicha transferencia a un IBAN de una cuenta de Open Bank SA en Madrid, la misma se hizo efectiva el lunes día 27. Dicha cuenta no pertenecía al Sr Rubén, sino que la misma estaba a nombre de Secundino. Desde esta última cuenta, el día 27 de abril se efectuó una transferencia a una cuenta bancaria de un banco rumano a nombre de Teodoro de la suma de 5.600 euros, quedando sin fondos la cuenta de Open Bank SA. Dicha entidad aceptó la transferencia electrónica p pesar de que el nombre del destinatario de la transferencia no se correspondía con el nombre del titular de la cuenta de destino. Según programa informático de transferencia on line de Banca March SA la identificación del destinatario es un campo que debe ser rellenado obligatoriamente, pues en otro caso, el programa no concluirá orden de transferencia. Dicho programa no indicaba la identidad del titular de la cuenta de destino, según indica el perito por cuanto en atención a la Ley de Protección de Datos, el banco ordenante no puede comprobar la titularidad de la cuenta de destino.

3) El personal del despacho de Abogados no se apercibió de que la cuenta había sido "hackeada", y de que, por tanto, el aludido Procurador no había recibido dicha suma dineraria en pago de la factura en fecha que no consta con claridad, el día 1 de mayo según la parte actora, y el día 4 de mayo según la parte demandada. El día 6 de mayo se interpuso la correspondiente denuncia. Dicha suma no ha sido recuperada.

SEGUNDO.- El aspecto decisivo de la litis es determinar si la entidad bancaria a la que se efectuó la transferencia tenía o no la obligación de comprobar si la identidad del titular de la cuenta que obra en la transferencia se correspondía con el titular de la cuenta destinataria; o, lo que es lo mismo, si el banco destinatario tiene la obligación de aceptar la transferencia por el solo hecho de coincidir el IBAN, sin deber de comprobar identidad alguna.

La parte actora funda la responsabilidad de la entidad demandada Open Bank SA por el importe de la cantidad transferida en un incumplimiento contractual del artículo 1101 del Código Civil, en el principio de responsabilidad extracontractual del artículo 1902 CC, y por incumplimiento de las obligaciones derivadas del contrato de comisión mercantil. Refiere que la orden de pago se llevó a cabo mediante el sistema del identificador único, pues junto a la cuenta de destino, que fue alterada por algún sistema de pirateo informático, entre los datos también se incluyó el nombre del beneficiario el cual no se comprobó, y si se hubiera comprobado, se hubiera podido advertir el error en el IBAN y avisar al ordenante. Alude a que dichas transferencias on line pueden hacerse con tres tipos de clave, 10,11 ó 12, de modo que si es de los dos primeros tipos la entidad bancaria responde por no comprobar la coincidencia de destinatario, no así en el tercero.

La representación de la entidad demandada niega su responsabilidad. Como aspectos más relevantes alude a que la transferencia de cuenta a cuenta mediante el sistema IBAN la titularidad de la cuenta bancaria del beneficiario pasa a un segundo plano; se prioriza la coincidencia del IBAN a la coincidencia de la titularidad de la posible cuenta; la demandada no es responsable del hackeo sufrido; destaca el tiempo transcurrido entre el día 24 de abril ( fecha de la transferencia) hasta que estuvo disponible el 27 de abril; que cuando conoció el fraude el día 4 de mayo intentó retrotraer la cantidad a la cuenta de crédito; cita el artículo 44 de la Ley de Servicios de Pago y los criterios emitidos en el año 2019 por el Banco de España, así como el artículo 59 del RDL 19/2019 de 23 de noviembre relativos a servicios de pago.

En el acto del juicio, la Abogada de la entidad actora como alegación complementaria refirió que la entidad demandada no había efectuado las actuaciones necesarias para recuperar el destino del dinero transferido, de conformidad con el aludido artículo 59.2, esto es, no ha acreditado haber efectuado un esfuerzo razonable para la recuperación de los fondos, con ausencia de acreditación de cartas, llamadas telefónicas, etc. , atendiendo que el destinatario era un cliente del banco destinatario.

La sentencia de instancia desestima la demanda y acoge la argumentación de la parte demandada, esto es, que la normativa de servicios de pago no establece el deber de las entidades de comprobar que el nombre del beneficiario se corresponda o no con el del titular del número de cuenta de destino de la transferencia ni otros datos adicionales, más allá de la coincidencia del IBAN beneficiario con el indicado en la orden de pago; que si el IBAN es correcto y si coincide, se mantiene la transferencia porque el número de cuenta aparece como correcto, independientemente del nombre que se indique como destinatario, y la transferencia se efectuaría, incluso si se pusiese un nombre ficticio; y que el dinero ya había "desaparecido" cuando se advirtió el engaño; aplica el artículo 59 del RDL 19/2019, y alude a que la actora no solicitó la información por escrito.

Dicha resolución es apelada por la representación de la entidad actora en petición de nueva sentencia que estime íntegramente la demanda. En lo sustancial reitera los argumentos de la demanda, y refiere:

- Siguiendo la terminología de las instrucciones operativas del subsistema general de transferencias, en clave 11, debe hacerse constar la identidad del titular de la cuenta beneficiaria, y convierte a la entidad a la que se transfieren los fondos la comprobación de si el titular de la cuenta bancaria se corresponde con el que figura en la orden de pago, y es un dato esencial.

- Alude a doctrina jurisprudencial recaída en relación con la regulación general del mandato y de la comisión mercantil para concluir que la regulación del aludido artículo 59.1 constituye una excepción a esta regla general, de modo que sólo permite al banco destinatario la exoneración de la responsabilidad si la orden de transferencia se ha realizado exclusivamente en base a la consignación del IBAN.

- Falta de prueba de que la entidad actora hubiere realizado la transferencia conforme a la clave 12, y no conforme a la clave once. Sostiene que en las transferencias entre residentes se utilizan tres tipos de clave: la 10 para transferencias ordinarias, la 11 para transferencias ordinarias, ordenadas por clientes conforme soporte magnético u otro tipo electrónico, y clave 12, para transferencias ordinarias para abono automático mediante CCC. ; el tramitar una u otra transferencia con una u otra especificación resulta esencial a los efectos de determinar responsabilidades; que efectuó la transferencia con la clave 11; debe ser la parte demandada quien acreditara que se efectuó la transferencia con la clave 12, a la cual corresponde la carga de la prueba.

- Infracción del deber de diligencia reforzado recogido en el aspecto 59.2 del RDL 19/2019, pues la entidad demandada no ha efectuado ninguna actuación para recuperación de los fondos.

TERCERO.- El artículo 59 del RDL 19/2018 de 23 de noviembre sobre servicios de pago y que es transposición del artículo 88 de la Directiva UE de 25 noviembre 2015 2005/2366, establece:

" 1. Cuando una orden de pago se ejecute de acuerdo con el identificador único, se considerará correctamente ejecutada en relación con el beneficiario especificado en dicho identificador.

2. Si el identificador único facilitado por el usuario de servicios de pago es incorrecto, el proveedor no será responsable de la no ejecución o de la ejecución defectuosa de la operación de pago.

No obstante, el proveedor de servicios de pago del ordenante hará esfuerzos razonables por recuperar los fondos de la operación de pago.

De haberse convenido así en el contrato marco, el proveedor podrá cobrar gastos al usuario del servicio de pago por la recuperación de los fondos.

3. Cuando el usuario de servicios de pago facilitara información adicional a la requerida por su proveedor para la correcta ejecución de las órdenes de pago, el proveedor de servicios de pago únicamente será responsable, a los efectos de su correcta realización, de la ejecución de operaciones de pago conformes con el identificador único facilitado por el usuario de servicios de pago."

En el supuesto enjuiciado, y en aplicación del aludido precepto, consideramos que la orden de pago se ejecutó de acuerdo con el identificador único (IBAN). Tal como se indica en la alegada SAP de Zaragoza de 25 de marzo de 2.019, en criterio que compartimos, " De conformidad con el número 3 del citado precepto, el proveedor de los servicios de pago únicamente es responsable de la ejecución de operaciones conformes con el identificar único, aunque se facilite información adicional. El término "proveedor de los servicios de pago" a que refiere el número 3 del artículo 44 se refiere al ordenante y al receptor, puesto que el número 2 distingue "servicios de pago del ordenante" y el número 3 no hace distinción alguna.

Esta tesis viene reforzada por la Memoria de Reclamaciones del Banco de España de 2016, en cuya página 250 refiere, a propósito del artículo 44 LSP , que

"en el Expediente NUM000 no se apreció mala práctica bancaria por el abono de una transferencia por la Agencia Tributaria que se abonó en la cuenta correspondiente al identificador único que el ordenante había indicado, aunque el beneficiario de aquélla no se correspondiera con el titular de la cuenta".

Dice la página 254 de la Memoria:

"Por lo que respecta a los errores cometidos en la ejecución de órdenes de pago iniciadas por el ordenante, la LSP establece, en su artículo 45.1 , el régimen de responsabilidad aplicable: cuando una orden de pago se efectúe de acuerdo con el identificador único (IBAN) consignado por el ordenante, se considerará correctamente ejecutada. Hasta el 1 de febrero de 2016, adicionalmente, podía ser requerido el BIC, código que identifica a la entidad del beneficiario de la transferencia. Es importante recordar en este punto que la transferencia se dirige a un número de IBAN de forma automática, sin ulterior comprobación por los proveedores de servicios de pago, ni del ordenante, ni del beneficiario . Igualmente, conviene recordar que los demás datos consignados en la orden de transferencia (entre ellos, el concepto consignado en esta) son mensajes destinados al beneficiario de los fondos, y no a la entidad. Por lo tanto, si el ordenante pretende hacer imputación de pago o cursar alguna instrucción para la entidad beneficiaria sobre los fondos transferidos,deberá remitir a dicha entidad comunicación ajena a la misma orden de transferencia y fuera del canal automático de compensación interbancario, por correo físico, electrónico o presencialmente, no sirviendo como instrucción el dato consignado en el campo "concepto" de la transferencia a estos efectos".

Dicha norma recoge que el elemento esencial es el IBAN

La actora apelante viene a plantear que la transferencia no se efectuó conforme a dicha norma, si bien sí la aplica y se funda en ella para exigir responsabilidad por no efectuar actuaciones procedentes para recuperar el dinero.

La actora refiere en la demanda y en el recurso que se ha efectuado una transferencia en clave 11, siguiendo lo que denomina terminología de las instrucciones operativas del subsistema general de transferencias, y en dicho escrito ni siquiera se alude al artículo 59 del RDL 19/2018. Refiere la existencia de tres claves, y en la efectuada concluye que es la 11 y el dato de identificación del titular de la cuenta es esencial. En la contestación, la entidad demandada no alude a dichas claves, sino que solicita la aplicación de dicho artículo 59 para exonerarse.

Estas alegaciones de la parte actora carecen de toda prueba que las corrobore, y en este sentido, ni en la orden de tranferencia ni en el oficio solicitado a la entidad ordenante, Banca March SA se alude a la cuestión. Ante la claridad con que se expresa una norma con rango legal que es transposición de una Directiva comunitaria, la argumentación de que se ha seguido un sistema general de transferencias en la que no nos consta que se aluda en dicha norma, y que sería una especialidad de dicho principio general, o, lo que es lo mismo, de algún modo sería una base para que no se aplicase en el caso concreto, consideramos que la carga de la prueba es de la parte actora, y más cuando acorde al principio de la facilidad probatoria, la actora hubiera podido solicitar información complementaria a la entidad ordenante Banca March SA sobre la cuestión y no lo hizo. Tampoco consta en las actuaciones la normativa por la que se rige el indicado servicio con sus tres claves, reiteramos, sin que ninguna se contenga en la orden de transferencia.

No cabe duda de que si la entidad destinataria de la orden de transferencia hubiere advertido que el nombre del destinatario no se correspondía con el nombre del titular de la cuenta, no se habría consumado el fraude, pero tal requisito, en aplicación del tan aludido artículo 59, no exige al banco destinatario comprobar que la identidad del destinatario coincide con el titular de la cuenta. Basta que compruebe la coincidencia en el IBAN. La circunstancia acreditada de que en el sistema informático si el ordenante no ponía nombre del destinatario no se aceptaba la operación, no altera la conclusión antedicha.

Consideramos aplicable la doctrina jurisprudencial contenida en la sentencia del Tribunal de Justicia de la Unión Europea de 21 de marzo de 2019, relativo al artículo 74, apartado 2, de la Directiva 2007/64/CE del Parlamento Europeo y del Consejo, de 13 de noviembre de 2007, sobre servicios de pago en el mercado interior, por la que se modifican las Directivas 97/7/CE, 2002/65/CE, 2005/60/CE y 2006/48/CE y por la que se deroga la Directiva 97/5/CE, debe interpretarse en el sentido de que, cuando una orden de pago se ejecute de acuerdo con el identificador único facilitado por el usuario de servicios de pago y tal identificador no corresponda al nombre del beneficiario indicado por ese mismo usuario, la limitación de la responsabilidad del proveedor de servicios de pago establecida en esta disposición se aplicará tanto al proveedor de servicios de pago del ordenante como al proveedor de servicios de pago del beneficiario .

Dicha resolución, si bien alude a la Directiva que fue derogada por la actual, se estima aplicable al supuesto enjuiciado, y puede reputarse idéntico, y en el caso aludido por la sentencia, en la orden de pago se indicaba también el nombre del beneficiario , Tecnoservice, al que iba dirigida la transferencia; la transferencia se realizó a la cuenta correspondiente al IBAN indicado. No obstante, resultó haber sido hecha a favor de una entidad diferente de Tecnoservice y , en consecuencia, esta última nunca recibió la suma adeudada; se solicitó responsabilidad del proveedor de servicios de pago, por haber permitido que la suma en cuestión se abonara a un destinatario erróneo, pese a la existencia de datos suficientes para constatar que el identificador único era inexacto.

" Mediante la cuestión prejudicial planteada, el órgano jurisdiccional remitente pregunta sustancialmente si los artículos 74 y 75 de la Directiva 2007/64 deben interpretarse en el sentido de que, cuando una orden de pago se ejecute de acuerdo con el identificador único facilitado por el usuario de servicios de pago y tal identificador no corresponda al nombre del beneficiario indicado por ese mismo usuario, la limitación de la responsabilidad del proveedor de servicios de pago se aplicará solo al proveedor de servicios del ordenante o si se aplicará también al proveedor de servicios de pago del beneficiario .

25 En el presente asunto, resulta obligado hacer constar que los términos literales del artículo 74, apartado 2, párrafo primero, de la Directiva 2007/64 , donde solo se utiliza la expresión «proveedor de servicios de pago», no establecen distinción alguna entre los diferentes proveedores de servicios de pago. Por tanto, atendiendo a esos términos literales, la limitación de la responsabilidad que esta disposición establece se aplica a todos los proveedores que intervienen en la operación, y no únicamente a uno de ellos.

26 Esta interpretación literal se ve corroborada por el contexto en el que se inscribe dicha disposición. En efecto, por una parte, a efectos de la Directiva 2007/64, la «operación de pago» se define en el artículo 4, punto 5 , de esta Directiva como una acción «iniciada por el ordenante o por el beneficiario » consistente en situar, en transferir o en retirar fondos, con independencia de cualesquiera obligaciones subyacentes entre el ordenante y el beneficiario. Así pues, conforme a tal definición, el concepto de «operación de pago» se refiere a una acción global y única entre el ordenante y el beneficiario , y no únicamente a cada una de las relaciones del ordenante y del beneficiario con sus respectivos proveedores de servicios de pago.

27 Por otra parte, el artículo 74, apartado 2, párrafo segundo, de la Directiva 2007/64 impone la obligación de hacer esfuerzos razonables por recuperar los fondos de la operación de pago únicamente al «proveedor de servicios de pago del ordenante». En consecuencia, si el legislador de la Unión hubiera querido que los efectos del artículo 74, apartado 2, párrafo primero, de la Directiva 2007/64 , en lo concerniente a los pagos efectuados de acuerdo con un identificador único facilitado por el usuario, se limitaran al proveedor de servicios de pago del ordenante, también lo habría precisado así en esta última disposición.

28 Además, la interpretación del artículo 74, apartado 2, de la Directiva 2007/64 expuesta en el apartado 25 de la presente sentencia se ve corroborada igualmente por los objetivos de esta Directiva. En efecto, es preciso señalar que entre dichos objetivos figuran, por una parte, el tratamiento integrado y automatizado de las operaciones, según el considerando 40 de la Directiva, y , por otra parte, la mayor eficiencia y la rapidez de los pagos según su considerando 43. Pues bien, estos objetivos de tratamiento automatizado y de rapidez de los pagos encuentran mejor sustento en una interpretación de dicha disposición que limite la responsabilidad tanto del proveedor de servicios de pago del ordenante como del proveedor de servicios de pago del beneficiario , de modo que ambos proveedores se vean dispensados de la obligación de comprobar si el identificador único facilitado por el usuario de servicios de pago corresponde en efecto a la persona designada como beneficiario"

Se desestima el motivo del recurso.

CUARTO.- Asimismo, la representación de la parte actora alega responsabilidad en la parte demandada por no hacer todo lo posible para recuperar dichos fondos una vez descubierto el fraude, como exigencia del artículo 59.2 del RD 19/2018.

Cabe reseñar que dicha petición no se contiene en la demanda, sino en una alegación complementaria efectuada en el acto del juicio oral. El Abogado de la parte demandada nada alegó cuando se planteó dicha cuestión, si bien refirió su improcedencia en el informe.

La Sala considera que se trata de una cuestión nueva introducida por la Abogado de la actora al inicio del acto del juicio oral, y no es una alegación complementaria, pues se introduce una nueva petición de indemnización en base a una norma y a unos hechos no aludidos en el escrito de demanda.

En todo caso, en el contexto de lo actuado, con un hackeo advertido diez días después de la transferencia, deviene sumamente difícil recuperar el dinero, y más ante un previsible trama defraudatoria con remisión del dinero a una cuenta en un banco rumano, cuya investigación correspondería al ámbito penal. Se desconoce si la cuenta abierta en Open Bank es de verdadera titularidad de la persona que la demandada indica, pero la entidad demandada dice haber efectuado actuaciones. Es lógico que no aporte más prueba que el documento aludido en la contestación, por cuando en la demanda no se le exigía responsabilidad sobre la cuestión. No obra en las actuaciones prueba alguna de la que se permita deducir, siquiera sea indiciariamente, que todo o parte del dinero pudo haber sido recuperado.

Se desestima el recurso interpuesto en su integridad.

QUINTO.- De conformidad con el artículo 398 de la LEC procede imponer las costas procesales de esta alzada a la parte recurrente, al haber sido desestimado en su integridad el recurso interpuesto y ser la sentencia confirmatoria de la de instancia.

Asimismo y de conformidad con lo dispuesto en la Disposición Adicional Décimoquinta de la Ley Orgánica del Poder Judicial introducida por la LO 1/2.009 de 3 de noviembre, en su apartado 9, se declara la pérdida del depósito para recurrir constituido por el apelante, al que se le dará el destino previsto en dicha disposición