Se señaló fecha para la celebración de la deliberación, votación y fallo que ha tenido lugar el 26/06/2024.
Se designó ponente al Magistrado Jesús Arangüena Sande .
PRIMERO.- El presente procedimiento se inició por demanda de juicio ORDINARIO formulada por JUNTA DE COMPENSACIÓN AD-20 IMAVI, (en adelante, "IMAVI")frente a BANCO BILBAO VIZCAYA ARGENTARIA,S.A(en abreviatura BBVA), solicitando el dictado en su día sentencia por la que:
*a) Se declare el incumplimiento contractual del BBVA y se le condene a abonar, en favor de IMAVI, el importe de 18.320,20.-€, en concepto de principal, y de 380,78.-€, en concepto de intereses legales devengados hasta la interposición de esta demanda.
*b) Subsidiariamente, se declare el incumplimiento contractual del BBVA y se le condene a abonar, en favor de IMAVI, el importe de 18.320,20.-€, en concepto de principal, y de 286,10.-€, en concepto de intereses legales devengados hasta la interposición de esta demanda.
*c) Asimismo, se condene a la demandada al pago de las costas procesales y al pago de los intereses devengados desde la interposición de esta demanda.
Relata en síntesis que en fecha 16 de octubre de 2015, IMAVI concertó con la entidad aquí demandada un contrato de apertura de cuenta y un contrato de adhesión a los servicios telemáticos con número NUM000, en virtud del cual IMAVI es titular de la cuenta bancaria NUM001, desde la cual se produjeron una serie de transferencias no autorizadas.
La forma que tenía IMAVI de realizar las transferencias era a través del sistema Net cash, el cual requiere de determinadas claves para entrar en la banca online y consentir, en su caso, las operaciones de pago.Destaca las condiciones 10 y 11 del contrato de apertura de cuenta, y refiere que es consumidora en tal contratación.
Y que en fecha 19 de noviembre de 2020, IMAVI se percató de que, desde la cuenta bancaria anteriormente referida y de la cual es titular, habían sido realizadas nueve transferencias, las cuales no fueron autorizadas por IMAVI, pues ésta ni entró en la banca online para ejecutarlas ni introdujo sus claves para consentirlas. El importe de dichas transferencias ascendió a un total de 21.374,19.-€. Las referidas transferencias fueron efectuadas a tres cuentas bancarias distintas, cuyos titulares y los importes percibidos por éstos son los siguientes:
- la sociedad Tornos Abogados S.L.P: 3.053,99.-€
- el Sr. Valeriano: 9.824,50.-€
- el Sr. Virgilio: 8.495,70.-€
Como se desprende del Documento Adjunto núm. 2, la única transferencia que sí que fue realizada voluntariamente y de forma consentida por IMAVI el 19 de noviembre de 2020, por ser un importe debido, es la realizada en favor de Tornos Abogados, S.L.P. por importe de 727,50.-€ -incluyendo 1,5.-€ de comisiones bancarias-, según se desprende de la factura aneja al Documento Adjunto núm. 2.
Tornos Abogados, S.L.P.(asesora de IMAVI) fue requerida por IMAVI y devolvió la cantidad total de 3.045,40, descontando las comisiones bancarias. No pudiendo recuperar IMAVI las transferidas a las otras personas al no conocerlas, por lo que se reclaman solo los 18.320,20 euros de principal.
En fecha 23 de noviembre de 2020, IMAVI denunció los hechos ante los Mossos d'Esquadra.
Entiende que BBVA como proveedora de los servicios de pago en favor de IMAVI debe responder al no haber cumplido con las obligaciones asumidas legal y contractualmente por cuanto las medidas de seguridad para asegurar la identidad del ordenante y la autenticación de la operación no han sido las adecuadas.
Pide los intereses desde la fecha del extravío de las cantidades (19-11-2020) o subsidiariamente desde la reclamación extrajudicial (21-1-2021), y fundamenta la demanda en la responsabilidad contractual conforme art 1.101CC y legal derivada del RDL 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera
Frente a ello BANCO BILBAO VIZCAYA ARGENTARIA,S.A(en abreviatura BBVA) se opuso contestando la demanda solicitando el dictado de Sentencia desestimatoria con condena en costas a la actora.
Sostiene que no prueba IMAVI el carácter no autorizado de las transferencias. Que las mismas se efectuaron a través de Internet facilitándose para ello los códigos de las cuentas corrientes de los beneficiarios. La descripción del proceso de las transferencias objeto de la presente litis fue el siguiente:
- Las 9 transferencias que se analizan se llevaron a cabo el día 19 de noviembre de 2020 entre las 19:00 y 20:00 (GMT+1) por el usuario NUM002 desde la dirección IP NUM003, geolocalizada en Warsaw, Mazovia, (Polonia) y cuyo ISP corresponde con HZ Hosting Ltd.
- El usuario de Banca a Distancia identificado con el identificador " NUM002" está asociado a la referencia de servicios telemáticos " NUM004" que corresponde con la empresa JUNTA DE COMPENSACIÓN IMAVI, y al usuario Miriam con código de servicios telemáticos " NUM005".
- Para llevar a cabo las operaciones, el usuario se autenticó en la plataforma BBVA Net Cash mediante su usuario y contraseña de empresa empleando un dispositivo Windows 10, y las validó mediante el número de token1 " NUM006" que está vinculado al número de teléfono NUM007).
Todo ello conforme Acta de adquisición de evidencias de Banca a distancia y el Informe de Trazabilidad, respectivamente, elaborado por el equipo del Banco "Global Forensics- eDiscovery.
Por tanto las transferencias fueron debidamente autorizadas mediante los sistemas y contraseñas acordados entre las partes, por el usuario designado y empleando los códigos, password y contraseñas del cliente, es decir, utilizando los elementos de seguridad del usuario, por lo que no existe incumplimiento contractual ni legal alguno por parte de BBVA.
SEGUNDO.- La Sentencia del Juzgado de Primera Instancia nº 44 de Barcelona de fecha 27 de junio de 2022 concluye estimando la demanda, condenando a la demandada al pago a la demandante de 18.320 euros; cantidad que deberá incrementarse con sus respectivos intereses conforme a lo dispuesto en el fundamento de derecho, así como al pago de las costas.
Razona en síntesis que limitado el debate a si la entidad bancaria ha incurrido en incumplimiento de sus obligaciones contractuales en la verificación de datos al autorizar las operaciones cuestionadas, o si ha habido una falta de diligencia debida en la custodia de las claves de acceso por la actora, sobre la base de los arts 39, 41, 43, 45 y 46 del RDL 19/2018 y especial atendiendo a la cuasiobjetividad de la responsabilidad y la carga de la prueba establecida, y tomando el informe elaborado por la demandada, resulta que en primer término, se efectuó una transferencia que no constituye el objeto de la presente reclamación por la usuaria (vinculada y autorizada de la entidad reclamante) Miriam con número de teléfono vinculado NUM008, sobre las 18:24 horas desde una IP localizada en Santander.
E, inmediatamente después, entre las 19 h y las 20 horas del mismo día, dicho servicio comprueba que se efectúan las transferencias aquí reclamadas mediante la autenticación en la plataforma Net Cash, a través del usuario y contraseña correspondiente a Miriam, si bien lP desde la que se efectúan se encuentra localizada en Polonia; y con verificación de autenticación del sistema "Token Software" (dispositivo de confianza) .
Y que antes de producirse las transferencias (tanto la autorizada como las aquí reclamadas) a través del teléfono móvil vinculado a la sra. Miriam número NUM008, a las 18:08:12 horas se activa el sistema de autenticación de firma electrónica " token móvil" recibiendo en dicho momento un SMS en su teléfono con el código de verificación "token", quedando vinculado al número NUM006 y a las 18:14:24h recibe otro sms con el Código de seguridad para verificar la transferencia no cuestionada, en el mismo número de teléfono (transferencia que finalmente se ejecuta a las 18:24:38h).
Inmediatamente a la realización de dichas operaciones, se produce la primera transferencia (no autorizada) a las 19:08:49 horas, siendo la última a las 19:51:58 h y, en todas estas operaciones, como indica el informe aportado, no sólo se empleó el usuario y contraseña asignado a la sra. Miriam, sino que también se empleó el código de verificación de firma "tolken" facilitado a su número de teléfono móvil tan sólo un hora antes.
Junto a lo anterior, el informe aportado indica que la transferencia reconocida por la actora y realizada antes de las "fraudulentas", determina que la primera se ejecuta desde el sistema informático con IP en Santander, mientras que las posteriores tienen situada la IP en Varsobia.
Concluyendo la sentencia que las operaciones se ejecutaron por un tercero no autorizado; y tomando en consideración que la verificación de firma "tolken" fue activada tan sólo una hora antes de su uso no autorizado, puede así mismo concluirse que las claves de identificación y verificación de firma de la sra. Miriam fueron adquiridas, probablemente, mediante una injerencia no detectada en su teléfono móvil.
Y que en todo caso, la posible injerencia en el dispositivo de la usuaria no puede atribuirse a una negligencia grave de la misma, no probando la demandada lo contrario.
Frente a dicha resolución se alza la parte demandada que interpone recurso de apelación, solicitando que se desestime la demanda revocando la Sentencia con costas en ambas instancias a la demandada.
Invoca el error en la valoración de la prueba y aplicación del RDL 19/2018, defendiendo que ha acreditado en el presente procedimiento que las operaciones han sido (i) autenticadas y registradas con exactitud y no se vieron afectadas por un fallo técnico u otras deficiencias vinculadas al servicio de pago (ii) para poder llevar a cabo las operaciones la usuario se autenticó en la plataforma BBVA Net Cash mediante su nombre de usuario y contraseña y (iii) validó las operaciones mediante TOKEN software. Y ello también en lo referido a la operación no cuestionada. Por lo que se cumplen los requisitos del art 44.1 del RDL 19/2018 no pareciendo que existiera ninguna operación fraudulenta o no consentida.
Cabe que la usuaria indicada suministrara los datos a terceros voluntariamente o que realizara ella las operaciones cuestionadas, siendo ajeno BBVA a los actos u omisiones de la empleada y usuaria de la actora. Pone en valor que no se demanda a los beneficiarios de las cantidades, e incluso conoce a uno que es asesor jurídico de la actora. Y conforme arts 41 y 46.1, discrepa de la interpretación de la sentencia pues el usuario debe tomar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas, y responde en caso de operaciones no autorizadas si derivan las pérdidas de su actuación fraudulenta o por incumplimiento deliberado, o por negligencia grave, de una o varias de las obligaciones del art 41. Por lo que entiende que si hubiera existido ingerencia en los dispositivos de la usuaria de la actora, ésta habría de asumir su responsabilidad en la pérdida. Y no entiende probada en la sentencia la ingerencia de terceros en el teléfono móvil de la usuaria Doña Miriam, si bien de existir sería también responsabilidad de la actora al no proteger sus dispositivos de programas maliciosos.
La parte demandante por su parte, se opone al recurso, y muestra su conformidad con la sentencia apelada, solicitando la desestimación del recurso con confirmación de la Sentencia y con costas para la apelante.
Reitera lo expuesto en su demanda añadiendo que omite BBVA lo que igualmente consta en su informe referido a la dirección IP asociada a las transferencias, y que evidencia para IMAVI que las operaciones que entiende como fraudulentas tienen situada la IP en Varsovia (Polonia), mientras que otra transferencia -que no es objeto de discusión ni fue reclamada, pero que también fue estudiada- se geolocaliza en Santander (España). Por tanto las 9 operaciones fueron realizadas por un tercero no autorizado, como entiende la sentencia.
Refiere que ya explicó en la audiencia previa que las cuentas de las transferencias como la de la asesora de IMAVI pueden ser cuentas "mula", cuentas intermediarias que se usan para enviar y recibir dinero de forma ilegítima y lavar o blanquear la recaudación.
Pero aún si se probara que no hubo ingerencia en los sistemas del BBVA y que las verificaciones efectuadas por ésta fueron correctas, aún así debería responder conforme la normativa aplicable, que contempla una responsabilidad cuasiobjetiva si no se prueba por BBVA( arts 44.3, 45.1 y 46.1 del RDL19/2018) la actuación en fraude o con negligencia grave del usuario en el cumplimiento de sus obligaciones de custodia del instrumento de pago y las credenciales de seguridad y no haya notificado dicha circunstancia sin demora, lo cual no ocurre en el presente caso. No pudiendo interpretarse una ingerencia de tercero como negligencia grave de la usuaria, siendo negligente BBVA que no utilizó las medidas de Seguridad adecuadas para asegurar la identidad del ordenante y autenticación de la operación, pues las nueve transferencias se ordenaron desde Varsovia(Polonia).
TERCERO.- De cara a la resolución del recurso, invocándose error en la valoración de la prueba e interpretación/aplicación del RDL 19/2018, cabe recordar con la STS del 19 de abril de 2022 ( ROJ: STS 1563/2022 - ECLI:ES:TS:2022:1563 ):
(ii) Sobre la naturaleza y límites del recurso de apelación interpuesto
El recurso de apelación se constituye en una revisio prioris instantiae (revisión de la primera instancia), que permite al tribunal de apelación abordar la cuestión fáctica y jurídica planteada en la instancia con plena jurisdicción, sin otra limitación o condicionante que no sea el derivado de los términos en los que el propio recurso de apelación se ha formulado ( SSTS 269/2016, de 22 de abril , 135/2020, de 2 de marzo ; 306/2020, de 16 de junio ; 419/2021, de 21 de junio y 611/2021, de 20 de septiembre entre otras muchas).
Es decir, que cabe una revisión plena de la sentencia de primera instancia, pero con los límites derivados de la prohibición de la reforma peyorativa (reforma a peor), que veda la posibilidad de agravar la posición de la parte recurrente, salvo que provenga de otro recurso de apelación interpuesto o de la impugnación de una parte apelada. En definitiva, lo que se requiere es contar con una petición revocatoria, que actúe como título jurídico habilitante para poder modificar la sentencia apelada.
Rige, igualmente, el principio recogido en la regla latina tantum devolutum quantum apellatum (se transfiere lo que se apela), conforme al cual el tribunal de apelación sólo debe conocer de aquellas cuestiones que le han sido planteadas en el recurso, como establece el art. 465.5 LEC , que no deja de ser otra cosa que una proyección del principio de congruencia en segunda instancia ( sentencias 306/2020, de 16 de junio y 611/2021, de 20 de septiembre , así como SSTC 143/1988, de 12 de julio y 19/1992, de 14 de febrero , entre otras) y se ha considerado, también, como manifestación del principio dispositivo que rige el proceso civil (por ejemplo, sentencias de 26 de septiembre de 2006, rec. 930/2003 ; 30 de junio de 2009, rec. 369/2005 ; 13 de octubre de 2010, rec. 745/2005 ; 5 de noviembre de 2010, rec. 898/2006 ; y 197/2016, de 30 de marzo ).
Por último, opera también la regla pendente apellatione nihil innovetur, conforme a la cual, aunque el recurso de apelación permite al tribunal de segundo grado examinar en su integridad el proceso, no constituye un nuevo juicio, ni autoriza a la Audiencia Provincial a resolver cuestiones o problemas distintos de los planteados en la primera instancia (sentencia 436/2020, de 15 de julio, entre otras muchas). De modo que la segunda instancia se puede extender únicamente a lo que ha sido objeto de previa discusión ante el juzgado, como establece el art. 456.1 LEC , al normar que "[...] en virtud del recurso de apelación podrá perseguirse, con arreglo a los fundamentos de hecho y de derecho de las pretensiones formuladas ante el tribunal de primera instancia, que se revoque un auto o sentencia [...]".
CUARTO.- Como razona la sentencia apelada, y no se cuestiona, en tanto que son datos tomados de los informes aportados por la propia demandada como documentos 1 y 2 de su contestación, lo constatado y acreditado es queen primer término, se efectuó una transferencia que no constituye el objeto de la presente reclamación por la usuaria (vinculada y autorizada de la entidad demandante) Miriam con número de teléfono vinculado NUM008, sobre las 18:24 horas desde una IP localizada en Santander.
E, inmediatamente después, entre las 19 h y las 20 horas del mismo día, dicho servicio comprueba que se efectúan las transferencias aquí reclamadas mediante la autenticación en la plataforma Net Cash, a través del usuario y contraseña correspondiente a Miriam, si bien la IP desde la que se efectúan se encuentra localizada en Polonia; y con verificación de autenticación del sistema "Token Software" (dispositivo de confianza) .
Y que antes de producirse las transferencias (tanto la autorizada como las aquí reclamadas) a través del teléfono móvil vinculado a la sra. Miriam número NUM008, a las 18:08:12 horas se activa el sistema de autenticación de firma electrónica " token móvil" recibiendo en dicho momento un SMS en su teléfono con el código de verificación "token", quedando vinculado al número NUM006 y a las 18:14:24h recibe otro sms con el Código de seguridad para verificar la transferencia no cuestionada, en el mismo número de teléfono (transferencia que finalmente se ejecuta a las 18:24:38h).
E inmediatamente a la realización de dichas operaciones, se produce la primera transferencia (que se indica como no autorizada) a las 19:08:49 horas, siendo la última a las 19:51:58 h y, en todas estas operaciones, como indica el informe aportado, no sólo se empleó el usuario y contraseña asignado a la sra. Miriam, sino que también se empleó el código de verificación de firma "tolken" facilitado a su número de teléfono móvil tan sólo una hora antes.
Junto a lo anterior, el informe aportado indica que la transferencia reconocida por la actora y realizada antes de las "fraudulentas", determina que la primera se ejecuta desde el sistema informático con IP en Santander, mientras que las posteriores tienen situada la IP en Varsovia."
El examen que de tales hechos hace la sentencia de instancia es lógico y razonable: Concluye entendiendo que las claves de identificación y verificación de firma de la Sra. Miriam fueron adquiridas, probablemente, mediante una injerencia no detectada en su teléfono móvil, sin que pruebe la demandada la negligencia grave (ni fraude) por parte de dicha usuaria vinculada la actora.
En efecto, pasa por alto la demandada en su recurso tal circunstancia que no explica. Cómo es posible que en menos de una hora, habiendo activado la usuaria el sistema para hacer una transferencia (la no cuestionada) dirigida a un despacho de abogados(TORNOS ABOGADOS,S.LP. fra 1517 por importe 727,50 euros así doc 2 de demanda) que presta servicios jurídicos a la actora, y que cabe presumir que se hace por servicios prestados por ésta, y desde IP ubicado en Santander(España) a las 18:24 horas, se proceda a partir de las 19:08:49 h a hacer una nueva transferencia(seguida de otras 8 hasta las 19:51:58h) todas desde IP ubicada en Varsovia(Polonia) empleando las mismas claves y nº token obtenido previamente por la usuaria Doña Miriam.
No acredita la demandada conexión ni contacto alguno (informático, telefónico, etc) entre dicha usuaria y el usuario posterior de Varsovia para facilitación de claves y nº de token. Y no se prueba por la demandada que existiera algún problema en el teléfono móvil en cuestión empleado por Doña Miriam pues el informe no se extiende a su examen (ni consta que se haya solicitado su posible examen a tal fin).
De otro lado cabe presumir la existencia de la injerencia de tercero no autorizado del hecho de que la primera transferencia sea la correcta y no cuestionada a TORNOS ABOGADOS SLP de 727,50 euros -son 726 euros mas 1,5 de comisión- y desde IP en Santander(doc 2 de demanda, extracto y factura en cuestión con indicación de los servicios prestados por dicho despacho de abogados); y sin embargo las otras tres transferencias a dicha sociedad(1.210€, 1230,40€ y 605€) todas estas realizadas desde IP en Varsovia, hayan sido devueltas por TORNOS ABOGADOS SLP a la actora(docs 3 y 5 de demanda)sin objeción ni discusión alguna y a los pocos días, evidenciándose que no obedecían a servicios prestados. No consiguiéndose obtener noticia alguna de las transferencias hechas desde IP de Varsovia a los otros dos sujetos indicados. Y no constando tampoco prueba de que mas allá de la denuncia, ni la policía ni la propia demandada, pero tampoco la actora, hayan conseguido localizar a dichas dos personas, o conseguido aportar datos que justifiquen que sean otros proveedores de la actora a los que estuviese pagando facturas Doña Miriam. Lo que abunda en la presunción de una injerencia en forma no acreditada en el sistema informático o en el teléfono empleado por Doña Miriam, pero sin prueba en autos de que ésta cediera conscientemente o con negligencia grave los datos secretos a terceros o los dejara expuestos para su posible captación.
A mayor abundamiento, si el primer pago es correcto, a un proveedor de servicios jurídicos, resulta absurdo que Doña Miriam remita otros tres sin justificación (los devueltos) a la par a dicha empresa, y sin que consten las correspondientes facturas a que atienden tales pagos, y además haga otros a personas desconocidas. Y no parece consistente, de existir voluntad defraudadora de la citada, que lo haga transfiriendo a sus asesores jurídicos unas cantidades que se van a evidenciar enseguida como indebidas y que además no va a poder volver a enviar desde la cuenta del tal asesor a otra cuenta.
En esta tesitura, el marco normativo invocado lleva a que la demandada, que no prueba el fraude o la negligencia grave de la usuaria, responda ante su cliente hoy demandante por la perdida del dinero en cuestión, como razona la sentencia apelada y se infiere de las obligaciones establecidas en la normativa aplicable.
El RDL 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera en su texto vigente a fecha de los hechos (2020)disponía en su art 36.1 que "1 . Las operaciones de pago se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución", siendo que, entendido el demandado BBVA conforme art 3(definiciones) como "32. Proveedor de servicios de pago, que son " las entidades y organismos contemplados en los apartados 1 y 2 del artículo 5, y las personas físicas o jurídicas que se acojan a las exenciones previstas en los artículos 14 y 15.", encontránsose entre tales entidades las bancarias como es BBVA(y así se la califica en el contrato de autos -doc 1 de demanda- y convenio marco), resulta que conforme al art 40.2 " Siempre que se haya acordado en el contrato marco, el proveedor de servicios de pago podrá reservarse el derecho de bloquear el instrumento de pago por razones objetivamente justificadas relacionadas con la seguridad del instrumento de pago, la sospecha de una utilización no autorizada o fraudulenta del mismo o, en caso de que esté asociado a una línea de crédito, un aumento significativo del riesgo de que el ordenante pueda ser incapaz de hacer frente a su obligación de pago", constando en la condición complementaria 12 del acuerdo marco(doc 1 de demanda) tal pacto.
Así mismo dispone el art 44 ." Prueba de la autenticación y ejecución de las operaciones de pago.
1.Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago.
(...)
2.A los efectos de lo establecido en el apartado anterior, el registro por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 41.
3. Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave"
Y el art 45.1 dispone "1. Sin perjuicio del artículo 43 de este real decreto-ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada".
Estableciendo por su parte el art 46.1 que " 1. No obstante lo dispuesto en el artículo 45, el ordenante podrá quedar obligado a soportar, hasta un máximo de 50 euros, las pérdidas derivadas de operaciones de pago no autorizadas resultantes de la utilización de un instrumento de pago extraviado, sustraído o apropiado indebidamente por un tercero, salvo que:
a) al ordenante no le resultara posible detectar la pérdida, la sustracción o la apropiación indebida de un instrumento de pago antes de un pago, salvo cuando el propio ordenante haya actuado fraudulentamente, o
b) la pérdida se debiera a la acción o inacción de empleados o de cualquier agente, sucursal o entidad de un proveedor de servicios de pago al que se hayan externalizado actividades.
El ordenante soportará todas las pérdidas derivadas de operaciones de pago no autorizadas si el ordenante ha incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41. En esos casos, no será de aplicación el importe máximo contemplado en el párrafo primero.
En todo caso, el ordenante quedará exento de toda responsabilidad en caso de sustracción, extravío o apropiación indebida de un instrumento de pago cuando las operaciones se hayan efectuado de forma no presencial utilizando únicamente los datos de pago impresos en el propio instrumento, siempre que no se haya producido fraude o negligencia grave por su parte en el cumplimiento de sus obligaciones de custodia del instrumento de pago y las credenciales de seguridad y haya notificado dicha circunstancia sin demora"
Resultando como se razonó, que disponiendo el art 41 " Obligaciones del usuario de servicios de pago en relación con los instrumentos de pago y las credenciales de seguridad personalizadas.
El usuario de servicios de pago habilitado para utilizar un instrumento de pago:
a) utilizará el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago que deberán ser objetivas, no discriminatorias y proporcionadas y, en particular, en cuanto reciba un instrumento de pago, tomará todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas;
b) en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, lo notificará al proveedor de servicios de pago o a la entidad que este designe, sin demora indebida en cuanto tenga conocimiento de ello.", no se prueba por BBVA actuación negligente alguna, ni menos aun fraudulenta de la usuaria(de hecho no consta en autos que haya comunicado al Banco de España, como le resulta obligado en caso de tal sospecha de fraude).
Como recurda la SAP de Asturias sección 1 del 20 de marzo de 2024 ( ROJ: SAP O 1120/2024 - ECLI:ES:APO:2024:1120 ) "encontramos que el sistema de responsabilidad para la entidad proveedora del servicio de pago que aparece diseñado en el RDL de Servicios de Pago reviste los caracteres de un régimen de responsabilidad cuasi objetivo, puesto que, además de asumir la carga de demostrar la exactitud y corrección de la operación de pago, le incumbe también la de probar que fue el usuario quien incurrió en fraude o negligencia grave."
Por lo que, no probando el BBVA conforme art 44.1 que la operación no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por BBVA en tanto que proveedor de servicios de pago, es por todo ello, y por la carga probatoria que tenia, por lo que debe responder BBVA como razona la sentencia apelada.
En este sentido como recuerda la SAP de Barcelona sección 1 del 07 de junio de 2023 ( ROJ: SAP B 6560/2023 - ECLI:ES:APB:2023:6560 ) con cita de la "la SAP de Pontevedra, 177/2023, de 23 de marzo : " En interpretación de directiva 2015/2366 , la negligencia que hace responder al cliente es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario , no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional. Como parámetro del actuar negligente también cabrá acudir al art. 1.104 CC , que exige la diligencia asociada a la naturaleza de la obligación y a las circunstancias personales, de tiempo y lugar. Ello destacándose la complejidad y grado de perfección que presenta en la actualidad el método de "phishing" de difícil detección por persona de formación media, así como el deber de la proveedora, del servicio de dotarse de tecnología suficiente y adecuada con exigencia de medidas implantadoras activas, sin entenderse suficientes avisos generales o en página web de mero carácter informativo o divulgativo -por todas, SS. AP Pontevedra (Secc. 6ª) 21.12.21 y Madrid (20ª) 20.5.2022 , en la línea de lo razonado en SS. AP Valencia (6ª) 13.6.2022 ,Granada (5ª) 20.6.2022 y Badajoz (3ª) 21.6.2022 -."
Por tanto se desestima el recurso confirmándose la sentencia apelada.
QUINTO.- De conformidad con lo dispuesto en el art. 398.1LEC por desestimación del recurso de apelación, con imposición a la apelante de las costas causadas en esta alzada.
Vistos los preceptos legales citados y demás de general y pertinente aplicación al caso
