Sentencia Civil 597/2024 Audiencia Provincial Civil de Barcelona nº 17, Rec. 65/2024 de 12 de septiembre del 2024

PRIMERO.-El presente procedimiento se inició por demanda de juicio verbal formulada por Doña Brigida frente a CAIXABANK,S.A, solicitando el dictado de sentencia por la que 1º.-Se condene a la demandada a abonar a la demandante la suma de 4.139 eurosmás los intereses legales desde que tuvo lugar la operación no autorizada. 2º.-Se impongan las costas a la demandada.

Relata que el día 3 de marzo de 2022, la actora fue víctima de la estafa informática conocida como "phishing", al ser suplantada su identidad por un tercero para realizar en su cuenta bancaria catorce operaciones no autorizadas por importe total de 4.139 euros.Ello ocurrió al recibir un SMS en su teléfono móvil (mensaje que aparecía dentro de la cadena de mensajes personalizados entre el banco y la actora), siendo que dicho SMS fue recibido en el teléfono móvil a través del canal habitual de comunicación de SMS de la demandada,lo que generó una sensación evidente de confianza en la actora.

Pero resultó que dicho SMS no había sido realmente enviado por CAIXABANK sino por alguien que consiguió suplantar su identidad y enviarlo por el canal oficial. Es decir: el SMS se "coló" en la cadena de mensajes anteriores,lo que dotó de credibilidad a la estafa. Dicho mensaje incluía un enlace que conducía a una web falsa creada a imagen y semejanza de la página oficial del banco, destinada a captar datos sensibles del cliente. Y todo ello sin mediar la conocida como doble autenticación, ya que la demandante no introdujo ninguna autorización o código adicional.

Al día siguiente, el 4 de marzo a las 9:30 horas, la actora recibe una llamada del banco informándole de que se han producido una serie de "movimientos irregulares" en su cuenta. Concretamente, le preguntan si ha dado de alta varias tarjetas tipo "REVOLUT" y si ha realizado con ellas catorce operaciones seguidas. Ante la sorpresa de la actora -que confirma no haber realizado esos cargos-, la entidad le indica que ha sido víctima de una estafa y, por toda solución, le ofrecen bloquear el acceso a su cuenta y a su tarjeta.

Entiende que el banco no ha cumplido con la lex artisdel sector pues CAIXABANK no custodió debidamente sus canales de comunicación,lo que permitió la introducción de un SMS falso en su canal singularizado, desencadenando la estafa. Por ello, y ante la ausencia de dolo o negligencia grave por parte de la actora, se interesa se proceda a la devolución a la demandante de las sumas defraudadas.

En cuanto a la legitimación activa y pasiva refiere que la demandante es titular de la cuenta bancaria número NUM000 en la que se realizaron las operaciones no autorizadas, siendo dicha cuenta titularidad de la demandada, CAIXABANK -motivo por el que la demanda se dirige frente a ella-, si bien la actora opera a través de la aplicación Imagin Bank (marca comercial de CAIXABANK creada solo para operativas móviles).

Debe responsabilizarse la entidad por la brecha de seguridad existente, no haciendo nada la entidad cuando los 14 cargos eran altamente sospechosos visto el patrón de gastos de la demandante, que nunca realiza compras por internet ni realiza operaciones que supongan un gasto excesivo, no siendo normal que en un momento determinado realice CATORCE compras por importes elevados y conceptos completamente desconocidos ascendentes a 4139 euros cuando su nómina es de 689,72 euros. Siendo que el IP empleado no es el de la actora, y resultando igualmente llamativo el destino de las operaciones "("REVOLUT ** NUM001*")" un concepto de compra fuera de lo habitual y altamente sospechoso.

Aporta como doc 6 de demanda copia de la denuncia interpuesta en la policía, e invoca la responsabilidad de la demandada, con la que contrató el depósito bancario,conforme arts 306 y 307CCCo, arts 1758 y 1769CC, y el art 1183CC; y la responsabilidad del banco en tanto que proveedor de los servicios de pago, invocando el RDL 19/2018, de 23 de noviembre de servicios de pago que transpuso al ordenamiento español la Directiva (UE) 2015/2366 del Parlamento y del Consejo, de 25 de noviembre, sobre Servicios de Pago en el Mercado Interior; y asimismo alega que siendo consumidor la actora le resulta también aplicable lo dispuesto en los arts. 147 y 148 del R.D. leg. 1/07 de 16 de noviembre (TRLGDCyU).

CAIXABANK,S.A contesto la demandasolicitando su desestimación con costas para la demandante. Opone:

(1)La falta de legitimación pasiva de Caixabank S.A.,dado que las catorce operaciones que se reclaman se realizaron con una tarjeta de débito en la que la entidad proveedora del servicio es Caixabank Payments & Consumer E.F.C., E.P., S.A.U., hecho que era conocido por la parte actora.

Reclama la actora por una serie de operaciones realizadas con su tarjeta de débito nº NUM002, asociada a la cuenta corriente nº NUM000 (abierta en CaixaBank, S.A.), que ascienden a un total de 4.139.-€. Pero resulta conforme doc 1 de contestación comprensivo del el contrato Imagin nº NUM000, que incluye las condiciones de los productos contratados con ImaginBank y que incluyen tanto la cuenta corriente Imagin, como la tarjeta Imagin contratadas, junto con la banca digital, que (pag 5) se indica en el apartado de condiciones específicas de la "tarjeta imagin", que el proveedor de los servicios es CaixaBank Payments & Consumer E.F.C., E.P., S.A.U., que actúa a través de su agente CaixaBank S.A, el cual no presta ningún Servicio a la actora.

Las reclamaciones se hicieron a CAIXABANK PAYMENTS & CONSUMER E.F.C,E.P,S.A.U e igualmente tal personalidad jurídica se le indicó al contestar a las mismas (docs 2 y 3 de contestación). No justificándose pese a tal conocimiento, demandar a CAIXABANK,S.A, debiéndose apreciar la falta de legitimación pasiva opuesta y desestimar la demanda.

(2)Subsidiariamente,para el negado caso que sea desestimada la falta de legitimación pasiva, opone el cumplimiento por parte de CaixaBank de las obligaciones contractuales en materia de seguridad y protección de los datos personales del actor, pues la demandada ya ha advertido en su página web de este tipo de ataques (doc 4 de contestación) haciendo recomendaciones a los clientes. Y la actora admite que al recibir el SMS alertando de que su cuenta había sido desactivada por motivos de seguridad e indicándole el enlace al que debía acceder para reactivarla, accedió a dicho enlace("mi mandante accedió a la página web indicada"). La actora ya conocía que no debía hacer tal cosa conforme al contrato (doc 1 de contestación) al obligarse a "mantener en secreto el identificador, clave, PIN u otros elementos de seguridad que te hayamos facilitado, utilizándolos y custodiándolos con la debida diligencia, evitando su conocimiento por parte de terceros no autorizados, y asegurándose que no sean fácilmente deducibles a partir de tus datos personales...."

Añade que el hecho de que el mensaje remitido por los supuestos estafadores entrara en el hilo de mensajes que anteriormente había enviado la demandada no quiere decir (i) ni que fuera enviado por la demandada, ni (ii) que CaixaBank tenga responsabilidad alguna en ello.

Expone(parágrafos 28 y ss de la contestación)al hilo de la "Seguridad de los sistemas de identificación de Caixabank" que "CaixaBank, como proveedora de servicios de pago a la que le resulta de aplicación el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, ha introducido medidas de seguridad para la autentificación del cliente y para realizar operaciones a nivel digital", que desarrolla extensamente, todo ello con base en la pericial que aporta como doc 5 de contestación.

Refiere que con la utilización del sistema de autenticación reforzada utilizado por la Sra. Brigida el cliente firma las operaciones en un clickúnica y exclusivamente desde su teléfono móvil y bajo sus órdenes (únicamente puede estar configurado en un único dispositivo), aportando el código de uso temporal (código "OTP" o "One Time Password") que le llega por SMS al móvil vinculado a la cuenta, titularidad del cliente. Que cuando una operación por internet es realizada (como en nuestro caso, en que se realizaron diversas operaciones con la tarjeta por internet aportando los datos de la tarjeta de débito del actor, incluyendo el CVV), requiere la autorización expresa del cliente para su materialización y, consecuentemente, debe ser éste quien autorice definitivamente la operación electrónica mediante su clickmanual a su dispositivo móvil.

La parte actora reconoce en la demanda que cedió expresamente sus datos a los estafadores al pulsar el link malicioso. Ypese a que la actora manifiesta lo contrario, posteriormente, también recibió una serie de códigos que igualmente tuvo que introducir necesariamente y que permitieron dar de alta la banca digital en otro dispositivo.

Admite CAIXABANK que desconoce cómo cedió la actora los datos de su tarjeta, si es que lo hizo, pero que es evidente que las operaciones realizadas con la tarjeta y supuestamente fraudulentas lo fueron utilizando los datos de la tarjeta de los que únicamente dispone la actora, pues a CAIXABANK le consta que cada una de las operaciones fueron autenticadas con el SMS remitido por CaixaBank a la actora en cada una de ellas incluyendo el denominado OTP. (así docs 7 y 8 de demanda), por lo que entiende que al recibir el código OTP remitido en cada operación al cliente, éste debió introducir tales datos en la aplicación CaixaBank Now, sin lo cual no se completaría el proceso de compra on-line. Concluyendo que ha quedado patente la negligencia grave de la actora.

(3)Y entiende finalmente que la sustracción de dinero de la cuenta bancaria de la actora fue única y exclusivamente a causa de culpa o negligencia grave de la Sra. Brigida, reconocido por ella misma pues accedió al link del SMS falso que recibió y que se hacía pasar por Caixabank, ylas operaciones fueron autorizadas y autentificadas posteriormente a través (i) los datos completos de las tarjetas de crédito y (ii) a través del código remitido e introducido en CaixaBank Now.

Debiendo haber cumplido la actora sus obligaciones previstas en el art 41 del RDL 19/2018, lo que no hizo. Por lo cual no procede la reclamación realizada al no existir nexo causal entre la actuación de la demandada y la estafa acaecida, siendo la culpa o negligencia grave de la actora, lo que permitió que ésta ocurriera, siendo que en tal caso el art 46.1 del RDL 19/2018 prevé expresamente la exoneración de culpa de la entidad de pago del ordenante (es decir, de CaixaBank, como entidad de la Sra. Brigida).

SEGUNDO.-La Sentencia del Juzgado de Primera Instancia e Instrucción nº 3 de Sant Feliu de Llobregat de fecha 20 de septiembre de 2023 concluye desestimando la demanda al apreciar la falta de legitimación pasiva opuesta por la demandada, con condena en costas a la demandante.

Entiende acreditada la falta de legitimación pasiva al tener CAIXABANK,S.A y CAIXABANK PAYMENTS CONSUMER E.F.C,S.AU personalidad jurídica diferenciada, por más que pertenezcan al mismo grupo empresarial, siendo que el contrato suscrito lo fue con la segunda, siendo la primera sólo agente de la segunda y que no presta ningún servicio directamente en relación a la tarjeta, y constando aportadas las reclamaciones previas a demandar, que se hicieron a CAIXABANK PAYMENTS, no a CAIXABANK.

Frente a dicha resolución se alza la parte demandanteque interpone recurso de apelación,solicitando:

Con carácter principal, que se estime el recurso de apelación interpuesto, declarando la legitimación pasiva de la demandada y remitiendo, en consecuencia, los autos al Juzgado de Primera Instancia a fin de que entre a resolver sobre el fondo del asunto, sin especial pronunciamiento de las costas de esta alzada.

Subsidiariamente, para el caso de estimar la alegación primera del presente recurso y entrar la Audiencia Provincial a conocer del fondo del asunto, declare que las operaciones no fueron autorizadas por la recurrente y condene a la entidad demandada a restituirle la cantidad de 4.139 euros más los intereses legales desde la sustracción de los fondos, con expresa imposición de las costas de primera instancia.

Subsidiariamente a los anteriores, y para el caso de no estimarse la alegación primera del presente recurso, se revoque el pronunciamiento en costas de la Sentencia recurrida, ante la existencia de dudas de hecho y derecho

Opone que sí se acredita la pasiva legitimación de la demandada, errando la sentencia en esto.

El único contrato existente y que vincula a las partes en este caso es el "Contrato Imagin" aportado como documento 1 de la contestación a la demanda. Dicho contrato fue formalizado exclusivamente entre Caixabank, S.A. y la actora y ahora recurrente, y vincula a los contratantes conforme el principio de relatividad contractual, no siendo parte contratante CAIXABANK PAYMENTS. E incluye servicios asociados de cuenta corriente, de tarjeta de débito y de banca digital. Invoca igualmente los arts 132 y 133 TRLGDCyU.

Y CAIXABANK asume obligaciones y responsabilidades en caso de realización con la tarjeta de actuaciones fraudulentas de terceros, como aquí sucedió.

Asimismo, siempre ha asumido CAIXABANK la pasiva legitimación en las comunicaciones habidas y en la pericial aportada. CAIXABANK PAYMENTS sólo presta el servicio de tarjeta englobado en el contrato suscrito con CAIXABANK por la demandante, en el cual constan referencias a CAIXABANK como proveedora de los servicios, asumiendo obligaciones respecto a la ejecución de órdenes y sus consecuencias, en especial de devolver los fondos en caso de operaciones no autorizadas. Y de hecho todas las operaciones se hicieron con intervención de directa de CAIXABANK, la cual en contestación a demanda incluso admite ser la proveedora de los servicios de pago. Incluso desde la perspectiva de la doctrina de los actos propios cabe entender admitida por CAIXABANK su pasiva legitimación. Siendo en la cuenta de CAIXABANK donde se asentaron las órdenes fraudulentas objeto de autos. Y además la demandada deja clara su pasiva legitimación en tanto que contratante del contrato de cuenta corriente bancaria, obligada por ello a conservar y devolver el numerario( arts 306 y 307 CCo y arts 1758 y 1766CC ), por lo que, al no haber adoptado las medidas suficientes para garantizar lo custodiado, debe devolver lo sustraído.

Entiende por todo ello que debe revocarse la sentencia por apreciación de la legitimación pasiva, pero para garantizar el derecho a la segunda instancia deben devolverse los autos al Juzgado de instancia para que examine el fondo dictando nueva sentencia. Y subsidiariamente, entiende que la Sala en examen del fondo, debe estimar la demanda, reproduciendo en esto los hechos y argumentos jurídicos ya expuestos en demanda.

Si bien recurre igualmente el pronunciamiento de costas de instancia al entender que existían serias dudas de derecho, de modo que si la sentencia desestima el primer motivo del recurso, no procedería en todo caso la condena en costas en la instancia.

La parte demandadapor su parte, se opone al recurso,y muestra su conformidad con la sentencia apelada, solicitando la desestimación del recurso con confirmación de la Sentencia y con costas de la apelación para la apelante.

Defiende la sentencia de instancia, reiterando los argumentos ya expuestos en contestación al hilo de la falta de legitimación pasiva, incidiendo en la falta de prestación de servicios respecto de la tarjeta por parte de CAIXABANK y en la remisión del doc 2 de contestación a CAIXABANK PAYMENTS.

Subsidiariamente se opone en cuanto al fondo reiterando la responsabilidad por negligencia grave de la actora que permitió la estafa objeto de la reclamación de autos, habiendo cumplido CAIXABANK con las obligaciones que le incumbían conforme el RDL 19/2018. Y finalmente no procedería en todo caso alterar el pronunciamiento condenatorio en costas de la instancia por no existir dudas de derecho.

TERCERO.- Sobre la falta de legitimación pasiva opuesta por CAIXABANK y estimada en sentencia, procede dar la razón a la apelante y revocar dicho pronunciamiento de la sentencia pues sí tiene CAIXABANK pasiva legitimación. En situación similar razona la SAP de Girona sección 1 del 17 de abril de 2024 ( ROJ: SAP GI 617/2024 - ECLI:ES:APGI:2024:617 ): "En este sentido, y tal como tiene declarado esta Audiencia Civil sección 2 del 31 de enero de 2024 ( ROJ: SAP GI 80/2024 - ECLI:ES:APGI:2024:80 ) " El fet que Caixabank es valgui de societats filials (en aquest cas, Caixabank Payments) per la gestió d'emissió de targetes o d'altres actuacions relacionades amb el contracte subscrit entre el client i Caixabank és quelcom que no ha de perjudicar al consumidor qui, lògicament, confia en la seva relació contractual amb Caixabank, amb independència de l'actuació de caire intern que aquesta entitat faci a través de filials seves, directament vinculades a ella.

Però és que, a més, la demandant va concertar els contractes bancaris que es troben a la base de la reclamació formulada amb Caixabank. És Caixabank qui és suplantada en l'actuació de tercers, i és el número d'atenció al client de Caixabank el que és emprat per tercers per cometre el frau informàtic que és objecte d'aquest procediment. És també el servei d'atenció al client de Caixabank qui respon a les reclamacions extrajudicials que es formulen per raó dels fets que enjudiciem. I és Caixabank qui en aquest procediment facilita i aporta tots els contractes i dades del demandant en relació a la seva relació contractual bancaria, posant de manifest que té accés a tota la documentació que, en part, diu que correspon a una tercera entitat amb personalitat jurídica pròpia de la que mira de desvincular-se.

Els motius exposats en els dos paràgrafs anteriors porten a concloure, sense cap mena de dubte, que l'acció exercitada pel consumidor davant de Caixabank era plenament correcte, i abasta la totalitat d'operacions que li han comportat el perjudici pel qual reclama."

Este Juzgador entiende plenamente ajustados a derecho tales argumentos, así como los que constan en la resolución recurrida, que asumen como propios en esta alzada y que confirmo en su integridad, en cuanto a este extremo se refiere"

En parecido sentido, teniendo en cuenta el reconocimiento preprocesal de la legitimación pasiva la SAP, de Madrid sección 25 del 15 de marzo de 2024 ( ROJ: SAP M 4197/2024 - ECLI:ES:APM:2024:4197 ); o la SAP de Castellón sección 4 del 06 de marzo de 2023 ( ROJ: SAP CS 171/2023 - ECLI:ES:APCS:2023:171 ) que incide en la doctrina de los actos propios.

En el caso de autos la actora demanda a CAIXABANK(no a CAIXABANK PAYMENTS) sobre la base de la responsabilidad civil incurrida al no hacer lo necesario para conservar el numerario de cuenta de la que es titular la actora abierta precisamente en CAIXABANK, al venir CAIXABANK obligada a conservar el dinero de la actora allí depositado, con infracción de los arts 306CCo y 307CCo ( arts 1758 y 1766CC CC ).

Y asimismo, se acciona en méritos a ser CAIXABANK también proveedora de servicios de pago conforme el RDL 19/2018, en relación a dicho contrato de cuenta corriente y a los servicios de banca digital incluidos. Esto es, no se centra la demanda en la tarjeta y su uso, que es solo uno de los servicios contemplados en dicho contrato, pero respecto del cual también asume CAIXABANK responsabilidades contractuales y por ende legitimación pasiva. Resultando que:

El doc 1 de contestación recoge el contrato suscrito entre actora y CAIXABANK de la Cuenta Imagin(de CAIXABANK), cuyo condicionado general se estructura en los siguientes apartados: "(i) condiciones específicas aplicables a los servicios de la "Cuenta imagin"; (II) condiciones de la "Cuenta imagin"; (III) condiciones generales específicas del servicio de banca y firma electrónica "Banca digital imagin" ; (IV) condiciones generales específicas del depósito de dinero a la vista "Cuenta Corriente imagin"; (V) condiciones generales específicas que regulan la tarjeta de débito asociada a tu cuenta "Tarjeta imagin"; (VI) ANEXO, relativo al precio y otras condiciones particulares sobre los servicios más habituales que te prestaremos o que podemos ofrecerte de forma presencial en la red de oficinas de CaixaBank". No siendo CAIXABANK PAYMENTS firmante de dicho contrato( art 1.257CC ).

Sin que el que en la cond gral 1 conste que en cuanto la tarjeta Imagin la misma es "emitida por Caixabank PAYMENTS" altere lo expuesto, pues se acciona respecto de obligaciones que asume CAIXABANK en dicho contrato,por más que conste que CAIXABANK PAYMENTS (tercero con personalidad jurídica propia pero vinculado a CAIXABANK) emite la tarjeta de débito.

Constan en las condiciones generales específicas del servicio de Banca Digital Imagin los servicios que se prestan por la demandada y que permite al cliente realizar consultas, ejecución de órdenes relativas a servicios bancarios y/o de pago, firma de órdenes de pagos y solicitudes, etc, a la que se accede con identificador y clave de acceso personal que facilita la demandada, precisándose para la autorización de órdenes y solicitudes el introducir la clave de firma que solicita la demandada consistente en una variable numérica que recibe el cliente en el móvil que tenga informado como principal en su perfil de imaginBank.

Igualmente en las condiciones generales específicas de la cuenta corriente Imagin consta quién es el proveedor de servicios de la cuenta "El proveedor de la cuenta corriente imagin es CaixaBank,S.a(Caixabank), entidad dedicada a la prestación de servicio financieros"; y define la cuenta corriente Imagin indicando que "La cuenta corriente Imagin es un depósito de dinero a la vista, por el que quedamos obligados a la CUSTODIA y REEMBOLSO inmediato de tus fondos, así como a prestarte SERVICIOS DE PAGO u otros COMPLEMENTARIOS siempre que se cumplan las condiciones previstas para ello"

En el punto 8 referido a obligaciones de las partes consta que las del banco son "a. Ejecutar todas las órdenes de pago o solicitudes de servicios que nos dirijas en el marco de este contrato, siempre que facilites los datos necesarios para ello y cumplas con el resto de condiciones establecidas; b)si niegas haber ejecutado una orden de pago o consideras que su ejecución no ha sido correcta, nos corresponderá demostrar que la operación fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por ningún fallo técnico o por cualquier otra deficiencia. c)Entregarte el identificador y las claves necesarias para que puedas acceder a los productos y servicios incluidos, así como mantener la seguridad y confidencialidad de los mismos". Obligándose la actora ante CAIXABANK a "a)Deberás mantener en secreto el identificador, clave, PIN u otros elementos de seguridad que te hayamos facilitado, utilizándolos y custodiándolos con la debida diligencia, evitando su conocimiento por parte de terceros no autorizados, y asegurándote que no sean fácilmente deducibles..., así como tomar las precauciones necesarias para evitar la sustracción, robo, falsificación o pérdida de la tarjeta y otros elementos físicos o materiales que te hayamos entregado".

Obligaciones que impone CAIXABANK a la actora, como se aprecia, que se extienden no sólo a la cuenta corriente o a la banca digital Imagine, sino igualmente a la tarjeta. Y en igual sentido CAIXABANK obliga a la actora a comunicar a CAIXABANK a través el número de teléfono que ésta le proporciona la pérdida o conocimiento de terceros de claves, PIN etc, realización de operaciones de pago no ejecutadas o ejecutadas incorrectamente, etc.

Y en el apartado 9 sobre responsabilidades que asume cada parte, nuevamente con total preterición de CAIXABANK PAYMENTS, y estableciéndose responsabilidades entre cliente y CAIXABANK, constan entre otras las referidas a que "a)Desde que nos comuniques la pérdida o robo de tus claves, firma u otros elementos de seguridad, no asumirás ninguna responsabilidad por las operaciones que se puedan realizar a través del servicio de "banca digital imagin". b)No asumirás responsabilidad por las operaciones realizadas con tu tarjeta o a través de tu servicio de "banca digital imagin", si se verifica que la tarjeta o las claves de usuario, de firma u otros elementos de seguridad han sido manipulados, replicados o desencriptados por terceros, sin tu conocimiento. c)asumimos la responsabilidad por las omisiones, errores, pérdidas de información, vulneración de la confidencialidad y/o acceso indebido a la información o datos personales siempre que hayas cumplido con tus obligaciones de confidencialidad y custodia"

Todo lo cual abunda en la afirmación de la legitimación pasiva de CAIXABANK, vistas las obligaciones y responsabilidades pactadas entre actora y CAIXABANK, partes del contrato, incluso respecto del uso de la tarjeta en supuestos como el de autos.

Sin que la inclusión de CAIXABANK PAYMENTS en el condicionado específico de la tarjeta Imagin altere lo razonado, vista la doctrina expuesta en las resoluciones indicadas y porque pese a que consta: "PROVEEDOR DE SERVICIOS: Caixabank Payments EFCEP,S.A.U("CABKPAyments") con NIF-A-58513318....,actuando a través de su Agente Caixabank,.S.a(CaixaBank).El Agente(CaixaBank) interviene en el presente contrato, y en relación a la tarjeta emitida únicamente como Agente de CABKPayments, por lo que en virtud de ello no te presta ningún servicio directamente. CaixaBank,S.A, CaixaBank...únicamente interviene en el presente contrato como Agente de CABKPayments por lo que en virtud del mismo no presta ningún servicio al contratante...", en dicho pasaje se limita a referirse a no prestación de servicios vinculados a la tarjeta, sin que ello enerve las obligaciones y las responsabilidades de CAIXABANK asumidas en contrato y reseñadas anteriormente y vinculadas incluso al uso de la tarjeta por la actora.

Y porque es CAIXABANK quien redacta y emplea el referido condicionado como parte contratante regulando el marco de obligaciones y derechos entre la actora y CAIXABANK también en el uso de la tarjeta, incluyendo la cancelación de los servicios y el desistimiento del total contrato, sin referencia alguna a CAIXABANK PAYMENTS, estipulándose incluso que las quejas y reclamaciones pueden dirigirse al servicio de atención al cliente de Caixabank.

Además, igualmente por actos propios previos a la litis CAIXABANK ha venido admitiendo y no cuestionando su pasiva legitimación que ahora no puede obviar ni contradecir(recordar con nuestra SAP de Barcelona sec 17ª de sección 17 del 11 de abril de 2024 ( ROJ: SAP B 4144/2024 - ECLI:ES:APB:2024:4144): "A esta última se refiere la sentencia del Tribunal Supremo núm. 320/2020, de 18 de junio , cuya doctrina es ratificada en las sentencias 300/2022, de 7 de abril , y 578/2022, de 26 de julio , que señalan al respecto:

" La doctrina de los actos propios tiene su último fundamento en la protección de la confianza y en el principio de la buena fe, que impone un deber de coherencia y limita la libertad de actuación cuando se han creado expectativas razonables ( SSTS de 9 de diciembre de 2010 y 547/2012, de 25 de febrero de 2013 ). El principio de que nadie puede ir contra sus propios actos solo tiene aplicación cuando lo realizado se oponga a los actos que previamente hubieren creado una situación o relación de derecho que no podía ser alterada unilateralmente por quien se hallaba obligado a respetarla ( SSTS 9 de diciembre de 2010, RC n.º 1433/2006 , 7 de diciembre de 2010, RC n.º 258/2007 ). Como afirmamos en la sentencia de 25 de febrero de 2013 , [...], dicha doctrina "significa, en definitiva, que quien crea en una persona una confianza en una determinada situación aparente y la induce por ello a obrar en un determinado sentido, sobre la base en la que ha confiado, no puede pretender que aquella situación era ficticia y que lo que debe prevalecer es la situación real".).En efecto:

En el doc 1 de demanda consta el mensaje falso recibido por la actora a través del canal habitual que en méritos al contrato Imagine empleaba ésta con Caixabank(hecho no cuestionado), constando en el doc 2 de demanda el detalle de las operaciones fraudulentas realizadas en el "Imagin bank" de CAIXABANK. El doc 7 de demanda recoge la reclamación a CAIXABANK a 23-3-2022 concretamente al servicio de Reclamaciones y Atención al cliente grupo IMAGIN BANK (esto es, CAIXABANK) ante la resolución negativa de CAIXABANK a la reclamación previa.

Y consta en el doc 2 de contestación la respuesta que a 14-4-2022 hace CAIXABANK, en documento con membrete de dicha empresa, frente a la reclamación de la actora, con el contenido que consta, aludiendo a CAIXABANK PAYMENTS como proveedor de servicios de pago, pero aludiendo igualmente a las medidas de Seguridad implementadas por el grupo CaixaBank o por CAIXABANK, indicándose incluso que "las operaciones de compra con tarjeta en comercio electrónico se iniciaron introduciendo en la web del comercio los datos de su tarjeta (número, fecha de caducidad y código CVV) e, inmediatamente después, se aceptaron, de manera individualizada, desde CaixaBankNow". Esto es, desde la app de CAIXABANK, no de otros.

Sin que el empleo del doc 3 de contestación "Inicio de reclamación de operaciones con tarjetas" a 8-3-2022 altere la pasiva legitimación de CAIXABANK pues se evidencia que es el documento formulario que se hizo firmar a la actora para poder reclamar, esto es, no elaborado por ésta sinó por CAIXABANK PAYMENTS que lo impone a la actora y solo con dicha exclusiva finalidad, con lo que no puede entenderse como acto propio de la actora.

Finalmente la pericial de la demandada, doc 5 de contestación, encargada por CAIXABANK según consta, se refiere a las medidas de seguridad que implementa CAIXABANK(pag 59), no otros, para la prestacion de sus servicios bancarios en internet.

Por lo expuesto y razonado, debe estimarse el recurso y revocar la sentencia en cuanto a la falta de legitimación pasiva, pues sí la tiene CAIXABANK.

CUARTO.- No habiendo analizado la sentencia de instancia lo restante planteado al apreciar la excepción de falta de legitimación pasiva que ahora se revoca, procede asumir la instancia respecto a lo pretendido por la actora y a lo que se opuso la demandada en cuanto al fondo, conformándose así el debate en instancia pero que quedó sin examinar. En este sentido refiere la STS 7-5-2020 ( ROJ: SAP T 427/2020 - ECLI:ES:APT:2020:427 ):" CUARTO: Procedencia del examen de otras acciones ejercitadas en la demanda sobre las que no se pronunció la sentencia de instancia.- Cabe analizar, una vez se ha revocado el fallo de la sentencia impugnada que apreció la nulidad radical de los contratos impugnados, si procede entrar a analizar las demás pretensiones deducidas en la demanda, esto es, una acción de anulabilidad por vicio de consentimiento y, subsidiariamente, una acción de indemnización de daños y perjuicios.

La respuesta a esta cuestión se obtiene de la STS del 19 de mayo de 2016 ( ROJ: STS 2263/2016 - Sentencia: 331/2016 Recurso: 452/2013 Ponente: RAFAEL SARAZA JIMENA, que señala:

" 1.- Los motivos plantean la problemática sobre la procedencia de que, al resolver el recurso de apelación de la parte demandada contra la sentencia del Juzgado de Primera Instancia que estimó una pretensión de las varias formuladas de modo alternativo (subsidiario) en la demanda, el tribunal de apelación, caso de estimar fundada la apelación, deba abordar el examen de las demás pretensiones ejercitadas en la demanda y pueda condenar al demandado al estimar otra de las pretensiones ejercitadas en la demanda.

Esta cuestión afecta a la congruencia en la apelación ( art. 465.5 de la Ley de Enjuiciamiento Civil ), la reducción del ámbito de lo discutido en la primera instancia por consentir alguna de las partes en la desestimación de alguna de sus peticiones o excepciones, que no podrían por tanto ser enjuiciadas por el tribunal de apelación (principio tantum devolutum quantum appellatum , esto es, el conocimiento del tribunal de apelación se circunscribe a aquello que ha sido apelado) o el carácter firme de pronunciamientos que no han sido impugnados ( art. 207 de la Ley de Enjuiciamiento Civil ).

La solución ha de ser distinta dependiendo de que en primera instancia se haya omitido resolver las pretensiones alternativas a aquella que ha sido estimada, o se haya entrado a conocer y se haya desestimado la pretensión o pretensiones alternativas a aquella que ha sido estimada.

2.- En el primer caso, esto es, si el juzgado ha estimado una pretensión y ha omitido entrar a conocer de las demás, y sobre ellas no hay por tanto un pronunciamiento desestimatorio (que no necesariamente habría de estar expresamente recogido en el fallo pero que habría de ser claro y expreso en la fundamentación de la sentencia), es doctrina de esta Sala que la sentencia del tribunal de apelación que estime fundado el recurso del demandante debe entrar a enjuiciar la pretensión no resuelta en la sentencia de primera instancia, sin necesidad de que la parte que la formuló, el demandante, apele o impugne la sentencia de primera instancia para sostenerla de forma expresa en la segunda instancia y sin necesidad de plantear la cuestión en la oposición al recurso, pues está implícita en el ámbito de la apelación y se avoca su conocimiento al tribunal de segunda instancia.

Solo así se evita incurrir en incongruencia omisiva. Al no haber sido examinada y resuelta la pretensión por la sentencia de primera instancia, no hay un pronunciamiento desestimatorio desfavorable que legitimara al demandado para impugnar y que quede fuera del debate de la segunda instancia ante la falta de impugnación.

Esta doctrina ha sido mantenida por esta sala, tanto respecto de las pretensiones como respecto de las excepciones no resueltas en la sentencia apelada, en sentencias como las núm. 87/2009, de 19 de febrero de 2009 , 432/2010, de 29 de julio , 370/2011, de 9 de junio de 2011 , 977/2011, de 12 de enero , y 532/2013, de 19 de septiembre .

Ha sido asimismo sostenida, en alguna ocasión con referencia a otro tipo de recursos ante otras jurisdicciones, en las sentencias del Tribunal Constitucional 4/1994, de 17 de enero , 206/1999, de 8 de noviembre , y 218/2003, de 15 de diciembre , y 51/2010, de 4 de octubre .

Son también exponentes de esta doctrina las dos sentencias del Tribunal Europeo de Derechos Humanos de 9 de diciembre de 1994, casos Ruiz Torija contra España e Hiro Balani contra España . El examen de los casos resueltos en estas sentencias muestra que el tribunal de apelación no se pronunció sobre la excepción de prescripción, en el primer caso, y sobre uno de los motivos de oposición a la demanda, en el segundo, cuando tales cuestiones no habían sido resueltas por las sentencias de primera instancia (párrafo 10 de la sentencia del caso Ruiz Torija y párrafo 9 de la sentencia del caso Hiro Balani).

Tal doctrina se reitera por la STS de 24 de febrero de 2017 al resolver que " La sentencia 331/2016, de 19 de mayo , recurso 452/2015 , distingue, respecto de la congruencia en la apelación, que en primera instancia se haya omitido entrar a conocer de una pretensión o excepción, o por el contrario, que se haya entrado a conocer y se haya desestimado la pretensión o excepción alternativa a aquella que se ha estimado.

En el primer caso, al no haber sido examinada y resuelta la pretensión o excepción por la sentencia de primera instancia, no hay un pronunciamiento desestimatorio desfavorable que legitimara al demandado para impugnar y que quede fuera del debate de la segunda instancia ante la falta de impugnación ( sentencias núm. 87/2009, de 19 de febrero ; 432/2010, de 29 de julio , 370/2010, de 4 de octubre )".

Referidas a supuestos de desestimación de la demanda en instancia por apreciación de la falta de legitimación ad causam sin examinar el resto de cuestiones planteadas, y la asunción de la instancia en apelación al revocarse la falta de legitimación ad causam apreciada en instancia, cabe citar nuestra SAP de Barcelona sec 17ª del 26 de abril de 2023 ( ROJ: SAP B 5439/2023 - ECLI:ES:APB:2023:5439 ; asi mismo la SAP de Jaén sección 1 del 22 de noviembre de 2023 ( ROJ: SAP J 1340/2023 - ECLI:ES:APJ:2023:1340 ); la SAP de Las Palmas sección 4 del 10 de octubre de 2023 ( ROJ: SAP GC 2057/2023 - ECLI:ES:APGC:2023:2057 ); o la SAP de Ávila sec 1ª del 19 de junio de 2023 ( ROJ: SAP AV 228/2023 - ECLI:ES:APAV:2023:228 ), entre otras.

QUINTO.- Y examinando la reclamación instada, procede estimar también el recurso y estimar la demanda condenando a la demandada en el sentido solicitado en demanda.

El marco normativo aplicable lleva a que la demandada, que no prueba el fraude o la negligencia grave de la usuaria, responda ante su cliente hoy demandante por la perdida del dinero en cuestión.

El RDL 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera en su texto vigente a fecha de los hechos (3-3-2022)disponía en su art 36.1 que "1. Las operaciones de pago se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución",siendo que, entendido el demandado CAIXABANK conforme art 3(definiciones) como "32. Proveedor de servicios de pago, que son "las entidades y organismos contemplados en los apartados 1 y 2 del artículo 5, y las personas físicas o jurídicas que se acojan a las exenciones previstas en los artículos 14 y 15.",encontrándose entre tales entidades las bancarias como es CAIXABANK(y así se la califica en el contrato de autos -doc 1 de contestación según se ha reseñado), resulta que conforme al art 40.2 "Siempre que se haya acordado en el contrato marco, el proveedor de servicios de pago podrá reservarse el derecho de bloquear el instrumento de pago por razones objetivamente justificadas relacionadas con la seguridad del instrumento de pago, la sospecha de una utilización no autorizada o fraudulenta del mismo o, en caso de que esté asociado a una línea de crédito, un aumento significativo del riesgo de que el ordenante pueda ser incapaz de hacer frente a su obligación de pago",constando tal pacto en la condición general nº 12 específica de la tarjeta Imagin del contrato-acuerdo marco(doc 1 de demanda).

Así mismo dispone el art 44." Prueba de la autenticación y ejecución de las operaciones de pago.

1.Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago.

(...)

2. A los efectos de lo establecido en el apartado anterior, el registro por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 41.

3. Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave"

Y el art 45.1 dispone "1. Sin perjuicio del artículo 43 de este real decreto-ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada".

Estableciendo por su parte el art 46.1 que "1. No obstante lo dispuesto en el artículo 45, el ordenante podrá quedar obligado a soportar, hasta un máximo de 50 euros, las pérdidas derivadas de operaciones de pago no autorizadas resultantes de la utilización de un instrumento de pago extraviado, sustraído o apropiado indebidamente por un tercero, salvo que:

a) al ordenante no le resultara posible detectar la pérdida, la sustracción o la apropiación indebida de un instrumento de pago antes de un pago, salvo cuando el propio ordenante haya actuado fraudulentamente, o

b) la pérdida se debiera a la acción o inacción de empleados o de cualquier agente, sucursal o entidad de un proveedor de servicios de pago al que se hayan externalizado actividades.

El ordenante soportará todas las pérdidas derivadas de operaciones de pago no autorizadas si el ordenante ha incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41. En esos casos, no será de aplicación el importe máximo contemplado en el párrafo primero.

En todo caso, el ordenante quedará exento de toda responsabilidad en caso de sustracción, extravío o apropiación indebida de un instrumento de pago cuando las operaciones se hayan efectuado de forma no presencial utilizando únicamente los datos de pago impresos en el propio instrumento, siempre que no se haya producido fraude o negligencia grave por su parte en el cumplimiento de sus obligaciones de custodia del instrumento de pago y las credenciales de seguridad y haya notificado dicha circunstancia sin demora"

Resultando como se razonó, que disponiendo el art 41 " Obligaciones del usuario de servicios de pago en relación con los instrumentos de pago y las credenciales de seguridad personalizadas.

El usuario de servicios de pago habilitado para utilizar un instrumento de pago:

a) utilizará el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago que deberán ser objetivas, no discriminatorias y proporcionadas y, en particular, en cuanto reciba un instrumento de pago, tomará todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas;

b) en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, lo notificará al proveedor de servicios de pago o a la entidad que este designe, sin demora indebida en cuanto tenga conocimiento de ello.",no se prueba por CAIXABANK actuación negligente alguna, ni menos aun fraudulenta de la usuaria(de hecho no consta en autos que haya comunicado al Banco de España, como le resulta obligado en caso de tal sospecha de fraude).

Como recuerda la SAP de Asturias sección 1 del 20 de marzo de 2024 ( ROJ: SAP O 1120/2024 - ECLI:ES:APO:2024:1120 ) "encontramos que el sistema de responsabilidad para la entidad proveedora del servicio de pago que aparece diseñado en el RDL de Servicios de Pago reviste los caracteres de un régimen de responsabilidad cuasi objetivo, puesto que, además de asumir la carga de demostrar la exactitud y corrección de la operación de pago, le incumbe también la de probar que fue el usuario quien incurrió en fraude o negligencia grave."

Por lo que, no probando CAIXABANK conforme art 44.1 que la operación no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por CAIXABANK en tanto que proveedor de servicios de pago a través de su cuenta corriente Imagin y de la banca digital Imagin que explota, pues no prueba cómo pudo acceder el delincuente a través del canal habitual apareciendo en la pantalla del teléfono de la actora,es por todo ello, y por la carga probatoria que tenía, por lo que debe responder CAIXABANK.

Recuerda por ejemplo la SAP de La Rioja de sección 1 del 18 de abril de 2024 ( ROJ: SAP LO 289/2024 - ECLI:ES:APLO:2024:289 ) "En este punto, debe hacerse especial mención de que el banco es perfectamente consciente que en esta dinámica de contratación, es el dispositivo de telefonía móvil el que habitualmente más se utiliza por los clientes para la realización de estas operaciones on line ; no en vano, los bancos facilitan e incentivan su uso mediante la creación de sus propias apps , cuyo uso preconizan y publicitan de forma insistente entre sus clientes. Por eso resulta de todo punto inadmisible que el banco, para exonerarse de responsabilidad, arguya que no es responsable de la seguridad de esos dispositivos, cuando resulta que es el propio banco quien, mediante la creación apps, facilita cuando no incentiva su utilización de los teléfonos móviles por los clientes para realizar este tipo de operaciones, sin que conste que el banco, cuando facilita o difunde esta utilización, se preocupe de cual es concretamente el rango o nivel de seguridad que presenta cada uno de los dispositivos de sus clientes a través de los cuales se realizan las operaciones.

Y queremos destacar que, para quedar exento de responsabilidad, el Banco deberá acreditar no sólo que la orden de pago no se vio afectada por un fallo técnico que es en lo que se centra el recurrente, sino tampoco por "otra deficiencia del servicio prestado por el proveedor de servicios de pago."

En el presente caso nos encontramos ante un caso de los denominados de phishing en que el delincuente digital engaña al usuario de la demandada, la aquí actora, entrando en el canal habitual online a traves del cual ambas contratantes se comunican y relacionan, y haciéndole creer a la actora que es CAIXABANK la que le está informando (doc 1 de demanda) que "su cuenta ha sido desactivada temporalmente por motivos de Seguridad. Para reactivarla actualice su información desde: https://imagin.es-01.app".

El citado SMS es apto para engañar a quien no tiene específicos conocimientos en la materia para detectar fraudes de este tipo, y sobre todo, ha llegado al teléfono móvil de la actora (al que la demandada no ha exigido implantar sistemas de seguridad específicos y suficientes) a través del canal habitual de la demandada, con lo que no consta que ésta haya podido evitarlo, no obstante consentir su uso para las comunicaciones entre los contratantes, y no obstante las medidas de seguridad que dice implementar(así pericial obrante como doc 5 de contestación y el propio contrato obrante como doc 1 de contestación).

No pudiendo imputarse negligencia grave de la cliente que no consta en autos que tenga conocimientos suficientes para operar por internet detectando fraudes por el hecho de atender lo que considera una petición de su entidad bancaria y proceder según le piden, sobre todo si la propia entidad bancaria no ha conseguido evitar que le llegara tal comunicación fraudulenta.

Y desde la perspectiva de los arts 306CCo y 307 CCo , no ha conseguido impedir la intrusión engañosa ni la ejecución de las órdenes por la cliente engañada(en igual sentido arts 1758 y 1766CC ) y con ello la pérdida del numerario confiado por la actora a CAIXABANK y que ésta debía custodiar. En igual sentido cabe afirmar la responsabilidad también desde la perspectiva del art 147TRLGDCyU igualmente invocado en demanda pues la prestadora del Servicio no ha probado haber cumplido con las exigencias y requisitos impuestos normativamente ni haber observado los cuidados y diligencia que exige la naturaleza de estos servicios de pago que provee la demandada a la demandante.

En este sentido como recuerda la SAP de Barcelona sección 1 del 07 de junio de 2023 ( ROJ: SAP B 6560/2023 - ECLI:ES:APB:2023:6560 ) con cita de la "la SAP de Pontevedra, 177/2023, de 23 de marzo :" En interpretación de directiva 2015/2366 , la negligencia que hace responder al cliente es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario , no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional. Como parámetro del actuar negligente también cabrá acudir al art. 1.104 CC , que exige la diligencia asociada a la naturaleza de la obligación y a las circunstancias personales, de tiempo y lugar. Ello destacándose la complejidad y grado de perfección que presenta en la actualidad el método de "phishing" de difícil detección por persona de formación media, así como el deber de la proveedora, del servicio de dotarse de tecnología suficiente y adecuada con exigencia de medidas implantadoras activas, sin entenderse suficientes avisos generales o en página web de mero carácter informativo o divulgativo -por todas, SS. AP Pontevedra (Secc. 6ª) 21.12.21 y Madrid (20ª) 20.5.2022 , en la línea de lo razonado en SS. AP Valencia (6ª) 13.6.2022 , Granada (5ª) 20.6.2022 y Badajoz (3ª) 21.6.2022 -."

No consta que, no obstante las medidas de seguridad que indica en contestación y en la pericial, evitara la intrusión y el engaño, ni que detectara y bloqueara la actuación del delincuente, impidiéndola o minorando su progresión; no extrañandose la demandada de que las 14 operaciones seguidas que supuestamente hacía la actora tuvieran lugar todas de madrugada (doc 2 de demanda), no escapando a nadie que la mejor manera de que el usuario no esté al tanto de si en su teléfono movil se producen avisos por el uso del canal de pagos es el esperar a que sea de noche y esté durmiendo y por ello no atento a tales posibles avisos.

Pese a que según la pericial(doc 5 de contestación, pag 4) "6. Tracto operativo completo: CaixaBank tiene una trazabilidad completa de todas las operaciones que realizan sus clientes en el sistema, pudiéndose saber cuándo se conectan, desde dónde, con qué dispositivo, qué métodos de autenticación se utilizaron, el tipo de operaciones realizadas, la identificación de las cuentas o comercios de destino. Y que en pag 58 informan los peritos que "Se ha podido comprobar que existen varios sistemas informáticos que guardan completo el tracto operativo de las transacciones conservando un histórico de muchos parámetros técnicos de todas las conexiones y operaciones realizadas por los clientes y sus dispositivos:

Se guarda un diario de operaciones que registra una gran variedad de eventos y actividad, como autorizaciones, operaciones bancarias, cambios de dispositivo, conexiones a internet desde donde se realizan, etc.

Se guarda un registro de todos los mensajes SMS y notificaciones a la aplicación CaixaBankSign para cada cliente y cada operación.

Se guarda un registro de la actividad relevante relacionada con el identificador de un cliente (alta, baja, cambio de contraseña, entrada al sistema, cambio de dispositivo, etc.)".

Pese a todo ello, no consta que a CAIXABANK le extrañara que (doc 7 de contestación "registros electrónicos")consten extracciones de dinero u operaciones localizadas en Lituania y Reino Unido en la misma madrugada, no constando (no se indica por la demandada) que en su historial la actora hubiera hecho más transacciones desde dichos lugares, ni consta que por tales motivos saltara ninguna alerta en CAIXABANK, ni menos aun que bloqueara las transferencias en todo o en parte.

Por lo que tanto, ya se produjera la secuencia de hechos indicada por CAIXABANK al contestar, ya la indicada por la demanda y lo declarado en interrogatorio por la actora en el sentido de que se limitó a pichar el link y se le abrió página web como la de CAIXABANK y le pidieron para desbloquearle la cuenta que introdujera su número de usuario, el PIN anterior y que pusiera PIN nuevo, sin recibir ninguna comunicación más o distinta, ni antes ni después, resulta que tanto desde la perspectiva contractual según las obligaciones y responsabilidades ya reseñadas asumidas por CAIXABANK (doc 1 de contestación), como desde la condición legal de proveedora de los servicios igualmente acreditada, como desde la regulación general de los preceptos mercantiles y civiles igualmente indicados del contrato de depósito, resulta clara la responsabilidad de la demandada y su deber de abonar a la demandante la cantidad reclamada, estimándose el recurso de apelación en su totalidad, revocándose la sentencia de instancia, y en su lugar se estima la demanda condenando a la demandada a abonar a la demandante 4.139 euros más los intereses legales desde que tuvo lugar la operación no autorizada, asi como al pago de las costas causadas en la instancia por vencimiento( art 394.1LEC )

SEXTO.- De conformidad con lo dispuesto en el art. 398.2LEC por estimación del recurso de apelación, sin hacer especial pronunciamiento en cuanto a las costas causadas en esta alzada.

Vistos los preceptos legales citados y demás de general y pertinente aplicación al caso

Fallo