Sentencia Civil 996/2022 Audiencia Provincial Civil de Zaragoza nº 5, Rec. 20/2022 de 17 de noviembre del 2022

Se aceptan los de la sentencia recurrida; y,

PRIMERO.- Se alza el recurrente, IBERCAJA BANCO S.A., frente a la sentencia de instancia que, estimando la demanda, dictó sentencia condenatoria en los términos que constan en el antecedente de hecho primero de esta resolución.

En la demanda inicial, el demandante, D. Jesús María, denunciaba el incumplimiento de las obligaciones contractuales asumidas por el demandado en el contrato de banca a distancia y contrato de cuenta corriente y/o depósito al haberse realizado 15 transferencias bancarias no autorizadas a través de la plataforma de banca electrónica "Ibercaja Directo", lo cual le produjo unos daños y perjuicios por importe de 56.474,63 euros.

El apelado se opone al recurso y solicita la confirmación de sentencia.

SEGUNDO.- Denuncia el recurrente, en primer lugar, infracción de las normas de interpretación del art. 36 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (LSP). Señala que la sentencia recurrida presume, sin determinar ni aclarar los extremos por los que deben ser consideradas operaciones no autorizadas, cuando dichas operaciones fueron correctamente autorizadas y registradas en los sistemas informáticos de la entidad, y perfectamente documentadas las operaciones, tanto las efectuadas mediante transferencia, como las de Bizum. Las operaciones efectuadas inicialmente, no suponen evidencias o indicios de simulación o fraude, ya que se realizaron de forma correcta por el actor u otra persona, identificándose debidamente con las claves y contraseñas que la entidad había facilitado al actor en la contratación de los distintos servicios de banca electrónica o de tarjeta.

Cierto es que el artículo 36 LSP establece que "Las operaciones de pago se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución. ..." Y también es cierto que, puesto que la operación se realizó, alguien la debió autorizar.

Dicho precepto debe ponerse en relación con el artículo 44, cuyo apartado 1 presume la falta de autorización del ordenante si este la niega, como ocurre en el presente supuesto. A tenor de dicho precepto, "Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago."

En el supuesto sometido a nuestra consideración, D. Jesús María no sólo ha negado haber realizado las operaciones cuestionadas sino que ha quedado demostrado que lo hicieron terceras personas sin su consentimiento.

De los hechos que, de forma prolija, se relatan en la sentencia de instancia y a la que nos remitimos, queremos destacar algunos que no han sido cuestionados y que, en cualquier caso, estimamos debidamente acreditados por medio de la prueba practicada y valorada en su conjunto:

1) Entre la noche del 17 de marzo de 2021 y la mañana del 18 se realizaron 15 transferencias bancarias desde la cuenta corriente de la que es cotitular demandante, 10 a través de la plataforma Bizum (5.000 euros) y 5 a través de la plataforma de banca electrónica "Ibercaja Directo" (78.456,20 euros), más 236,53 euros de comisión, en total 83.692,73 euros.

2) La mayoría de dichas transferencias se realizaron a favor de delincuentes conocidos por la policía a través de la línea NUM000, titularidad de la esposa del demandante, Ramona, usándose para ello una tarjeta SIM duplicada el 17 de marzo a las 17:29 h en un locutorio de la localidad de Murcia.

3) Ibercaja reintegró al demandante la cantidad de 56.474,63 euros.

Lo anterior revela que las transferencias se realizaron por delincuentes que duplicaron la tarjeta SIM de la esposa del perjudicado accediendo a la información confidencial almacenada en ella. Se trata de una modalidad de estafa denominada "SIM swapping" que consiste en duplicar de forma fraudulenta la tarjeta SIM del teléfono móvil de una persona suplantando su identidad, y después, una vez que la víctima se queda sin servicio telefónico, accede a su información personal y toma el control de su banca digital utilizando los SMS de verificación que llegan al número de teléfono.

TERCERO.- Por el mismo motivo, alega el recurrente, en segundo lugar, infracción de las normas de interpretación de los artículos 44 y 45 del Real Decreto Ley 19/2018, de servicios de pago. Mantiene que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago. Si eso no se considerara suficiente, y por lo que respecta a la negligencia del usuario, no fue a la entidad a la que le sustrajeron los datos sino al cliente. Y añade que la entidad bancaria envía a los clientes, de forma personalizada, advertencias, avisos y consejos sobre la forma en que deben actuar los clientes usuarios de Ibercaja Directo, y de IbercajaPay, en el uso de la banca on line, o de compras con tarjeta on line.

Debemos llamar la atención acerca del hecho de que la LSP establece un sistema de responsabilidad cuasi objetiva de la entidad proveedora del servicio de pago.

Así, en caso de ejecutarse una operación de pago no autorizada, el artículo 45 LSP señala que, "el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, ..."

Este sistema de responsabilidad civil tan solo cesa cuando, conforme a lo establecido en el artículo 46, el ordenante ha actuado de manera fraudulenta o ha "incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41. ...", precepto este que impone al usuario la obligación de utilizar el instrumento de pago de conformidad con las condiciones que regulen la emisión y de tomar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas, y en caso de extravío, sustracción o apropiación indebida, notificarlos al proveedor de servicios de pago sin demora. Dicho precepto puntualiza que "el ordenante quedará exento de toda responsabilidad en caso de sustracción, extravío o apropiación indebida de un instrumento de pago cuando las operaciones se hayan efectuado de forma no presencial utilizando únicamente los datos de pago impresos en el propio instrumento, siempre que no se haya producido fraude o negligencia grave por su parte en el cumplimiento de sus obligaciones de custodia del instrumento de pago y las credenciales de seguridad y haya notificado dicha circunstancia sin demora." Ahora bien, dicha norma, en el apartado 2 previene que, "Si el proveedor de servicios de pago del ordenante no exige autenticación reforzada de cliente, el ordenante solo soportará las posibles consecuencias económicas en caso de haber actuado de forma fraudulenta. En el supuesto de que el beneficiario o el proveedor de servicios de pago del beneficiario no acepten la autenticación reforzada del cliente, deberán reembolsar el importe del perjuicio financiero causado al proveedor de servicios de pago del ordenante."

De lo anterior resulta que, tratándose de operaciones no autorizadas como es el caso, salvo actuación fraudulenta, incumplimiento deliberado o negligencia grave del ordenante, la responsabilidad será del proveedor del servicio de pago, lo que supone que a él le corresponde la carga de la prueba de que la orden de pago " no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago"

Esta conclusión responde a la lógica aplastante de que, si ha sido la banca la que principalmente se ha beneficiado de las nuevas tecnologías, abaratando costes con el sistema de convertir a los clientes en una especie de empleados suyos sin sueldo, lo que le permite cerrar sucursales y despedir empleados, justo será que se haga cargo de ese margen de riesgo que ha introducido el uso de las nuevas tecnologías y que antes, cuando las operaciones se hacían presencialmente, era inexistente.

Y queremos destacar que, para quedar exento de responsabilidad, el Banco deberá acreditar no sólo que la orden de pago " no se vio afectada por un fallo técnico", que es en lo que se centra el recurrente, sino tampoco por "otra deficiencia del servicio prestado por el proveedor de servicios de pago." Esto quiere decir que el banco debe actuar con la diligencia exigible, que no es sólo la reglamentariamente prevista sino la adecuada a las circunstancias de personas, lugar y tiempo. Entre estas, cobran especial relevancia datos tales como, el perfil del cliente, los movimientos inusuales, los importes dispuestos, la hora en que se hace la operación, etc.

Claro está, el proveedor de servicios de pago podrá quedar exento de responsabilidad si prueba que el suceso se produjo por la actuación dolosa o gravemente negligente del ordenante. Pero incluso en estos casos la responsabilidad del cliente queda devaluada cuando el banco no exige la autenticación reforzada del cliente.

No ha acreditado la entidad recurrente qué negligencia cometió D. Jesús María que permitió que unos delincuentes le duplicaran la tarjeta SIM. Como muy bien sabe el banco, esto se puede lograr por diversos medios, como el "pharming", un tipo de cibercrimen muy semejante al phishing, en el que el tráfico de un sitio web es manipulado para permitir el robo de información confidencial a través de hackers o por medio de la introducción de virus o spyware en los terminales, o como el "hijacking" o secuestro, de conexión TCP/IP, de una página web, de sesión, de domino, etc., o por medio de determinadas App, como dijo el testigo el Sr Fermín, que captan por medio de un malware todos los datos que obran en el dispositivo en el que se instalan, incluyendo claves, números de usuario, firma, números de teléfono, entre otros.

Como se puede suponer, se trata de ataques que poco tienen que ver con el comportamiento del usuario y pueden y suelen pasar desapercibidas. Este es también el parecer del Grupo de fraudes tecnológicos de la Brigada Regional de Policía Judicial, que en su informe dice: "Se significa que lo que le ha ocurrido al denunciante podría pasarle a absolutamente cualquier persona ya que la seguridad tanto en las compañías telefónicas como en los propios bancos no es la adecuada a juicio de esta Unidad." Por ello no estamos en absoluto de acuerdo en que el robo o sustracción de las claves suponen una clara negligencia del usuario que, en cualquier caso, ha de ser grave y además, demostrarse.

Las advertencias genéricas de los bancos no pueden servir para imputar negligencia al usuario. Es el banco quien ofrece un producto en principio seguro, pero conociendo los distintos riesgos de los que avisa, le corresponde adoptar las medidas de seguridad o control necesarias. Como dijimos en nuestra sentencia de 9 de julio de 2022 (Roj: SAP Z 1482/2022), no basta con medidas genéricas de protección o avisos estereotipados de cuidado, pues tales avisos ostentarían la calificación de "formulas predispuestas", vacías de contenido. No son los clientes los que deben prevenir ni averiguar las modalidades de riesgos que el sistema conlleva, ni prevenir con su asesoramiento experto dichos riesgos.

Como hemos dicho, el recurrente se centra en inexistencia de fallos técnicos, pero olvida otros aspectos reveladores de otras deficiencias en el servicio prestado.

No acabamos de comprender como es que, un hecho tan inusual como realizar quince transferencias en una noche por un importe superior a los 80.000 euros, no haya hecho saltar las alarmas en ese mismo momento, y no el día siguiente y ni siquiera por iniciativa propia, sino por una llamada del Banco Santander alertando de la recepción de una transferencia sospechosa.

Y mucho menos comprendemos que, a pesar de las advertencias hechas por D. Jesús María en la sucursal en fechas inmediatamente anteriores al suceso de que había recibido varios SMS de transferencias que no obedecían a órdenes por él emitidas, así como dos alertas de seguridad comunicadas por Google, la entidad no haya extremado las precauciones.

CUARTO.- En tercer lugar, denuncia el recurrente errónea valoración de la prueba testifical del responsable de seguridad de la información de la entidad bancaria, D. Fermín, ya que dicho testigo nada afirmó sobre la introducción de la firma electrónica, sino que explicó los pasos que debían seguirse para realizar las operaciones discutidas de identificación del usuario, autenticación de la operación y el envio de SMS como doble factor de autenticación de la operación. El testigo explicó también como el factor de doble factor de autenticación, introducido por las entidades bancarias, como sustitución de la tarjeta de coordenadas es de mayor seguridad en las operaciones de pago on line.

La declaración de dicho testigo es la que obra en autos, pero el hecho de que no haya hablado de la firma electrónica en nada afecta al fallo de la sentencia, que no se funda en su declaración sino en la inexistencia de negligencia grave por parte del usuario de la banca electrónica que aboca a la responsabilidad de la entidad financiera dado el régimen de responsabilidad cuasi-objetiva que opera en este ámbito, y a mas a mas, por vulneración de la cláusula tercera in fine del Contrato Ibercaja Directo, donde se señala que, por seguridad, Ibercaja podrá solicitar del titular la confirmación por escrito de determinadas operaciones realizadas a través del servicio Ibercaja Directo, en función de su cuantía o características específicas o bien cuando, a juicio razonable de esta entidad, existieren dudas sobre la identidad del ordenante, y ello porque, a juicio del juez de instancia, que esta Sala comparte plenamente, como quedó dicho en el precedente fundamento, las operaciones en cuestión no merecen sino ser calificadas como movimientos que se salen de lo ordinario, por lo que deberían haber sido detectadas por los sistemas técnicos de Ibercaja de forma que se hiciere operativa la cláusula de garantía antes mencionada.

Insiste el recurrente que Ibercaja adoptó las medidas de seguridad precisas incorporando el doble factor de autenticación en cumplimiento de la normativa de servicios de pago, como así explicó el testigo Sr. Fermín.

La sentencia no dice otra cosa. De hecho, afirma que "En el caso de las OTP (es lo que se estima se da en este caso), al realizar la operación financiera se envía al número de teléfono móvil, que previamente se ha dado de alta en la cuenta, un mensaje SMS con un código (OTP) que se debe introducir en la web o app donde se esté realizando la compra o en el servicio bancario en el que se esté efectuando una transacción. De esta manera, el doble factor se consigue al conocer los datos bancarios y disponer del número de teléfono móvil donde recibir la contraseña de un solo uso." Y concluye que "el sistema existente en Ibercaja que por la forma de diseño se estima que (con todas las prevenciones al tratarse de una cuestión de orden muy técnico), si se acomoda al régimen normativo existente, siendo de señalar que ante una sospecha de obtención de datos (y como indicó el Sr Fermín), el sistema de Ibercaja permite perfectamente al cliente darle un nuevo nombre de usuario y una nueva clave de forma que los datos que pudieren haber obtenido los delincuentes ya no tienen valor y eficacia alguna."

Señala el recurrente que hay contradicción entre esta afirmación y la de que se trata de una banca segura consignada en el párrafo anterior al afirmar que "cabe considerar que se acomoda al régimen normativo antes expuesto". En puridad, la sentencia no dice que se trata de una banca on line segura sino que " se acomoda al régimen normativo existente." En cualquier caso, el concepto de "banca segura" no puede entenderse en el sentido de que es 100 % segura, pues en materia informática lo que hoy es técnicamente lo último, mañana estará obsoleto. Este es uno de los motivos por los que, como dijimos, la diligencia no se agota con el cumplimiento de las normas, que en esta materia tienden a quedar obsoletas, y mucho menos cuando media de por medio un contrato, pues como dice el artículo 1258 CC, los contratos obligan "no sólo al cumplimiento de lo expresamente pactado, sino también a todas las consecuencias que, según su naturaleza, sean conformes a la buena fe, al uso y a la ley."

Y ya que el recurrente saca a colación al testigo Sr. Fermín, esta Sala no quiere dejar pasar la ocasión de expresar sus dudas acerca de que su afirmación de que el sistema de envío de un código por medio de un mensaje SMS al teléfono del cliente que debe introducir para que la transferencia se efectúe es más seguro que el de la tarjeta de coordenadas. Y ello porque tal conclusión es contraria a la que sustenta la policía (Grupo de fraudes tecnológicos de la Brigada Regional de Policía Judicial), en su informe al Juzgado de Instrucción, dice: "El denunciante disponía de una tarjeta de coordenadas y hasta entonces siempre había sido necesario a validar cada transferencia tanto con el código SMS como con una coordenada aleatoria de la Tarjeta de Coordenadas. Sin embargo los estafadores utilizaron la nueva web de Ibercaja en la que lamentablemente solo solicitan el SMS para confirmar una transferencia y no una tarjeta de coordenadas como ocurría con la antigua."

QUINTO. Alega el recurrente infracción de los arts. 1089, 1091 y 1.255 del Código civil, pues desde el momento que los titulares suscriben un contrato de cuenta, de tarjeta o de un servicio de banca on line, asumen la obligación de cumplir con las cláusulas contenidas en las condiciones generales y particulares de dichos contratos, entre ellas la relativas al objeto del contrato (cl.1ª); Identificación y acceso (cl.4ª), que expresa "el titular se identificará y operará mediante las credenciales que lo identifican"; seguridad (cl.5ª) en la que se determinan las medidas precautorias necesarias para garantizar la seguridad y confidencialidad de las credenciales que lo identifican en Ibercaja directo; responsabilidad de Ibercaja (cl.8ª), quedando exonerada la entidad bancaria de responsabilidad por perjuicios ocasionados al usuario por actuaciones de terceros motivados por causas ajenas al banco. Como así ha ocurrido en el presente caso, de conformidad a lo expresado en la denuncia presentada por el actor.

Lo expuesto en los precedentes fundamentos ha de servir para concluir que no se advierte incumplimiento alguno por parte del demandante respecto de las cláusulas 1ª, 4ª y 5ª que la recurrente considera incumplidas, pues, como henos dicho, no fue el cliente quien realizó las operaciones sino unos delincuentes que duplicaron la tarjeta SIM.

En cuanto a la cláusula 8ª de exoneración de responsabilidad, no podemos más que reiterar lo que señala la sentencia de instancia, con la que estamos completamente de acuerdo: "... la cláusula de exención de responsabilidad de Ibercaja (Cláusula 8ª) no puede entenderse válida en tanto en cuanto vaya contra el régimen normativo imperativo derivado de los preceptos antes reseñados".

En los anteriores fundamentos hemos señalado las únicas causas de exoneración de responsabilidad de las entidades proveedora del servicio de pago, entre las que no se encuentra ninguna del tenor de la invocada por la recurrente. Debe tenerse en cuenta que, según el artículo artículo 34 LSP, las normas citadas a lo largo de esta resolución son irrenunciables para los consumidores y las microempresas.

SEXTO.- Por último, mantiene el recurrente que la sentencia recurrida no entra a considerar con la debida exhaustividad y congruencia la totalidad de los hechos controvertidos determinados en audiencia previa.

Por regla general, las sentencias absolutorias no pueden incurrir en incongruencia. La sentencia del TS 722/2015, de 21 de diciembre, dice: "[...] es jurisprudencia que "las sentencias absolutorias no pueden ser por lo general incongruentes, pues resuelven sobre todo lo pedido, salvo que la desestimación de las pretensiones deducidas por las partes se hubiera debido a una alteración de la causa de pedir o a la estimación de una excepción no opuesta por aquellas ni aplicable de oficio por el juzgador" ( Sentencias 476/2012, de 20 de julio , y 365/2013, de 6 de junio ). De tal forma que, como puntualiza esta última Sentencia 365/2013, de 6 de junio , "la sentencia desestimatoria de la demanda es congruente salvo que ignore injustificadamente un allanamiento, la desestimación de la demanda principal venga determinada por la estimación de una reconvención o una excepción no formuladas (en este último caso, salvo cuando sea apreciable de oficio), o pase por alto una admisión de hechos, expresa o tácita, realizada por el demandado"[...]".

Además, la incongruencia omisiva se debe denunciar ante el Juez de instancia según dispone el Art. 215 LEC y conforme reiterada jurisprudencia, de la que es muestra la sentencia de 20 octubre 2010 (Roj: STS 5307/2010), que dice: "Como a?rma la sentencia de esta Sala nº 411/2010, de 28 junio "El artículo 215.2 LEC otorga a las partes una vía para instar la subsanación de la incongruencia de la sentencia, por omisión de pronunciamiento, ante el mismo juez o tribunal que la dictó. Su utilización es requisito para denunciar la incongruencia de la sentencia en los recursos de apelación, conforme al artículo 459 LEC , y extraordinario por infracción procesal, conforme al artículo 469.2 LEC , de forma que la falta de ejercicio de la petición de complemento impide a las partes plantear en el recurso devolutivo la incongruencia omisiva ( SSTS de 12 de noviembre de 2008, RC n.º 113/2003 y 16 de diciembre de 2008 , RC n.º 2635/2003 )."

Si lo que se alega es falta de motivación, la sentencia del TS de 22 de noviembre de 2018 (ROJ: STS 3967/2018) señala que "que la motivación no requiere una mención expresa a todos los argumentos que han sido invocados por las partes y que la supuesta falta de congruencia, que debería referirse a las pretensiones formuladas en su recurso, en todo caso debió ser objeto de petición de complemento o subsanación, tal y como exige la jurisprudencia interpretativa del art. 469.2 LEC ( sentencias 634/2010, de 14 de octubre , 241/2015, de 6 de mayo)." Y el Tribunal Constitucional circunscribe dicha exigencia a ciertos límites en sentencias tales como la nº 13/2001l y la 9/2015l, en la primera de las cuales se dice con criterio reiterado en la segunda, que desde la perspectiva del derecho a la tutela judicial efectiva, "no es exigible un razonamiento judicial exhaustivo y pormenorizado de todos los aspectos y perspectivas que las partes puedan tener de la cuestión que se debate, sino que basta con que el Juzgador exprese las razones jurídicas en las que se apoya para tomar su decisión, de modo que deben considerarse suficientemente motivadas aquellas resoluciones judiciales que vengan apoyadas en razones que permitan conocer cuáles han sido los criterios jurídicos esenciales fundamentadores de la decisión, esto es, la ratio decidendi que determina aquélla. No existe, por lo tanto, un derecho fundamental del justiciable a una determinada extensión de la motivación, puesto que su función se limita a comprobar si existe fundamentación jurídica y, en su caso, si el razonamiento que contiene constituye, lógica y jurídicamente, suficiente motivación de la decisión adoptada, cualquiera que sea su brevedad y concisión, incluso en supuestos de motivación por remisión (por todas, SSTC 184/1998, de 28 de septiembre , FJ 2l ; 187/1998, de 28 de septiembre , FJ 9l ; 215/1998, de 11 de noviembre , FJ 3l ; 206/1999 , de 8 de noviembrel , FJ 3, 187/2000 l , FJ 2)."

Ningún reproche puede hacerse a la sentencia de instancia por cuanto la misma expone, y además lo hace de forma exhaustiva, las razones por las que llega a la conclusión que aparece plasmada en el fallo, y lo hace con argumentos lógicos, razonables y comprensibles. Así pues, no se aprecia en dicha sentencia que la motivación sea arbitraria o carente de fundamento, ni incongruente con las pretensiones articuladas por las partes, sino que por el contrario, justifica de manera más que razonable por qué desestima las pretensiones articuladas en la demanda. Otra cosa es que el recurrente no esté de acuerdo con tales argumentos y conclusiones, como no lo estará con esta sentencia. Pero como dice la sentencia TS de 19 de diciembre de 2018, "En el caso, con independencia de la corrección del fallo, la sentencia recurrida señala las razones que lo justifican, lo que excluye el vicio de falta de motivación ( sentencia 225/2016, de 8 de abril ), sin que sea lo mismo falta de motivación que motivación satisfactoria para la parte."

SÉPTIMO.- De acuerdo con lo dispuesto en los artículo 398.1 de la Ley de Enjuiciamiento Civil procede imponer las costas a la parte recurrente.

Con pérdida del depósito constituido para recurrir.

Vistos los preceptos legales citados, concordantes y demás de pertinente aplicación,