Sentencia Civil 97/2024 Audiencia Provincial Civil de Huelva nº 2, Rec. 142/2024 de 08 de febrero del 2024

PRIMERO.- Los autos de que dimana este Rollo de apelación se incoaron en base a demanda formulada por la parte actora solicitando se condenara a la demandada a abonarle "el importe de las operaciones bancarias efectuadas en su cuenta sin su expreso consentimiento, así como el abono de los intereses legales desde dicha disposición y condena a las costas procesales".

Los hechos sobre los que efectuaba la pretensión indicada los narraba de la siguiente manera en su demanda: "Con fecha 27 de septiembre 2021 DON Jose Ramón recibió una llamada del teléfono + NUM000 haciéndose pasar por la compañía Movistar ofreciéndole un terminal telefónico, para cuya efectividad le pedían los 6 últimos números de su tarjeta de crédito, siendo estos aportados por mi mandante, indicándole que debía apagar su teléfono durante una hora para poder activar el nuevo contrato. No sospechó nada raro puesto que el teleoperador facilito datos muy concretos del actor, como por ejemplo su antiguo domicilio, DNI, nombre y apellidos así como el banco donde tenía la cuenta etc., que no hizo sospechar en ningún momento al actor.

El actor siguiendo las indicaciones apago su teléfono desde las 15.38 horas hasta las 17.00 horas, entre las que se realizan toda una serie de cargos en su cuenta.

Que se le han emitido cinco tarjetas de crédito asociadas a su cuenta bancaria número NUM001 de la entidad CAIXABANK.

La operativa a consistido en emitir una primera tarjeta sobre la que se ha realizado un cargo y de forma inmediata se anulaba para sacar una segunda, acto seguido se realiza un cargo sobre esta segunda tarjeta para después anularla y sacar una tercera tarjeta y así sucesivamente hasta en cinco ocasiones con cinco tarjetas emitidas sucesivamente anulando la

anterior."

Con dicha operativa consta que se llevaron a cabo una serie de cargos en su cuenta corriente bancaria aperturada en la demandada.

Tras oponerse ésta a la demanda, se dictó la sentencia cuya parte dispositiva ha sido transcrita en el Antecedente de Hecho Segundo de esta resolución.

Frente a ella se alza dicha parte demandada alegando, en esencia, su falta de legitimación pasiva, ya que los contratos vinculados a las operaciones fraudulentas había sido suscritos por una entidad distinta a la demandada, como era la entidad CAIXABANK PAYMENTS AND CONSUMER EFC EP SAU.

También alega la existencia de negligencia grave cometida por la parte actora ya que tal y como puso de manifiesto el Banco de España las operaciones

fueron debidamente ejecutadas mediante el sistema de doble autentificación legalmente previsto, la que tuvo lugar no por la mera revelación de los seis últimos dígitos de la cuenta corriente del actor sino por la indebida relación por parte del mismo de las claves de la tarjeta que posteriormente fue utilizada para cambiar claves y dar de alta nuevas tarjetas, sin que sirva de excusa para exonerar de responsabilidad al actor el hecho de que no fuera experto en la contratación de telefonía móvil, sin perjuicio de que ya de por si la propia llamada recibida solicitando la clave bancaria para poder modificar claves bancarias y proceder a la contratación de servicios bancarios como poco debe ser considerada como una petición anodina, inauditas y contraria a un mínimo deber de diligencia, habiendo accedido el demandante incluso para su terminal de móvil a petición del defraudador.

La parte apelada se opone al recurso.

SEGUNDO.- En el caso de autos resulta acreditado que, efectivamente, el día 27 de septiembre de 2021 el actor recibió una llamada a la que hace referencia en su escrito de demanda, según ha sido transcrito anteriormente, facilitando a su interlocutor los seis últimos números de su tarjeta de crédito y apagando durante una hora aproximadamente su terminal, según le recomendó aquél.

Posteriormente, pudo advertir que el citado día se habían producido en su cuenta corriente bancaria abierta con la demandada una serie de cargos que no habían sido consentidos por él, cargos que han sido cifrados en la sentencia recurrida en la suma de 3.161,40 euros, cantidad que no ha sido discutida por las partes.

Tales cargos se llevaron a afecto haciendo uso de varias tarjetas bancarias que se emitieron a raíz de la mencionada llamada durante el espacio de tiempo en que el teléfono permaneció desconectado.

TERCERO.- En cuanto a la falta de legitimación pasiva alegada por la parte demandada el recurso debe ser desestimado, por cuanto esta última vino a reconocer dicha legitimación de forma tácita, cuando al responder a la reclamación extrajudicial que le fue formulada por la parte demandante, no efectuó matización alguna acerca del hecho de que otra entidad distinta pudiera ser la responsable por la defraudación sufrida por la parte actora.

Por tanto, si de alguna manera vino a reconocer su legitimación fuera del procedimiento no había motivo para entender que no lo hiciera dentro de éste.

Es cierto que la demandada, en contestación oficio que le fue remitido por la brigada Provincial de Policía Judicial, Grupo de Delitos Económicos y Tecnológicos, remitió a la misma a la entidad CaixaBank Payments & Consumer, E.F.C.E.P.S.A., de quien decía era titular del negocio de contratación y prestación de servicios de tarjetas de crédito y débito, pero también lo es que esta última entidad manifestó posteriormente al citado Grupo Policial que las operaciones de defraudatorias no se habían efectuado con tarjetas, remitiéndolo de nuevo a la demandada.

Además de lo anterior, si se examina la demanda presentada, se advierte que la pretensión de la actora se dirige contra la demandada, no sólo por la emisión inconsentida de las citadas tarjetas de crédito, sino también por la falta de control de los diversos cargos sucesivos que en breve espacio temporal se llevaron a cabo en su cuenta bancaria, sin advertir dicha anomalía, con lo que, al menos en principio, no es factible estimar su falta de legitimación pasiva.

CUARTO.- Sentado lo anterior, ha de darse respuesta a la cuestión planteada en el recurso y para ello podríamos comenzar recordando, como hicimos en la sentencia de 16 de octubre de 2023 (Rec. 872/2023), que la STS de 16 de diciembre de 2011 ya señalaba que "[l]a disposición de fondos en una cuenta corriente o de depósito bancaria por parte de una persona que no podía hacerlo por no ser la titular ni estar autorizada por ésta supone un incumplimiento contractual ( SS., entre otras, 23 de noviembre de 2000 , 26 de noviembre de 2003 , 9 de marzo de 2006 ) dada la obligación esencial del Banco de conservar y devolver los fondos depositados como se haya previsto en el contrato y se haya ordenado por las personas autorizadas para disponer de ellos, que, caso de incumplirse, da lugar a la indemnización de daños y perjuicios conforme a los arts. 1101 y 1106 del Código Civil ".

Igualmente, la STS de 12 de mayo de 2016 establece que "con carácter general debe señalarse que, conforme a la naturaleza y función del contrato de cuenta corriente bancaria, el cercioramiento o comprobación de la veracidad de la firma del ordenante constituye un presupuesto de la diligencia profesional exigible a la entidad bancaria con relación a sus obligaciones esenciales de gestión y custodia de los fondos depositados por el titular de la cuenta, cuyo incumplimiento da lugar a la indemnización de daños y perjuicios, conforme a lo dispuesto en los artículos 1101 y 1106 del Código Civil ".

A su vez, desde el punto de vista legislativo, esa obligación que tiene la entidad bancaria de conservar debidamente los fondos depositados por los clientes y no hacer entrega de los mismos más que cuando se da estricto cumplimiento a las normas habilitadas al efecto, viene recogida en el Real Decreto-Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, cuya finalidad ha sido transponer al Derecho español la Directiva 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) nº 1093/2010 y se deroga la Directiva 2007/64/CE.

En los arts. 41 y ss del citado Real Decreto Ley se regulan las obligaciones de usuarios y proveedor de servicios de pago, pudiendo destacar de entre ellos, en lo que aquí interesa, lo dispuesto en el art. 44, que se refiere a la "Prueba de la autenticación y ejecución de las operaciones de pago", y establece:

"1. Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago.

Si el usuario de servicios de pago inicia la operación de pago a través de un proveedor de servicios de iniciación de pagos, corresponderá a éste demostrar que, dentro de su ámbito de competencia, la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable.

2. A los efectos de lo establecido en el apartado anterior, el registro por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 41.

3. Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave [...]".

Y el artículo 45, "Responsabilidad del proveedor de servicios de pago en caso de operaciones de pago no autorizadas", dispone lo siguiente:

"1. Sin perjuicio del artículo 43 de este real decreto- ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada.

La fecha de valor del abono en la cuenta de pago del ordenante no será posterior a la fecha de adeudo del importe devuelto.

2. Cuando la operación de pago se inicie a través de un proveedor de servicios de iniciación de pagos, el proveedor de servicios de pago gestor de cuenta devolverá inmediatamente y, en cualquier caso, a más tardar al final del día hábil siguiente, el importe de la operación de pago no autorizada y, en su caso, restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada.

Si el responsable de la operación de pago no autorizada es el proveedor de servicios de iniciación de pagos, deberá resarcir de inmediato al proveedor de servicios de pago gestor de cuenta, a petición de este, por las pérdidas sufridas o las sumas abonadas para efectuar la devolución al ordenante, incluido el importe de la operación de pago no autorizada. De conformidad con el artículo 44.1, corresponderá al proveedor de servicios de iniciación de pagos demostrar que, dentro de su ámbito de competencia, la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable.

3. Podrán determinarse otras indemnizaciones económicas de conformidad con la normativa aplicable al contrato celebrado entre el ordenante y el proveedor de servicios de pago o el contrato celebrado entre el ordenante y el proveedor de servicios de iniciación de pagos, en su caso".

Igualmente, el artículo 147 del Texto Refundido de la Ley para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, aprobado por el Real Decreto Legislativo 1/2007, de 16 de noviembre, dispone: "Los prestadores de servicios serán responsables de los daños y perjuicios causados a los consumidores o usuarios, salvo que prueben que han cumplido las exigencias y requisitos reglamentariamente establecidos y demás cuidados y diligencias que exige la naturaleza del servicio", siendo indiscutido que los demandantes merecen la consideración de consumidores;

Y el Art. 148 de la misma norma, según el cual "se responderá de los daños originados en el correcto uso de los servicios, cuando por su propia naturaleza, o por estar así reglamentariamente establecido, incluyan necesariamente la garantía de niveles determinados de eficacia o seguridad, en condiciones objetivas de determinación, y supongan controles técnicos, profesionales o sistemáticos de calidad, hasta llegar en debidas condiciones al consumidor y usuario";

De lo dispuesto en el primero de los preceptos citados (44) puede llegarse a la conclusión de que en supuestos como el que nos ocupa entra en juego una suerte de inversión de la carga de la prueba, de tal manera que correspondería al proveedor de los servicios de pago demostrar que la operación fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago, si bien el usuario del servicio de pago deberá también demostrar que dentro de su ámbito de competencia la operación fue autenticada y registrada con exactitud sin que hubiera mediado en el responsabilidad alguna.

Por otra parte corresponderá al proveedor de servicios de pago acreditar que el usuario del servicio cometió fraude o negligencia grave.

En este sentido conviene traer a colación cómo la jurisprudencia menor se ha ido pronunciando acerca de la responsabilidad de la entidad bancaria en supuestos de phising; y así señala la SAP de Valladolid de 19 de octubre de 2022 que "La realidad de prácticas delictivas como el referido " phising", hace exigible aumentar las medidas de seguridad específicas, como recuerda la SAP de Barcelona, 7 de marzo de 2013 , pues el banco no puede ofrecer un sistema online sin adoptar las medidas de seguridad necesarias, en el mismo sentido que hizo la ya citada sentencia de la Audiencia Provincial de Alicante, de 12 de marzo, aplicando los criterios que expresaba la STS de 18 de marzo de 2016 , que imponía ponderar, en este tipo de supuestos, factores tales como la causa del evento dañoso, la concurrencia de un déficit de la seguridad que legítimamente cabía esperar y la facilidad probatoria correspondiente a cada una de las partes.

Como se afirma en dicha sentencia, no basta con medidas genéricas de protección o avisos estereotipados de cuidado, sino que "la seguridad de las operaciones bancarias precisa de soluciones tecnológicas avanzadas a los efectos de garantizar tanto la autenticidad como la integridad y confidencialidad de los datos", sin que se repute suficiente los avisos genéricos de los bancos, a través de su web, que ostentarían la calificación de "fórmulas predispuestas ", vacías de contenido".

La SAP de Madrid de 13 de enero de 2023, por su parte, establece que "... la entidad que presta el servicio de pago solo puede exonerarse de responsabilidad, mediante la prueba de culpa grave del usuario que emite la orden de pago. En el supuesto objeto de recurso, estamos ante un fraude llamado "phishing", por el que se suplanta la identidad de la entidad bancaria para obtener información sobre las claves o credenciales de las cuentas bancarias o tarjetas de crédito/débito. Se envía un correo electrónico con la apariencia de ser remitido por la entidad bancaria, que contiene un enlace a una pagina que aparenta ser sitio oficial de ésta, pero que en realidad pertenece a un dominio bajo control del phiser."

Igualmente, la SAP de Pontevedra de 23 de marzo de 2023 señala que "A la hora de estudiar la concurrencia de negligencia grave del usuario del servicio de pago online, partiendo del admitido criterio de responsabilidad cuasi objetiva de la entidad en la prestación del servicio de banda virtual respecto a operaciones de pago como la transferencia, reiterada jurisprudencia considera que dicha negligencia debe ser grave en atención a las circunstancias demostradas del caso, atribuyéndose en todo caso la carga probatoria de la misma al proveedor del servicio con arreglo a art. 217 LEC . En interpretación de directiva 2015/2366 , la negligencia que hace responder al cliente es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional. Como parámetro del actuar negligente también cabrá acudir al art. 1.104 CC , que exige la diligencia asociada a la naturaleza de la obligación y a las circunstancias personales, de tiempo y lugar. Ello destacándose la complejidad y grado de perfección que presenta en la actualidad el método de "phishing" de difícil detección por persona de formación media, así como el deber de la proveedora del servicio de dotarse de tecnología suficiente y adecuada con exigencia de medidas implantadoras activas, sin entenderse suficientes avisos generales o en página web de mero carácter informativo o divulgativo -por todas, SS. AP Pontevedra (Secc. 6ª) 21.12.21 y Madrid (20ª) 20.5.2022 , en la línea de lo razonado en SS. AP Valencia (6ª) 13.6.2022 , Granada (5ª) 20.6.2022 y Badajoz (3ª) 21.6.2022 -"

Se está pues, ante una responsabilidad cuasi objetiva de tal manera que la entidad que presta servicios de pago solo permite que pueda exonerarse de ella mediante la prueba de la culpa grave del ordenante, siendo una responsabilidad del proveedor de los servicios del riesgo y por ello la Ley prevé que corresponda a la entidad acreditar que la operación ordenada fue auténtica y no estuvo afectada por un fallo técnico o por otra deficiencia como pudiera ser un supuesto de phising.

Como puso de manifiesto la SAP Alicante, Secc.8ª de 12 de marzo de 2018, "La falsedad de la transferencia (es decir, que el ordenante no sea el titular de la cuenta) es un riesgo a cargo del banco porque, en principio, el deudor sólo se libera pagando al verdadero acreedor por lo que si el banco cumple una orden falsa, habrá de reintegrar en la cuenta correspondientes las cantidades cargadas. Una excepción a esta distribución de riesgos se produce en el caso de que el titular haya creado o elevado el riesgo de falsificación de forma imputable en el caso concreto ( STS 15 de julio de 1988 ). ....(....) - Los servicios que prestan las entidades de crédito a sus clientes a través de su oficina virtual se desenvuelven en redes TCP/IP (Internet) o WAP (comunicaciones móviles). 11.- Siendo Internet una red pública de comunicaciones, la seguridad de las operaciones bancarias precisa de soluciones tecnologías avanzadas a los efectos de garantizar tanto la autenticidad como la integridad y la confidencialidad de los datos. Por estos motivos las entidades prestadoras del servicio de banca online deben dotarse de medidas suficientes que garanticen al usuario la seguridad de las operaciones. Consecuencia derivada de la omisión, insuficiencia o defectuoso funcionamiento de las adoptadas es que han de ser las entidades bancarias las que asuman las consecuencias derivadas de los fallos de seguridad del sistema. (.....)-La responsabilidad en estos supuestos no puede atribuirse directamente al supuesto ordenante de la transferencia por entenderse ésta autorizada al haberse realizado de acuerdo con los sistemas de autenticación del banco. Los sistemas de autenticación se establecen por los proveedores de servicios de pago y si un banco no ha sido capaz de limitar el acceso al canal de banca electrónica no puede pretender que el presunto ordenante víctima de esta práctica fraudulenta sea el único responsable, pues es el banco quien tiene responsabilidad respecto del buen funcionamiento y la seguridad del mismo".

El caso es que la realidad de las prácticas delictivas como el mencionado phising, hace exigible aumentar las medidas de seguridad específicas, ya que el banco no puede ofrecer un sistema on line sin adoptar las medidas de seguridad necesarias.

Como consecuencia de lo hasta aquí expuesto, ha de concluirse que la entidad demandada debe asumir la responsabilidad patrimonial que se le exige por el riesgo que el propio sistema de pagos conlleva, no habiendo acreditado que medió culpa grave o dolo por parte del usuario demandante.

Es cierto que el propio demandante reconoce haber facilitado a su interlocutor telefónico los seis últimos dígitos de su tarjeta bancaria, pero también lo es que pudo hacerlo en la confianza de que únicamente con tales datos no era factible llevar a efecto la reproducción de nuevas tarjetas,ya que para ello sería necesario obtener alguna clave personal del usuario.

Pudiera concluirse, en principio, que dichas claves debieron ser facilitadas por el propio actor, con lo que se posibilitó que la persona que contactara con él llevara a efecto las sucesivas reproducciones, pero tal circunstancia no consta acreditada, siendo factible que, contando el defraudador o defraudadores con datos personales del demandante, como este mismo reconoció en su demanda, unidos al de su tarjeta bancaria, contactaran, bien con la demandada, bien con la entidad emisora de las tarjetas, a fin de que se les facilitará el cambio de la referida clave o pin por supuesto extravío, operación que llevaron a efecto mientras el demandante mantenía apagado su terminal, como le fue "aconsejado" por el referido defraudador o defraudadores, con lo que no le fue posible advertir la ejecución de la actuación defraudatoria.

Por otra parte, ha de recordarse que se efectuaron varias operaciones de cargo en el escaso margen temporal de una hora, y algunas otras al día siguiente, cargos que se realizaron con distintas tarjetas de crédito, lo que debió ser advertido por la entidad bancaria.

Derivado lo anterior, el recurso en lo que afecta al fondo de la pretensión actora y a las alegaciones que respecto del mismo efectúa la parte demandada, debe ser desestimado.

QUINTO.- No obstante lo anterior, el recurso debe ser parcialmente estimado en lo que hace referencia a las costas devengadas, tanto en primera como en su instancia, sin que deba hacerse pronunciamiento especial respecto de las mismas, al existir serias dudas de hecho acerca de la forma en que los mismos pudieran realmente acontecido, como se desprende del propio texto de este rasolución ( arts. 394 y 398 LEC).