Sentencia Civil 43/2025 Audiencia Provincial Civil de Cáceres nº 1, Rec. 394/2024 de 15 de enero del 2025

PRIMERO.- Objeto del Recurso.

En la demanda rectora del presente procedimiento la parte actora D. Luis Miguel, accionan frente a UNICAJA BANCO SA, interesando el dictado de una sentencia por la que se condene a la entidad financiera demandada al pago de 3.780 euros, más los intereses legales, correspondiente a las operaciones de cargo no autorizadas, el 24 de marzo de 2023, en la cuenta bancaria que el actor tienen en la entidad demandada.

Refiere el demandante en apoyo de su pretensión que recibió un mensaje por SMS en su teléfono móvil desde el número 952076263, que es el teléfono del servicio de atención al cliente de la propia entidad bancaria, en el que se comunicaba que se iba a realizar una transferencia desde su cuenta a una de Caixabank por importe de 1000 €. Después recibió, desde el mismo número, una llamada en el que un tercero, haciéndose pasar por empleado de la entidad le pidió una serie de datos para cancelar dicha operación fraudulenta, si bien no sólo no se canceló dicha operación, sino que desde su cuenta se realizaron tres trasferencias a través de la aplicación bizum por importe de 500 euros, 450 euros y 30 euros. Posteriormente, en fecha 27 de marzo se hicieron dos pagos no autorizados con tarjeta por importe de 1000 euros y 800 euros, por lo que inmediatamente se puso en contacto con el banco, para el bloqueo y cancelación de sus tarjetas, y acudió a la Guardia Civil para presentar la correspondiente denuncia. Con posterioridad reclamó a la entidad bancaria la restitución del importe de las operaciones no autorizadas. Con fecha 25 de mayo de 2023, la entidad responde negativamente la reclamación presentada.

La entidad financiera demandada, UNICAJA BANCO S.A., se opuso a la pretensión del actor alegando que las operaciones no autorizadas tuvieron su causa en un incumplimiento grave de las obligaciones que incumben al actor por falta de diligencia en la custodia de sus claves y niega cualquier tipo de responsabilidad. Se trata, por tanto, de una actuación negligente que excusa cualquier imputación de responsabilidad a la entidad financiera que no solo no podía actuar de forma diferente a como lo hizo, sino que, además, debe considerarse que se trata de una entidad que tiene acreditada la seguridad y la eficacia de la banca online. Por ello, solicitó la desestimación de la demanda y la imposición de costas a la actora.

Con fecha 19 de febrero de 2024, el juzgado de instancia dictó sentencia por la que estima la demanda (...) y condena a la entidad financiera al abono de 3.780 euros, así como al pago de los intereses legales de conformidad con lo dispuesto en el fundamento jurídico cuarto de esta resolución, así como al pago de las costas.

Entiende la juzgadora de instancia que corresponde a la entidad bancaria proveedora de los servicios de pago la carga de la prueba sobre la autenticidad y seguridad de la operación, acreditando no únicamente que ha implementado las medidas de seguridad necesarias, sino también la remisión al usuario del servicio de pago de la clave aleatoria de un único uso y que fue el quien la utilizó para validar la operación, así como la negligencia por parte del ordenante. En el caso de autos, la operación habría sido autorizada por un tercero que de manera fraudulenta obtuvo las claves del demandante, sin que resulte apreciable una falta de diligencia de este, por lo que corresponde al proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada.

Asimismo, añade la juzgadora de instancia, además de esta obligación legal de las entidades bancarias existe una responsabilidad derivada del contrato de depósito, pues el depositario está obligado a guardar la cosa y restituirla, al depositante o a sus causahabientes, cuando le sea pedida y solo queda liberado de tal obligación cuando el pago se realice a la persona en cuyo favor estuviese constituida la obligación, o a otra autorizada para recibirla en su nombre, sin que la entrega de la cosa depositada a persona distinta produzca el efecto extintivo de la obligación de devolución del depositario.

Frente a dicha resolución se alza en apelación la entidad demandada, alegando varios motivos que, en síntesis, se refieren:

Primero.- Error en la valoración de la prueba.Inexistencia de relato defraudatorio. Negligencia en la actuación por parte del cliente. Responsabilidad de este al autorizar el acceso a la banca digital y autorización de claves. Considera la entidad apelante que la firma de un contrato de banca a distancia si bien implica la obligación del banco de velar por la seguridad, garantizando un entorno seguro para realizar las operaciones, también exige a los clientes el buen uso, responsable y adecuado del sistema que se pone en sus manos. Si bien en el presente caso el banco ha cumplido sus obligaciones, no ocurre lo propio respecto del cliente que transfiere sus claves permitiendo al ciberdelincuente entrar y operar en la banca digital. De este modo, entiende, ha actuado de forma negligente.

Segundo.- De la actuación de la entidad bancaria.Inexistencia de brecha de seguridad en los sistemas informáticos de UNICAJA Banco, considerando que no ha existido un deficiente funcionamiento en los sistemas de la entidad ni ha padecido brecha de seguridad alguna ni fallo técnico en la seguridad. La entidad que cumple los parámetros de autenticación, funcionando el servicio correctamente, como acredita el número de operaciones que se realizan anualmente. Entiende la recurrente que lo ocurrido es fruto de la actuación irresponsable del cliente, siendo la entidad sujeto pasivo, ajeno al fraude y víctima por lo que no puede ser considerado, en ningún caso, responsable de lo ocurrido. El fraude no puede consumarse, habida cuenta del sistema de seguridad implementado por la entidad, requiriendo la colaboración del actor para consumar el fraude. De este modo, es la negligencia del cliente, desatendiendo su obligación de custodia de las claves, la que permite que la actuación de los ciberdelincuentes se lleve a cabo.

Tercero.- Seguridad del sistema.El mismo es perfectamente seguro y no falla. Ello lo acreditan los miles de millones de operaciones que se realizan anualmente. Afirma que pocas instituciones tienen tan acreditado el éxito, la eficacia y la seguridad en nuestros tiempos como la banca por internet. Teniendo en cuenta los riesgos que conlleva la seguridad es una necesidad ineludible, de tal modo que permita mantener la seguridad en el tráfico económico aún en el escenario actual en que las transacciones de este tipo son, sin duda, la norma. El sistema funciona y lo hace de forma impecable, de tal modo que el problema dimana del cliente que entrega, indebidamente, sus claves de seguridad.

Cuarto.- El contrato de depósito,considera que junto a la responsabilidad derivada del depósito de las cantidades en la cuenta corriente existe otra derivada del mandato esto es la obligación de atender a las órdenes de pago que realice el cliente conforme a lo pactado. Para la Entidad Financiera era el cliente quien estaba ordenando a través de la banca digital la realización de las operaciones financieras que ahora reclama, pues se había verificado a través del sistema de claves OTP alegado con anterioridad.

Por todo ello, interesa la revocación de la resolución recurrida y que se dicte otra por la que se desestime la demanda, con imposición de costas a la parte apelada.

Al recurso se opone la demandante, solicitando la confirmación de la sentencia apelada.

SEGUNDO.- Error en la valoración de la prueba.

En esencia, los tres primeros motivos que conforman el presente recurso de apelación pueden reconducirse a uno, error en la valoración de la prueba, referida a una llamada "supuestamente" de UNICAJA, en las que un presunto empleado quiere asegurarse que es ella quien está realizando operaciones financieras a través de su banca digital; la necesaria participación y colaboración del actor que permita consumar la realización del fraude y la inexistencia de brecha de seguridad. Por ello se advierte a las partes que se procederá al análisis del recurso en la forma y disposición expuesta, sin perjuicio de dar cumplida respuesta a todos y cada uno de los aspectos y/o vertientes que se plantean.

En primer lugar, considera la entidad apelante que, la llamada recibida es falsa y no proviene de la entidad, y menos aún es responsabilidad de la entidad que el mismo aparezca en el canal de la entidad, por lo que se trata de responsabilizar a la entidad del acceso de un tercero a la banca digital y realizar las operaciones cuya cuantía reclaman. De este modo, en su opinión, se produce indefensión porque no se prueba por la actora cómo se ha sustanciado el fraude; siendo únicamente la actuación negligente del actor la que permite el acceso del tercero.

En segundo lugar, el fraude no puede consumarse si no es con su participación habida cuenta del sistema de seguridad implementado por la entidad. Y, no concurriendo brecha alguna de seguridad, solo la colaboración del actor permite consumar el fraude.

Centrado el recurso de apelación en los términos que, sucintamente, han quedado expuestos y a partir de las alegaciones de la entidad apelante, la controversia litigiosa sustantiva a la que se contrate el presente recurso se centra fundamentalmente en las discrepancias que muestra la representación procesal de la entidad bancaria frente a la decisión del tribunal de instancia que, realizando una correcta interpretación y aplicación de las normas que regulan el asunto planteado, considera que en materia de seguridad de la banca online existe una responsabilidad cuasi objetiva por parte de las entidades bancarias.

Resolviendo conjuntamente los motivos fáctico y jurídico de la apelación es oportuno señalar que son reiteradas las decisiones de las Audiencias Provinciales que atribuyen a las entidades prestadoras de servicios de pago, responsabilidad patrimonial cuasi objetiva, por el riesgo que el propio sistema de pagos conlleva, con inversión de la carga probatoria, al presumirse la falta de autorización si el titular lo niega, como sucede en el caso concreto, y de la que solo puede exonerarse mediante la prueba de la culpa grave del ordenante, correspondiendo a la entidad acreditar que la operación ordenada fue auténtica y no estuvo afectada por un fallo técnico o por otra deficiencia como pudiera ser un supuesto de phishing, tal y como establece el art.44.1. del Real Decreto-Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, cuya finalidad ha sido transponer al Derecho español la Directiva 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) núm. 1093/2010 y se deroga la Directiva 2007/64/ CE, al establecer que "Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago".

Este sistema de responsabilidad civil solo cesa cuando conforme a lo establecido en el artículo 46 del mismo texto legal, el cliente ha actuado fraudulentamente o con negligencia grave a la hora de aplicar los medios razonables de protección de seguridad personalizados de que haya sido provisto, o en el caso de que no haya comunicado a la entidad el pago no autorizado, en cuanto tenga conocimiento del mismo, siempre y cuando la entidad disponga de un sistema de comunicación adecuado, gratuito y disponible, en todo momento, que le permita al usuario del servicio efectuar la comunicación de la actuación fraudulenta.

Esta Sala (SAP CC 103/2024, de 20 de febrero - ECLI:ES:APCC:2024:103-), en línea con la doctrina de otras audiencias provinciales (SAP de Lleida ( Sección 2ª) en su sentencia núm.- 30/2022, de 17 de enero), ha señalado los parámetros interpretativos comunes seguidos por los tribunales responden al siguiente esquema:

1).- Como punto de partida, la normativa de consumo aplicable y la naturaleza adhesiva del contrato, con significativa referencia a los artículos 1281 y siguientes del Código Civil y al principio de interpretación a favor de la parte más débil en la relación contractual.

2).- El examen de la seguridad del sistema y las fugas que de este sistema puedan producirse, teniendo presente el hecho de que las entidades bancarias tienen la doble condición de beneficiarias y de generadoras de riesgo.

3).- El régimen de las respectivas obligaciones de las partes. En lo que al consumidor se refiere, el nivel de diligencia exigible -en términos generales- es la del buen padre de familia, mientras que respecto de la entidad bancaria la diligencia exigible es la del profesional.

4).- Las reglas de la carga de la prueba, esto es, qué debe acreditar cada una de las partes litigantes en este tipo de asuntos.

A la vista de las alegaciones de la parte apelante, en materia de carga de la prueba interesa destacar la sentencia núm.- 632/2018 de la Audiencia Provincial de Alicante, de 12 de marzo de 2018 (a la que también se refiere la parte apelada en su escrito de oposición al recurso), que señala: "Y es que no es cierto que la carga de la prueba sobre la implementación de medidas de seguridad adecuadas, suficientes, eficientes y actuales al nivel de riesgo modalidades de ataques informáticos en la red bancaria de banca online lo sea a cargo del usuario del sistema, pues el marco de responsabilidad establecido para el caso de operaciones de pagos hechos por proveedores de servicios no autorizadas o ejecutadas incorrectamente, es el de la cuasi-objetividad tal cual se desprende de la regulación específica sobre la materia -a la que hemos aludido-, sin perjuicio del régimen general de la carga de la prueba. Tres son las razones que abogan la contrariedad del argumento del recurrente, a saber, el contenido del precepto que se dice infringido - art. 217 LEC - y, por llamada del mismo, la legislación de consumo y la legislación específica de servicios de pago.

Por lo que hace al contenido del art.217 LEC, hemos de recordar que el párrafo séptimo establece que " para la aplicación de lo dispuesto en los apartados anteriores de este artículo el Tribunal deberá tener presente la disponibilidad y facilidad probatoria que corresponde a cada una de las partes del litigio". Para valorar el alcance de esta norma al caso hemos de entender que la regla general aplicable a la prestación de servicios que no tenga adjetivada una especial peligrosidad o requiera de un particular cuidado ha de ser la regla general del art. 217 LEC , de manera que cuando se trata de prestaciones contractuales o no contractuales, del tenor del art 1101 y 1902 Cc en relación al art. 217 LEC se desprenderá que corresponde al perjudicado demandante la carga de la prueba de la culpa del causante del daño demandado. Ahora bien, no es así cuando "una disposición legal expresa" -art 217.6- imponga al demandado la carga de probar que hizo cuanto le era exigible para prevenir el daño; o cuando tal inversión de la carga de la prueba venga reclamada por los principios de "disponibilidad y facilidad probatoria " a los que se refiere el artículo 217.7 LEC , y ello sin perjuicio de que en aplicación de lo dispuesto en el artículo 386 LEC el tribunal pueda imputar la culpa al demandado del resultado dañoso acaecido cuando, por las especiales características de éste y conforme a una máxima de la experiencia, pertenezca a una categoría de resultados que típicamente se produzcan (sean realización de un riesgo creado) por impericia o negligencia, y no proporcione el demandado al tribunal una explicación causal de ese resultado dañoso que, como excepción a aquella máxima, excluya la culpa por su parte.

La lógica de la norma de acceso a la fuente de la prueba y facilidad probatoria en lo que hace a la implementación de medidas de seguridad en la prestación de un servicio que se da por las entidades de crédito a sus clientes a través de una oficina virtual que se desenvuelve en redes bien de internet, bien de comunicaciones móviles, se presenta como criterio más que de razonable atención al caso en el que la propia seguridad y debida reserva de la red se contrapone al acceso por parte de un tercero distinto al titular de la misma que asume poner en la red pública un conjunto de comunicaciones para permitir operaciones bancarias que requiere de soluciones tecnológicas muy avanzadas que minimicen las amenazas contra la autenticidad, integridad y la confidencialidad de los datos que circulan a través de la red. Por otro lado el apartado 6 del artículo 217 LEC dispone que las normas contenidas en los apartados precedentes "se aplicarán siempre que una disposición legal expresa no distribuya con criterios especiales la carga de probar los hechos relevantes".(...) Así resulta además del particular régimen jurídico de responsabilidad en la prestación de servicios de pago que, con la llamada del 217.6 LEC, penetra en la configuración de la específica modalidad de responsabilidad que asume este prestador y con ello, la variación del régimen legal del sistema de gravamen probatorio (...)".

En el supuesto enjuiciado los documentos aportados por la parte apelada, entre otros, los mensajes de textos recibidos (doc. 3 a 5 de los aportados con la demanda, ac. núm. 5 del visor) acreditan la existencia de un fraude. De hecho, tras la reclamación efectuada a la entidad, en su respuesta (doc. núm. 11 aportado con la demanda), esta misma afirma que "(...) si bien no se discute que en el origen de la operación se pueda encontrar una actuación fraudulenta (...)". En ningún caso puede estimarse la alegación de indefensión realizada por la apelante, conocedora de las circunstancias fácticas que concurren, teniendo en cuenta, como se ha expuesto, que en este tipo de supuestos la inversión de la carga de la prueba viene reclamada por los principios de "disponibilidad y facilidad probatoria".

De otro lado, la discrepancia se centra en si el comportamiento seguido por la parte apelada debe ser calificado como negligente, pues insiste la recurrente en que constituye una negligencia grave acceder a un enlace de SMS y facilitar las credenciales de seguridad personalizadas, sin antes detenerse a leer lo que dice el mensaje. Como ha declarado esta Sala (entre otras, SSAP CC 103/2024, de 20 de febrero, ECLI:ES:APCC:2024:103; 323/2024, de 3 de mayo, ECLI:ES:APCC:2024:323), cualquiera que fuera la modalidad empleada del conocido como phishing, en modo alguno cabe apreciar, como pretende la recurrente, que la actuación seguida por el cliente es un comportamiento negligente de la gravedad y entidad suficiente para hacerle responsable del quebranto sufrido.

En este punto, debe tenerse en cuenta que es jurisprudencia reiterada en interpretación de la Directiva (UE)2015/2366, sobre normas técnicas de regulación para la autenticación reforzada, de aplicación al supuesto enjuiciado, que la negligencia que determina la responsabilidad del cliente es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional. Pero, es más, tomando como parámetro del actuar negligente el artículo 1104 del Código Civil, que exige la diligencia asociada a la naturaleza de la obligación y a las circunstancias personales, de tiempo y lugar, tampoco cabría calificar de negligencia grave la conducta seguida por la hija de los actores en atención al método fraudulento empleado, de una complejidad y grado de perfección difícilmente detectable. En estas circunstancias, ninguna duda hay de que es preciso ser un experto en la materia para poder detectar que la comunicación obedecía a una estafa o fraude. Se podrá discutir, en todo caso, que el comportamiento de Luis Miguel no fue diligente, pero para hacerle soportar las consecuencias del fraude o estafa sufrida es preciso apreciar negligencia, y además que dicha negligencia sea grave.

Como dice la sentencia núm.- 623/2022, de 1 de diciembre, de la Audiencia Provincial de Pontevedra (sección tercera), "Partiendo de que la autorización propiciada por el cliente se funda en comportamiento fraudulento de tercero -extremo admitido por la demandada-, deberá entenderse que la negligencia plasmada en la cesión de datos personales producida se debió al complejo engaño recibido, y no a la iniciativa o acción directa personal del usuario, que, en definitiva, cumple con las obligaciones señaladas en art. 41 LSP , excluyéndose razonablemente la gravedad en el reproche por falta de custodia de claves y, con ello, la responsabilidad con arreglo a art. 46.1 dela Ley y art. 1104 CC , persistiendo el incumplimiento por la prestadora del servicio del deber esencial de facilitar un sistema de banca telemática seguro".

En similar sentido, este tribunal manifestaba en la sentencia núm.- 132/2022, de16 de febrero, "que el demandante observó toda la diligencia que objetivamente le puede ser exigible cuando comprobó la realización en sus cuentas bancarias de operaciones que no había realizado ni autorizado y que, indudablemente, eran fraudulentas, como son, fundamentalmente, las siguientes actuaciones: la denuncia de los hechos ante la Guardia Civil y la comunicación de las disposiciones de efectivo a la entidad bancaria. Luego no le fue imposible evitar las disposiciones efectuadas. Por tanto, la entidad financiera demandada no puede invertir la carga de la prueba exonerándose de la actividad acreditativa que le corresponde al amparo de la alegación de que todas las operaciones habían sido autenticadas, registradas y contabilizadas, en la medida en que, de ser así, lo fueron de forma fraudulenta porque el titular de los contratos no las autorizó y comunicó formalmente el fraude". Es a la entidad financiera a quien corresponde acreditar la falta de diligencia del usuario, sin apelar a meras conjeturas, no demostradas, como en el presente caso cuando se refiere a la facilitación de las credenciales a un tercero.

Por último, alega la entidad apelante inexistencia de responsabilidad de la entidad e inexistencia de brecha de seguridad.

En este punto, lo dicho hasta ahora no es obstáculo a las alegaciones efectuadas sobre la seguridad del sistema y la inexistencia de brechas de seguridad, pues si bien el sistema puede ser genéricamente seguro, no lo fue en el caso concreto. Así, el propio banco asume en su contestación que el actor fue objeto de un fraude, siendo la asunción de este engaño y/o fraude la constatación evidente de que el banco no había implementado todos las medidas o mecanismos necesarios para proteger a su cliente de ataques realizados por ciberdelincuentes, lo que comporta incumplimiento de su obligación de garantizar la seguridad de los servicios de pago efectuados a través de internet o dispositivos móviles. Responsabilidad de la que tampoco queda exenta con la remisión de avisos o advertencias genéricas a través de la web o en el propio contrato, manifestando en cuanto a esto la sentencia de la Audiencia Provincial de La Rioja de 17 de febrero de 2023 que "es el banco quien ofrece este producto, en principio seguro, y es cierto que remite avisos y advertencias genéricas sobre su utilización; pero conociendo los distintos riesgos de los que avisa, le corresponde adoptar las medidas de seguridad o control necesarias, que en este caso no consta que se adoptaran. Y no basta con medidas genéricas de protección o avisos estereotipados de cuidado, pues tales avisos ostentarían la calificación de "formulas predispuestas", vacías de contenido. No son los clientes los que deben prevenir ni averiguar las modalidades de riesgos que el sistema conlleva, o estar al tanto de los mismos, ni prevenir con su asesoramiento experto dichos riesgos".

En definitiva, procede desestimar los tres primeros motivos sobre los que se sustenta el recurso y confirmar la sentencia de instancia.

TERCERO.- Contrato de depósito.

El cuarto motivo que sustenta el presente recurso se refiere al contrato de depósito, considerando la entidad apelante que junto a la responsabilidad derivada del depósito de las cantidades en la cuenta corriente existe otra derivada del mandato, esto es, la obligación de atender a las órdenes de pago que realice el cliente conforme a lo pactado. De este modo, para la entidad era el cliente quien estaba ordenando a través de la banca digital la realización de las operaciones financieras que ahora reclama, pues se había verificado a través del sistema de claves OTP alegado con anterioridad.

Sobre el contrato de cuenta corriente, señala la STS de 19 de diciembre de 1995 que "es en el Derecho español una figura atípica que encuentra su singularidad o elemento causal, desde el punto de vista de los titulares de la cuenta, en el llamado "Servicio de Caja", encuadrable en nuestro Derecho dentro del marco general del contrato de comisión; el Banco en cuanto mandatario ejecuta las instrucciones del cliente (abonos, cargos...) y como contraprestación recibe unas determinadas comisiones, asumiendo la responsabilidad propia de un comisionista". La STS de 15 de julio de 1993 establece: "Ha de hacerse constar que la cuenta corriente bancaria va adquiriendo cada vez más autonomía contractual, despegándose del depósito bancario que le servía de base y sólo actúa como soporte contable. En todo caso la cuenta corriente bancaria expresa siempre una disponibilidad de fondos a favor de los titulares de la misma contra el Banco que los retiene...", y añade: "el Banco en cuanto mandatario, ejecuta las instrucciones del cliente, con sus abonos y cargos". Por su parte, la STS de 25 de julio de 1991 recoge como una obligación esencial de la entidad bancaria la de conservar y devolver el dinero depositado, respondiendo de los menoscabos, datos y perjuicios que este haya sufrido por su negligencia.

La STS de 16 de diciembre de 2011 ya señalaba que "[l]a disposición de fondos en una cuenta corriente o de depósito bancaria por parte de una persona que no podía hacerlo por no ser la titular ni estar autorizada por ésta supone un incumplimiento contractual ( SS., entre otras, 23 de noviembre de 2000 , 26 de noviembre de 2003 , 9 de marzo de 2006 ) dada la obligación esencial del Banco de conservar y devolver los fondos depositados como se haya previsto en el contrato y se haya ordenado por las personas autorizadas para disponer de ellos, que, caso de incumplirse, da lugar a la indemnización de daños y perjuicios conforme a los arts. 1101 y 1106 del Código Civil ". Igualmente, la STS de 12 de mayo de 2016 establece que "con carácter general debe señalarse que, conforme a la naturaleza y función del contrato de cuenta corriente bancaria, (..) la comprobación de la veracidad de la firma del ordenante constituye un presupuesto de la diligencia profesional exigible a la entidad bancaria con relación a sus obligaciones esenciales de gestión y custodia de los fondos depositados por el titular de la cuenta, cuyo incumplimiento da lugar a la indemnización de daños y perjuicios, conforme a lo dispuesto en los artículos 1101 y 1106 del Código Civil ".

A su vez, desde el punto de vista legislativo, esa obligación que tiene la entidad bancaria de conservar debidamente los fondos depositados por los clientes y no hacer entrega de los mismos más que cuando se da estricto cumplimiento a las normas habilitadas al efecto, viene recogida en el citado Real Decreto-Ley 19/2018 de servicios de pago y otras medidas urgentes en materia financiera. Disposición que, en sus arts. 41 y siguientes, regula las obligaciones de usuarios y proveedor de servicios de pago, pudiendo destacar de entre ellos, en lo que aquí interesa, lo dispuesto en el art. 44, que se refiere a la "Prueba de la autenticación y ejecución de las operaciones de pago" y el artículo 45 sobre Responsabilidad del proveedor de servicios de pago en caso de operaciones de pago no autorizadas.

La responsabilidad exigida a la entidad demandada, como proveedora del servicio, es la que se deriva de la naturaleza de tal prestación y de la posición contractual en la que se encuentran las partes, lo que le obliga a adoptar, como hemos expuesto en el fundamento anterior, una serie de medidas de seguridad y dotarse de mecanismos de supervisión que permitan detectar operaciones fraudulentas en la prestación de servicios de pago.

CUARTO.- Costas procesales.

De conformidad con el Art. 398 en relación del Art. 394, ambos de la L.E.C. las costas de esta alzada se imponen a la parte apelante al desestimarse el recurso.

VISTOS los artículos citados y demás de general y pertinente aplicación en nombre de S.M. EL REY y por la Autoridad que me confiere la Constitución Española, pronuncio el siguiente: