Sentencia Civil 96/2025 Audiencia Provincial Civil de Madrid nº 14, Rec. 141/2024 de 06 de marzo del 2025

PRIMERO.-Antecedentes.

La demanda presentada por doña Carmen contra Banco Santander, S.A., pretendía la condena de la demandada al pago de 6143'40 €, con causa en los cargos indebidos por ella asentados en la cuenta corriente abierta por doña Carmen, en el importe indicado y entre los días 23 y 24 de Febrero de 2020, cuya restitución debe asumir Banco Santander, S.A., con los intereses legales devengados hasta el completo pago.

Banco Santander, S.A., se opuso a la pretensión, alegando que los cargos que se reputan indebidos en la cuenta bancaria de titularidad de la demandante, en aplicación del Real Decreto-Ley 19/2018, de 23 de Noviembre, de servicios de pago y otras medidas urgentes en materia financiera, fueron consecuencia del incumplimiento de las obligaciones legales asumidas por la perjudicada, mediante negligencia grave.

La sentencia dictada en la primera instancia estima íntegramente la demanda, condenando a Banco Santander, S.A., a reintegrar a la demandante la cantidad de 6143'40 €, más el interés previsto en el art. 1108 Cc. devengado desde la interposición de la demanda.

Interpone recurso de apelación Banco Santander, S.A., denunciando error en la valoración de la prueba sobre el cumplimiento de los deberes asumidos por dicha entidad, así como sobre el incumplimiento, por la parte actora, o por la hija de ésta como mandataria, en los deberes legales de guarda y custodia de sus credenciales de seguridad, por concurrir por parte de éstas negligencia grave en la inobservancia de tales deberes. Asimismo, se argumenta que la sentencia aplica incorrectamente el Real Decreto-Ley 19/2018, de 23 de Noviembre, de servicios de pago y otras medidas urgentes en materia financiera, y la doctrina jurisprudencial que la desarrolla y se invoca en el recurso.

SEGUNDO.-Resolución.

1.- Normativa aplicable.

Para resolver la cuestión controvertida, sobre la pretendida obligación de Banco Santander, S.A., de asumir los cargos asentados en la cuenta bancaria de titularidad de la demandante, en virtud de disposiciones fraudulentas de terceros, debe atenderse a la normativa reguladora de los Derechos y obligaciones en relación con la prestación y utilización de servicios de pago,recogida en el Título III del Real Decreto-Ley 19/2018, de 23 de Noviembre, de servicios de pago y otras medidas urgentes en materia financiera,donde se contemplan las denominadas operaciones de pago no autorizadaspor el usuario de los servicios de pago, así como los derechos y obligaciones legalmente atribuidos al usuario versusel proveedor de los servicios de pago, con distribución de la responsabilidad patrimonial derivada de dichas operaciones de pago no autorizadas.

Dentro del régimen jurídico así configurado, y para la resolución del presente recurso, existen dos aspectos esenciales: (i) el conjunto de obligaciones legales impuestas al usuario de los servicios de pago, y las consecuencias de su incumplimiento, y (ii) las obligaciones impuestas al proveedor de servicios de pago por operaciones no autorizadas, y su tratamiento procesal que atribuye al proveedor la carga de probar la debida autenticación y ejecución de las operaciones de pago.

(i) Por lo que afecta al presente supuesto, sobre las obligaciones del usuario de servicios de pago en relación con los instrumentos de pago y las credenciales de seguridad personalizadas, dispone el art. 41.1.a) del citado Real Decreto-Ley 19/2018, que:

"a) utilizará el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago que deberán ser objetivas, no discriminatorias y proporcionadas y, en particular, en cuanto reciba un instrumento de pago, tomará todas las medidas razonables a fin de proteger sus credencialesde seguridad personalizadas (...)"

(ii) En cuanto a las obligaciones del proveedor de servicios de pago, en su tratamiento procesal generan una responsabilidad civil cuasiobjetiva, toda vez que incumbe al proveedor la doble carga de demostrar la exactitud y corrección de la operación de pago, y la conducta fraudulenta o gravemente negligente en que incurriera el usurario.

Sobre la prueba de la autenticación y ejecución dispone el art. 44 del mismo texto que:

1. Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada,registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago.

Si el usuario de servicios de pago inicia la operación de pago a través de un proveedor de servicios de iniciación de pagos, corresponderá a éste demostrar que, dentro de su ámbito de competencia, la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable.

2. A los efectos de lo establecido en el apartado anterior, el registro por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 41.

3. Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave." (destacados añadidos)

Sobre la exoneración del proveedor del servicio en caso de operaciones de pago no autorizadas por el usurario establece el art. 46 que:

1. No obstante lo dispuesto en el artículo 45, el ordenante podrá quedar obligado a soportar, hasta un máximo de 50 euros, las pérdidas derivadas de operaciones de pago no autorizadas resultantes de la utilización de un instrumento de pago extraviado, sustraído o apropiado indebidamente por un tercero, salvo que:

a) al ordenante no le resultara posible detectar la pérdida, la sustracción o la apropiación indebida de un instrumento de pago antes de un pago, salvo cuando el propio ordenante haya actuado fraudulentamente, o

b) la pérdida se debiera a la acción o inacción de empleados o de cualquier agente, sucursal o entidad de un proveedor de servicios de pago al que se hayan externalizado actividades.

El ordenante soportará todas las pérdidas derivadas de operaciones de pago no autorizadas si el ordenante ha incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41.En esos casos, no será de aplicación el importe máximo contemplado en el párrafo primero.

En todo caso, el ordenante quedará exento de toda responsabilidad en caso de sustracción, extravío o apropiación indebida de un instrumento de pago cuando las operaciones se hayan efectuado de forma no presencial utilizando únicamente los datos de pago impresos en el propio instrumento, siempre que no se haya producido fraude o negligencia grave por su parte en el cumplimiento de sus obligaciones de custodia del instrumento de pago y las credenciales de seguridady haya notificado dicha circunstancia sin demora" (destacados añadidos).

Por lo que ahora interesa, la directriz esencial a considerar es que el usuario del servicio de pago ha de soportar la pérdida patrimonial derivada de operaciones de pago no autorizadas cuando tengan por causa su negligencia grave en el cumplimiento de sus obligaciones legales de custodia del instrumento de pago y de las credenciales de seguridad. Siempre recordando que, cuando los hechos determinantes permanezcan inciertos, soportará las consecuencias el proveedor de servicios de pago, en cuanto asume la carga de la prueba con la amplitud descrita en los anteriores preceptos.

2.- Hechos relevantes y valoración.

Se destacan los hechos y manifestaciones de parte siguientes:

- que la demandante, doña Carmen, es titular de una tarjeta de crédito emitida por Banco Santander, S.A., asociada a cuenta corriente de su titularidad abierta en la misma entidad, así como que doña Carmen carece de los conocimientos necesarios para gestionar tanto el acceso online a dichos productos bancarios, como una cuenta de correo electrónico,

- por lo que delega en otras personas ese tipo de actuaciones, en este caso concretamente en su hija doña Custodia, quien es además titular de la línea de teléfono móvil ( NUM000) y de la cuenta de correo electrónico, DIRECCION000 , proporcionados ambos al Banco para comunicarse con la cliente titular de dichos productos.

- dicho teléfono móvil y correo electrónico fueron los utilizados durante toda la operativa objeto del procedimiento.

- doña Custodia declara que el día 23 de Febrero de 2020 recibió un correo electrónico en la dirección de correo indicada, a su entender en apariencia enviado por Banco Santander, S.A., en el que, según manifiesta, se le advertía de la cancelación de la tarjeta de crédito antedicha si en el plazo de 24 horas no actualizaba sus datos. A ese fin se le facilitaba un enlace.

Se desconocen las características y contenido de dicho mensaje de correo, al haber sido borrado por doña Custodia.

- doña Custodia, accediendo a través del enlace así facilitado, y utilizando para ello su teléfono móvil, accedió a lo que, en su manifestación, parecía la web de Banco Santander, S.A., no vio nada extraño, introdujo su clave de acceso,y facilitó los datos siguientes de su madre: DNI, nombre y apellidos, teléfono, número de tarjeta de crédito, clave de acceso a la web, y cuatro posiciones de la firma electrónica.

- doña Custodia explica que, tras facilitar los datos, el enlace se bloqueó. Recibió la indicación de que iba a recibir un código SMS para la doble verificación, pero no llegó. Ante ello, doña Custodia volvió a realizar la operación por segunda vez, y por segunda vez no le llegó el código.

- el 24 de Febrero, sobre las 10.00 horas, doña Custodia recibió llamada telefónica de Banco Santander, S.A., advirtiendo de movimientos extraños en su tarjeta de crédito, con más de cuarenta cargos en menos de doce horas, iniciados a las 21.20 horas del día 23, y en la localidad de Mataró, siendo el total de lo defraudado de 6143'40 €. Tras lo que la demandante ordenó el bloqueo de la tarjeta, y presentó denuncia el 27 de Febrero, que dio lugar a la incoación de diligencias previas, después archivadas.

- presentada reclamación ante el Banco de España por doña Custodia, resultó desestimada. Si bien no ha aportado lo resuelto por el Banco de España, manifiesta que la desestimación se fundó en haber recibido la reclamante una doble verificación, enviada por SMS a su teléfono.

No resulta posible valorar la verosimilitud del correo originariamente recibido por doña Custodia solicitando que facilitase datos sensibles, como tampoco de la web a la que accedió mediante el enlace facilitado, toda vez que no fueron exhibidos a Banco Santander, S.A., sino que resultaron borrados por doña Custodia, quien además reseteó seguidamente su teléfono móvil. Tampoco, por igual razón, ha sido posible examinar si, como sostiene doña Custodia, no llegó a recibir ni aceptar ningún código OTP por SMS.

A mayor abundamiento, se destacan como hechos relevantes los resultantes de la prueba documental aportada por Banco Santander, S.A., y no impugnada de adverso en su autenticidad, con plena eficacia probatoria ex arts. 326 L.E.c. y 1225 Cc.

Así, a tenor del informe emitido por Redsys Servicios de Procesamiento, aparece que, según sus registros, con la tarjeta con numeración NUM001, se realizaron las operaciones de cargo litigiosas, que resultaron registradas sin constar afectadas por fallos técnicos u otras deficiencias, tratándose de compras presenciales, o retiradas de efectivo, realizadas a través de la aplicación Sansumg Pay, con verificación del titular mediante PIN. Todo ello acorde al contenido de los documentos números 2 y 3, tampoco impugnados, descriptivos del registro del teléfono en Sansumg Pay, y de su utilización en las fechas indicadas, incluidas las claves OTP utilizadas.

Constituye hecho notorio que la instalación o descarga maliciosa de malware en un teléfono móvil permite la interceptación de los mensajes SMS que contienen las OTP, así como que la instalación indebida de aplicaciones maliciosas por el usuario del teléfono permite a los defraudadores acceder a los mensajes SMS.

De cuanto queda expuesto, se concluye que los actos realizados por doña Custodia a raíz de la recepción del correo electrónico descrito, accediendo a un enlace proporcionado, y facilitando en el mismo su clave de acceso a la web del Banco Santander, S.A., nombre, DNI, teléfono, número PAN de su tarjeta de crédito y cuatro posiciones de firma electrónica, e intentando llevar a efecto la doble verificación mediante un SMS que, en su afirmación, nunca recibió, resultaron suficientes para permitir a terceros defraudadores realizar disposiciones de efectivo y compras mediante la tarjeta de crédito.

Tales acciones de la mandataria de la demandante resultaron también suficientes para un posible hackeo del teléfono móvil, para una posible obtención de alta en Samsung Pay, y para permitir a terceros conocer o interceptar mensajes SMS y utilizar las claves OTP de un solo uso.

Es asimismo hecho notorio que los grandes Bancos españoles, al tiempo de los hechos, difundían amplias y repetitivas campañas informativas y de advertencia, de imposible desconocimiento para los usuarios de sus servicios online, sobre el riesgo de facilitar los datos personales y financieros de los clientes recabados mediante mensajes telefónicos o electrónicos, y accediendo a enlaces online. Así como que facilitaban atención telefónica permanente para resolución de dudas sobre posibles fraudes.

Se valora igualmente que doña Custodia, tras haber facilitado los datos al enlace proporcionado, describe haber observado una situación extraña por bloquearse la web y no recibir un SMS anunciado, e intentado por segunda vez la recepción y confirmación de tal SMS, sin conseguirlo. Ante cuya situación no desplegó la mínima actuación diligente de comprobación, mediante llamada telefónica a la entidad financiera, que proporciona atención permanente e ininterrumpida. Lo que habría evitado la realización de los cargos fraudulentos a partir de las 21.30 horas de ese día.

Por todo lo anterior, se concluye que la parte actora y titular de la cuenta corriente receptora de los cargos indebidos, mediante las actuaciones de su hija como mandataria en la gestión de la tarjeta de crédito asociada a la cuenta bancaria, vulneró las obligaciones legales impuestas en el art. 41.1.a) arriba transcrito, por incumplir las medidas razonables necesarias en protección de sus credenciales de seguridad personalizadas, incurriendo en negligencia grave en la protección y custodia de sus credenciales de pago. Pues, valorando la diligencia y prudencia exigibles al usuario medio, razonablemente diligente y atento, constituye una actuación indiligente confiar en la recepción de mensajes (real o aparentemente) enviados por entidades financieras, en los que se facilitan enlaces de acceso a terceras web, en las que se solicitan al interesado datos personales o financieros que la propia entidad conoce, o que la propia entidad no debe indagar, y cuya utilización por terceros defraudadores permite realizar disposiciones o cargos mediante tarjetas de crédito.

Por contraposición, Banco Santander, S.A. queda exonerada de responsabilidad ex art. 46 de la misma Ley antes transcrito, al declararse probado que los cargos fraudulentos en la cuenta corriente de la demandante se produjeron mediante negligencia grave de ésta en el cumplimiento de sus obligaciones de custodia de sus credenciales de seguridad personalizadas.

Sobre la extensión e interpretación de los deberes legales de los usuarios de medios de pago, así como de los proveedores de dichos servicios, se tiene aquí por reproducida la doctrina establecida en Sentencia de las Audiencias Provinciales de Madrid, Sección Octava, número 407/2024, 7 de octubre, o A Coruña, Sección Tercera, 17/2023 de 25 de Enero, Madrid, Sección Novena, 47/2023, de 26 de Enero, o Zaragoza, Sección Cuarta, 179/2021, de 27 de Mayo de 2022.

TERCERO.-Costas.

Estimando el recurso de apelación, con la consiguiente desestimación de la demanda, y de conformidad con lo dispuesto en los arts. 394 y 398 L.E.c., procede condenar a la parte actora al pago de las costas causadas en la primera instancia, sin expresa condena en las ocasionadas en esta alzada.

VISTOS los preceptos legales citados y demás de general y pertinente aplicación, en nombre de S.M. EL REY