Sentencia Civil 133/2024 Audiencia Provincial Civil de Madrid nº 32, Rec. 42/2023 de 15 de marzo del 2024

PRIMERO.- La sentencia de primer grado desestima la excepción de falta de legitimación pasiva en los siguientes términos : "...porque no solo es que existe un contrato de tarjeta en su día firmado con una entidad que claramente luce el logo de CAIXABANK, es que además todo el hilo de emails cruzados entre el hoy actor y la entidad demandada se referencia a CAIXABANK.COM, tal y como se observa en los emails aportados junto a la Demanda, siendo que fue CAIXABANK quien incluso signó número y referencia NUM000 a la reclamación del hoy actor, sin que en ningún momento denegara capacidad para tenderle o le redirigiera a ninguna otra entidad de su grupo societario. Por lo expuesto, la excepción deberá decaer".

SEGUNDO.-.-La Sala comparte la desestimación de la falta de legitimación pasiva de Caixabank, S.A., toda vez que de la prueba documental obrante en autos podemos concluir:

- El contrato de tarjeta de crédito objeto de la litis fue suscrito el 25 de febrero de 2016 con la intervención de Caixabank, S.A.

- Caixabank y Caixabank Payments & Consumer E.F.C., E.P., S.A. pertenecen al mismo entramado empresarial.

- El contrato de tarjeta lleva el logotipo de Caixabank y solo en letra pequeña y debajo aparece la denominación "Payments & Consumer", sin referencia a entidad jurídica distinta a la propia Caixabank.

- El contrato de tarjeta de crédito quedó vinculado a la cuenta depósito aperturada por el cliente en Caixabank, estableciéndose en la cláusula tercera del contrato de tarjeta los servicios de pago asociados a la tarjeta.

- De la cláusula tercera del contrato resulta que Caixa Card 1.queda facultada en el contrato suscrito para consultar la cuenta depósito asociada de Caixabak a fin de autorizar el uso de la tarjeta y en la cláusula cuarta se refiere a otros servicios asociados al uso de la tarjeta (consultas, ejecuciones de órdenes, contratación de nuevos productos con Caixabank, Caixacard y Microbank (así como a través de banca por internet de Caixabank "Linea Directa").

- Que el cargo fraudulento se efectuó en la cuenta asociada de Caixabank el día 26 de junio de 2021.

- Se alega en la demanda que el cliente puso en conocimiento de la oficina bancaria de Algete lo sucedido y que D. Guillermo, le indicó como tenía que proceder, que le dijo no se preocupara pues la operación de compra debía de ser confirmada y mientras tanto no se efectuaría el cargo en cuenta, y que estarían pendientes y que efectuado el cargo el citado empleado de la entidad le manifestó que Caixabank había analizado la reclamación y que el proceso por parte de la entidad había llegado a su fin. Manifestaciones no desvirtuadas.

- No consta en las actuaciones que por parte de Caixabank ni por parte del Servicio de Atención al cliente, servicio común al grupo, se le indicara que la reclamación tuviera que dirigirla a otra entidad del grupo, máxime teniendo en cuenta que en las condiciones generales del contrato se indica que se podrán consultar las condiciones del servicio de protección de las tarjetas emitidas al amparo del contrato en la http://portal caixabank.es/tarjetas/caixaprotec.es.html., de donde resulta la asociación de las empresas Caixabank. S.A., y Caixabank Payments & Consumer EFC SAU en la gestión de las tarjetas y su protección.

Desde cuanto antecede se concluye que CAIXABANK, S.A., indujo a error a la actora no solo al participar de forma activa en la resolución de la denuncia formulada por el demandante a través de la oficina bancaria y del Servicio de Atención al cliente, reclamación extrajudicial, sin referencia alguna a su falta de legitimación pasiva ni a la responsabilidad en que pudiera haber incurrido otra empresa del entramado societario de CAIXABANK y como ha quedado dicho atendiendo a la página web que figura en el contrato http://portal caixabank.es/tarjetas/caixaprotec.es.html. La alegación de la falta de legitimación pasiva una vez entablada la reclamación judicial ha de ser reputada contraria a la buena fe, lo que debe rechazarse en atención a cuanto disponen los artículos 7 del Código Civil y 11 de la Ley Orgánica del Poder Judicial .

TERCERO.- El Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, cuya finalidad ha sido transponer al Derecho español la Directiva 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) nº 1093/2010 y se deroga la Directiva 2007/64/CE. Siendo de aplicación al caso de autos los artículoss 41 a 46.

El artículo 41 del citado Real Decreto-ley 19/2018 establece: "Obligaciones del usuario de servicios de pago en relación con los instrumentos de pago y las credenciales de seguridad personalizadas.

El usuario de servicios de pago habilitado para utilizar un instrumento de pago:

a) utilizará el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago que deberán ser objetivas, no discriminatorias y proporcionadas y, en particular, en cuanto reciba un instrumento de pago, tomará todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas;

b) En caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, lo notificará al proveedor de servicios de pago o a la entidad que este designe, sin demora indebida en cuanto tenga conocimiento de ello".

El artículo 42 del mismo texto legal establece: "Obligaciones del proveedor de servicios de pago en relación con los instrumentos de pago.

1. El proveedor de servicios de pago emisor de un instrumento de pago:

a) Se cerciorará de que las credenciales de seguridad personalizadas del instrumento de pago solo sean accesibles para el usuario de servicios de pago facultado para utilizar dicho instrumento, sin perjuicio de las obligaciones que incumben al usuario de servicios de pago con arreglo al artículo 41 [...]".

El artículo 43, relativo a "Notificación y rectificación de operaciones de pago no autorizadas o ejecutadas incorrectamente", señala : "1. El usuario de servicios de pago obtendrá la rectificación por parte del proveedor de servicios de pago de una operación de pago no autorizada o ejecutada incorrectamente únicamente si el usuario de servicios de pago se lo comunica sin demora injustificada, en cuanto tenga conocimiento de cualquiera de dichas operaciones que sea objeto de reclamación, incluso las cubiertas por el artículo 60, y, en todo caso, dentro de un plazo máximo de trece meses contados desde la fecha del adeudo.

Los plazos para la notificación establecidos en el párrafo primero no se aplicarán cuando el proveedor de servicios de pago no le haya proporcionado ni puesto a su disposición la información sobre la operación de pago con arreglo a lo establecido en el título II.

2. Cuando intervenga un proveedor de servicios de iniciación de pagos, el usuario de servicios de pago deberá obtener la rectificación del proveedor de servicios de pago gestor de cuenta en virtud del apartado 1, sin perjuicio de lo dispuesto en el artículo 45.2, y el artículo 60.1".

El artículo 44, que se refiere a la "Prueba de la autenticación y ejecución de las operaciones de pago", establece:

"1. Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago.

Si el usuario de servicios de pago inicia la operación de pago a través de un proveedor de servicios de iniciación de pagos, corresponderá a éste demostrar que, dentro de su ámbito de competencia, la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable.

2. A los efectos de lo establecido en el apartado anterior, el registro por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 41.

3. Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave [...]".

El artículo 45, "Responsabilidad del proveedor de servicios de pago en caso de operaciones de pago no autorizadas", dispone lo siguiente:

"1. Sin perjuicio del artículo 43 de este real decreto- ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada.

La fecha de valor del abono en la cuenta de pago del ordenante no será posterior a la fecha de adeudo del importe devuelto.

2. Cuando la operación de pago se inicie a través de un proveedor de servicios de iniciación de pagos, el proveedor de servicios de pago gestor de cuenta devolverá inmediatamente y, en cualquier caso, a más tardar al final del día hábil siguiente, el importe de la operación de pago no autorizada y, en su caso, restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada.

Si el responsable de la operación de pago no autorizada es el proveedor de servicios de iniciación de pagos, deberá resarcir de inmediato al proveedor de servicios de pago gestor de cuenta, a petición de este, por las pérdidas sufridas o las sumas abonadas para efectuar la devolución al ordenante, incluido el importe de la operación de pago no autorizada. De conformidad con el artículo 44.1, corresponderá al proveedor de servicios de iniciación de pagos demostrar que, dentro de su ámbito de competencia, la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable.

3. Podrán determinarse otras indemnizaciones económicas de conformidad con la normativa aplicable al contrato celebrado entre el ordenante y el proveedor de servicios de pago o el contrato celebrado entre el ordenante y el proveedor de servicios de iniciación de pagos, en su caso".

Por último, el artículo 46, sobre "Responsabilidad del ordenante en caso de operaciones de pago no autorizadas ", establece:

"1. No obstante lo dispuesto en el artículo 45, el ordenante podrá quedar obligado a soportar, hasta un máximo de 50 euros, las pérdidas derivadas de operaciones de pago no autorizadas resultantes de la utilización de un instrumento de pago extraviado, sustraído o apropiado indebidamente por un tercero, salvo que:

a) al ordenante no le resultara posible detectar la pérdida, la sustracción o la apropiación indebida de un instrumento de pago antes de un pago, salvo cuando el propio ordenante haya actuado fraudulentamente, o

b) la pérdida se debiera a la acción o inacción de empleados o de cualquier agente, sucursal o entidad de un proveedor de servicios de pago al que se hayan externalizado actividades. El ordenante soportará todas las pérdidas derivadas de operaciones de pago no autorizadas si el ordenante ha incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41. En esos casos, no será de aplicación el importe máximo contemplado en el párrafo primero.

En todo caso, el ordenante quedará exento de toda responsabilidad en caso de sustracción, extravío o apropiación indebida de un instrumento de pago cuando las operaciones se hayan efectuado de forma no presencial utilizando únicamente los datos de pago impresos en el propio instrumento, siempre que no se haya producido fraude o negligencia grave por su parte en el cumplimiento de sus obligaciones de custodia del instrumento de pago y las credenciales de seguridad y haya notificado dicha circunstancia sin demora.

2. Si el proveedor de servicios de pago del ordenante no exige autenticación reforzada de cliente, el ordenante solo soportará las posibles consecuencias económicas en caso de haber actuado de forma fraudulenta. En el supuesto de que el beneficiario o el proveedor de servicios de pago del beneficiario no acepten la autenticación reforzada del cliente, deberán reembolsar el importe del perjuicio financiero causado al proveedor de servicios de pago del ordenante.

3. Salvo en caso de actuación fraudulenta, el ordenante no soportará consecuencia económica alguna por la utilización, con posterioridad a la notificación a que se refiere el artículo 41.b), de un instrumento de pago extraviado o sustraído.

4. Si el proveedor de servicios de pago no tiene disponibles medios adecuados para que pueda notificarse en todo momento el extravío o la sustracción de un instrumento de pago, según lo dispuesto en el artículo 42.1.c), el ordenante no será responsable de las consecuencias económicas que se deriven de la utilización de dicho instrumento de pago, salvo en caso de que haya actuado de manera fraudulenta".

CUARTO.- Expuesta la normativa aplicable es preciso señalar que si bien la facultad revisora del Tribunal de apelación es total y abarca la totalidad de las cuestiones controvertidas, no constituye un nuevo juicio ni autoriza a la alzada a resolver cuestiones o problemas distintos de los planteados en primera Instancia. Precisamente al Juez de Instancia es a quien le corresponde conforme a los criterios de valoración probatoria de nuestro sistema procesal realizar la ponderación de las mismas en la argumentación de la sentencia hasta concluir la procedencia total o parcial o la improcedencia de los pedimentos de la demanda aplicando la norma jurídica en la tarea de subsunción propia de la línea argumental.

La revisión de la sentencia deberá centrarse en que la valoración de la prueba esté correctamente expresada en los fundamentos de derecho y que la misma no es errónea, arbitraria, insuficiente o incongruente valorándose especialmente el criterio independiente y objetivo del juez de Instancia frente a la ponderación, lógicamente interesada del recurrente.

Se comparte la valoración pormenorizada y exhaustiva que la juzgadora de instancia hace de la prueba practicada y ello porque la prueba concluyente y fundamental en este procedimiento ha sido por la materia sobre la que versa el fundamento fáctico de la acción ejercitada la pericial, por lo que ha de ser traída a colación una constante jurisprudencia que tiene declarado que la prueba pericial es de apreciación libre y no tasada, susceptible de ser valorada por el tribunal según su prudente arbitrio, sin que existan normas preestablecidas que ordenen su valoración. El único criterio legal de apreciación de la prueba pericial lo constituyen las reglas de la sana crítica ( art. 348 LEC ), las cuales no se encuentran codificadas o recogidas en precepto alguno debiendo ser entendidas como las más elementales directrices de la lógica ( SS TS 7 enero 1991, 20 febrero 1992, 13 octubre 1994, 1 julio 1996, 30 diciembre 1997, 15 julio 1999, 14 octubre 2000, 13 noviembre 2001, 20 febrero 2003, 28 octubre 2005, 27 febrero 2006 y 2 noviembre 2012). De ahí que la impugnación y consiguiente revisión judicial de la aplicación de estas reglas sólo sea posible de manera excepcional por haberse llevado a cabo prescindiendo de forma flagrante de las reglas de la sana crítica ( SS TS 9 febrero 2006, 16 diciembre 2009, 9 marzo 2010, 18 julio 2011, 14 marzo 2013 y 29 mayo 2014), esto es, cuando en las apreciaciones de los peritos o en la valoración judicial: se incurra en un error esencial, patente o notorio; se extraigan conclusiones contrarias a la racionalidad, absurdas o que conculquen los más elementales criterios de la lógica; se adopten criterios desorbitados o irracionales; se tergiversen las conclusiones periciales de forma ostensible, se falseen de modo arbitrario sus dictados, se omitan datos o conceptos relevantes de su informe, o se aparten de su propio contexto; y se realicen apreciaciones arbitrarias y contrarias a las reglas de la común experiencia ( SS TS 7 enero 1991, 20 febrero 1992, 13 octubre 1994, 28 enero 1995, 30 diciembre 1997, 28 junio 2001, 8 febrero 2002, 20 febrero 2003, 30 noviembre 2004, 29 abril 2005, 27 febrero 2006, 9 marzo 2010 y 29 mayo 2014).

Del informe pericial aportado por la actora, ratificado en juicio y sometido al principio de contradicción que ha de regir en el proceso civil a través del interrogatorio de las partes resulta acreditado que:

El cargo de la tarjeta se identifica en Malta. Y no se ha identificado el comercio que realiza la transacción y que la empresa no es CRO. (es el servicio contratado).

El perito ha analizado los correos electrónicos recibidos y pudo comprobar que el robo de claves se produjo mediante Phishing. Afirmando que durante la pericial el cliente ha vuelto a recibir otro intento de Phishing.

Que no se ha identificado al Ordenante y por tanto no cumple las características del PS2D de comercio electrónico seguro.

Que no se ha cumplido con los requisitos de comercio electrónico seguro (Algo que se, algo que soy o algo que tengo.

No se ha usado la tarjeta físicamente.

No se ha identificado el móvil del cliente.

Que el SMS de autenticación se envió al número +34 0 que no es el número del cliente.

Que la autorización de la operación no cumple con los requisitos legales.

Que la operación bancaria reclamada es por definición (Directiva UE) no autorizada.

El informe pericial no ha sido desvirtuado con prueba alguna por lo que se concluye que el uso de la tarjeta bancaria fue fraudulento.

No siendo controvertida la denuncia del fraude ante la oficina bancaria y el cargo en la cuenta asociada a la tarjeta efectuado el 26 de junio de 2021 cuando la entidad tenía perfectamente conocimiento del uso fraudulento, igualmente denunciado en la Comisaria de Algete al día siguiente, procede igualmente por dicho motivo declarar la responsabilidad de Caixabank.

Por lo expuesto procede desestimar el recurso de apelación formulado por Caixabank, S.A.

QUINTO.- De conformidad con el artículo 398 LEC procede imponer las costas de la alzada a la parte recurrente.

SEXTO.- La desestimación del recurso determina de conformidad con el apartado número Ocho de la Disposición Adicional Decimoquinta de la Ley Orgánica del Poder Judicial, la pérdida por la parte recurrente del depósito constituido para su interposición.

Vistos los preceptos legales citados, sus concordantes y demás de general y pertinente aplicación al caso de autos,