Cada parte abonará las costas generadas a su instancia y las comunes por mitad".
No habiéndose solicitado el recibimiento a prueba ni celebración de vista se dio cuenta a la Sra. Presidenta de la llegada de los autos e incoación del recurso a efectos de señalamiento para votación y fallo cuando por turno corresponda.
PRIMERO.- Por sentencia de 18 de septiembre de 2023 dictada por el Juzgado de Primera Instancia n º 1 de Ferrol se desestima la demanda presentada contra BBVA, habiéndose interpuesto por la parte demandante recurso de apelación ante la disconformidad con lo resuelto.
El primer motivo de impugnación alude a la indebida aplicación del art. 59.1 del Real Decreto- Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera y, por ende, se invoca la existencia de sentencias dictadas en supuestos similares por Audiencias Provinciales que resuelven a favor de los demandantes frente a las entidades bancarias.
Con carácter previo a examinar el art. 59 del RDL 19/2018, hay que partir de que en el recurso de apelación, se invoca que la directiva UE 2015/2366, es complementada por el Reglamento Delegado (UE) 2018/396 de la Comisión de 27 de noviembre de 2017, con el objetivo de mejorar la protección de los usuarios de los servicios de pago, obligando a las entidades a usar la autentificación reforzada incrementando la protección de los clientes frente a sus pagos.
El apelante reitera que la entidad bancaria debería haber realizado algún tipo de control o análisis sobre la operación ordenada, por el importe elevado (40.000 euros), que había efectuado con anterioridad otra operación similar al mismo beneficiario "Yáñez Diseño y Construcción" y por el mismo concepto, "pago de factura", no coincidiendo la cuenta destinataria y que por el filtro de ubicaciones se hubiera percatado que la persona indicada tenía cuenta abierta en Ferrol y no en Valencia.
No obstante, a pesar de la invocación del Reglamento 2018/389, hay que tener en cuenta que dicha normativa se centra sobre todo en las medidas de seguridad sobre la aplicación de la autenticación reforzada de clientes. Es decir, como alude el art. 1 "El presente Reglamento establece los requisitos que deben cumplir los proveedores de servicios de pago a efectos de la aplicación de medidas de seguridad que les permitan hacer lo siguiente: a) aplicar el procedimiento de autenticación reforzada de clientes, de conformidad con el artículo 97 de la Directiva (UE) 2015/2366; b) eximir de la aplicación de los requisitos de seguridad de la autenticación reforzada de clientes, bajo determinadas condiciones limitadas y basadas en el nivel de riesgo, el importe de la operación de pago y la frecuencia con que se repite, y el canal de pago empleado para la ejecución de dicha operación (...)". Sin embargo, en el caso de autos, el problema que subyace no es una cuestión de que hubiera fallado medidas de seguridad para la aplicación de autenticación reforzada, es decir, sobre el código de autenticación, porque el invocado art. 18 del Reglamento se ubica sobre el capítulo III de "Exenciones de la autenticación reforzada de clientes", es decir, no consta que en el caso de autos, el proveedor de servicios de pago no haya aplicado la autenticación reforzada, pues el cliente ha podido realizar el pago. El art. 18 invocado se titula "análisis del riesgo de la operación", en cuyo apartado primero dispone que "1.
Los proveedores de servicios de pago tendrán la posibilidad de no aplicar la autenticación reforzada de clientes cuando el ordenante inicie una operación remota de pago electrónico cuyo nivel de riesgo el proveedor de servicios de pago haya identificado como bajo según los mecanismos de supervisión de las operaciones a que se hace referencia en el artículo 2 y en el apartado 2, letra c), del presente artículo",enumerando en el apartado segundo qué se considera nivel bajo de riesgo de operaciones. Sin embargo, no es que el proveedor de servicios hubiera eximido de una autenticación reforzada y, por tanto, suprimido el código de autentificación del ordenante -de ahí que el art. 18 no sea de aplicación al caso de autos- sino más bien, lo que ha acontecido es que el ordenante habría efectuado una transferencia pero que el identificador único respecto del cual efectuó la transferencia no se correspondería con el nombre del beneficiario, por tanto, lo que subyace es una cuestión de identificador único incorrecto. Por ello, para resolver esa cuestión hay que atender al Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera. Dentro del capítulo III (ejecución de operaciones de pago) indica en su artículo 59 (identificadores únicos incorrectos):
"1. Cuando una orden de pago se ejecute de acuerdo con el identificador único, se considerará correctamente ejecutada en relación con el beneficiario especificado en dicho identificador.
2. Si el identificador único facilitado por el usuario de servicios de pago es incorrecto, el proveedor no será responsable, con arreglo al artículo 60, de la no ejecución o de la ejecución defectuosa de la operación de pago.
No obstante, el proveedor de servicios de pago del ordenante se esforzará razonablemente por recuperar los fondos de la operación de pago. El proveedor de servicios de pago del beneficiario cooperará en estos esfuerzos también comunicando al proveedor de servicios de pago del ordenante toda la información pertinente para el cobro de los fondos.
En caso de que no sea posible recobrar los fondos con arreglo al párrafo primero, el proveedor de servicios de pago del ordenante facilitará al ordenante, previa solicitud por escrito, toda la información de que disponga que sea pertinente para que el ordenante interponga una reclamación legal a fin de recuperar los fondos.
De haberse convenido así en el contrato marco, el proveedor podrá cobrar gastos al usuario del servicio de pago por la recuperación de los fondos.
3. Cuando el usuario de servicios de pago facilitara información adicional a la requerida por su proveedor para la correcta iniciación o ejecución de las órdenes de pago, el proveedor de servicios de pago únicamente será responsable, a los efectos de su correcta realización, de la ejecución de operaciones de pago de acuerdo con el identificador único facilitado por el usuario de servicios de pago.".
La interpretación del art. 59.1 del Real Decreto- Ley 19/2018 ha sido objeto de valoración por las distintas Audiencias Provinciales, de ahí, que existan criterios divergentes a la hora de resolver los litigios que se plantean antes las entidades bancarias, invocando ambas partes resoluciones judiciales en defensa de su postura procesal respectiva. La parte apelante reitera que no se trataba de una operación ejecutada sobre la base de un único identificador, y que existiendo información adicional con la denominación del beneficiario concreto (Yañez Diseño y Construcción, S.L) y el concepto de la transferencia en el apartado observaciones y que al banco le constaba una transferencia anterior a la misma mercantil, determinaría también la responsabilidad de la entidad bancaria siendo exigible diligencia debida a la misma, disponiendo de toda la información necesaria para realizar las comprobaciones, invocando también la aplicación del art. 60 del RDL 19/2018.
Por tanto, no mediando uniformidad entre las distintas Audiencias Provinciales, es preciso valorar cuál criterio seguir de los sentados por dichos órganos judiciales colegiados, al no mediar jurisprudencia del Tribunal Supremo. A este respecto, entre otras muchas, se considera coherente la argumentación y razonamiento sentado por resoluciones judiciales, como la Sentencia de la Audiencia Provincial de Santander, Sección 4ª, de 5 de junio de 2024 en la que se señalaba que "(...) 14. La ley 16/2009 de 13 de noviembre, de servicios de pago, fue derogada por la disposición derogatoria única del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera. Dentro del capítulo III (ejecución de operaciones de pago) indica en su artículo 59 (identificadores únicos incorrectos):
"1. Cuando una orden de pago se ejecute de acuerdo con el identificador único, se considerará correctamente ejecutada en relación con el beneficiario especificado en dicho identificador.
2. Si el identificador único facilitado por el usuario de servicios de pago es incorrecto, el proveedor no será responsable, con arreglo al artículo 60, de la no ejecución o de la ejecución defectuosa de la operación de pago.
No obstante, el proveedor de servicios de pago del ordenante se esforzará razonablemente por recuperar los fondos de la operación de pago. El proveedor de servicios de pago del beneficiario cooperará en estos esfuerzos también comunicando al proveedor de servicios de pago del ordenante toda la información pertinente para el cobro de los fondos.
En caso de que no sea posible recobrar los fondos con arreglo al párrafo primero, el proveedor de servicios de pago del ordenante facilitará al ordenante, previa solicitud por escrito, toda la información de que disponga que sea pertinente para que el ordenante interponga una reclamación legal a fin de recuperar los fondos.
De haberse convenido así en el contrato marco, el proveedor podrá cobrar gastos al usuario del servicio de pago por la recuperación de los fondos.
3. Cuando el usuario de servicios de pago facilitara información adicional a la requerida por su proveedor para la correcta iniciación o ejecución de las órdenes de pago, el proveedor de servicios de pago únicamente será responsable, a los efectos de su correcta realización, de la ejecución de operaciones de pago de acuerdo con el identificador único facilitado por el usuario de servicios de pago.".
15. De modo que la orden de pago está bien ejecutada cuando se ejecute según el identificador único (1) e incluso cuando el usuario facilitara información adicional (3) la responsabilidad del proveedor de servicios de pago únicamente será responsable de la correcta realización de acuerdo con el identificador único. Caso de ser incorrecto el identificador único (2), el proveedor no será responsable, aunque el del ordenante se esforzará razonablemente por recuperar los fondos, y el del beneficiario deberá cooperar en estos esfuerzos, comunicando al del ordenante toda la información pertinente. La orden de pago no puede revocarse sin consentimiento del beneficiario (art 52).
16. La regulación indicada trae causa de la Directiva 2007/64, que ha sido interpretada en la cuestión que nos atañe por la STJUE de 21 de marzo de 2019, asunto C-245/18 (Tecnoservice-Poste Italiane), en un supuesto de ejecución de una orden de pago según el identificador único sin comprobar la correspondencia con el nombre del usuario que se había facilitado. El TJUE considera que "El artículo 74, apartado 2, de la Directiva 2007/64/CE del Parlamento Europeo y del Consejo, de 13 de noviembre de 2007 , sobre servicios de pago en el mercado interior, por la que se modifican las Directivas 97/7/CE, 2002/65/CE, 2005/60/CE y 2006/48/CE y por la que se deroga la Directiva 97/5/CE , debe interpretarse en el sentido de que, cuando una orden de pago se ejecute de acuerdo con el identificador único facilitado por el usuario de servicios de pago y tal identificador no corresponda al nombre del beneficiario indicado por ese mismo usuario, la limitación de la responsabilidad del proveedor de servicios de pago establecida en esta disposición se aplicará tanto al proveedor de servicios de pago del ordenante como al proveedor de servicios de pago del beneficiario."
17. La anterior Directiva se derogó por Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) nº 1093/2010 y se deroga la Directiva 2007/64/CE. Su considerando 88 dice que "[l]a responsabilidad del proveedor de servicios de pago debe limitarse a la ejecución correcta de la operación de pago conforme a la orden del usuario de servicios de pago. Si los fondos de una operación de pago se abonaran a un destinatario distinto del beneficiario, por haber utilizado el ordenante un identificador único incorrecto, los proveedores de servicios de pago del ordenante y del beneficiario no tendrán que asumir la responsabilidad, pero sí deben quedar obligados a cooperar razonablemente para recuperar los fondos, en particular comunicando la información pertinente a tal efecto.". Sus artículos 88 y 89 se corresponden con el 59 y 60 de la LSP (Real Decreto-ley 19/2018).
18. Concluimos así que el proveedor del beneficiario solo está obligado a atender al IBAN o identificador único, aunque se hubieran incorporado otros datos adicionales como el nombre del destinatario. En este sentido la SAP Valencia sección 8ª nº 395/2023 de 5 de octubre dijo: "si la orden de transferencia se ejecuta con arreglo a un IBAN correcto ninguna responsabilidad cabe imputar a la entidad bancaria, pues el proveedor de los servicios de pago sólo es responsable de la correcta ejecución de las órdenes de pago conforme al identificador único, al margen de que se facilite o no información adicional ( art. 59.3 LSP ), no estando obligado a realizar comprobaciones o verificaciones adicionales, singularmente no le incumbe comprobar la coincidencia del beneficiario con el titular de la cuenta. En este sentido se han pronunciado numerosas y recientes sentencias de las Audiencias Provinciales, entre otras las SsAP Barcelona sec. 14ª numero 511/2022 de 27 de septiembre y sec. 17ª numero 436/2022 de 14 de septiembre , las SsAP Zaragoza sec. 4ª numero 87/2019 de 25 de marzo y 30/2020 de 31 de enero , la SAP Palma de Mallorca sec. 5ª numero 347/2023 de 2 de mayo, las SsAP Tenerife sec. 1 número 131/2023 de 9 de marzo y 287/2021 de 21 junio, y la SAP Toledo sec. 1ª numero 141/2019 de 23 de octubre .".
Por tanto, siguiendo la argumentación expuesta, plenamente aplicable al caso de autos, la entidad bancaria no tenía obligación legal de comprobar que la identidad del beneficiario coincidiera con el titular del identificador único (IBAN). En el mismo sentido la Sentencia de la Audiencia Provincial de Mallorca sección 4ª nº 304/2023 de 13 de junio, cita la Memoria de reclamaciones del Banco de España de 2021 según la cual «La normativa de servicios de pago tampoco establece el deber de las entidades de comprobar que el nombre del beneficiario se corresponde con el del titular del número de cuenta de destino de la transferencia ni otros datos adicionales, más allá de la coincidencia del IBAN beneficiario con el indicado en la orden de pago». La diligencia de la entidad bancaria en el ámbito financiero fue acorde al ejecutar la orden de pago atendiendo al identificador único, sin que su obligación se extienda a comprobar que el beneficio coincida con quien aparezca como titular del número de cuenta indicado en la transferencia, ni aunque se añadan más datos adicionales. Como se señalaba en la SAP de Zaragoza de 31 de enero de 2020 , invocada en la sentencia de primera instancia objeto de recurso de apelación, "La st TJUE de 21-3-2019, asunto C-245/28 , en el que también se indicaba el beneficiario de la orden de pago, señala, en relación a la Directiva 2007/64/CE de 13 de noviembre de 2007 , que el tratamiento automatizado de las operaciones, su rapidez y eficiencia son los objetivos que justifican la limitación de responsabilidad tanto en el proveedor de servicios de pago del ordenante como del beneficiario, de modo que ambos proveedores se ven dispensados de la obligación de comprobar si el identificador único facilitado por el usuario de servicios de pago corresponde en efecto a la persona designada como beneficiario. Según esta resolución, se excepciona a los proveedores de mayores comprobaciones". Por tanto, no se trata de una cuestión de falta de consentimiento en realizar la operación por parte del ordenante ( Art. 36.1 del RDL 19/2018 ), porque la parte actora efectuó la operación, autorizando el pago, si bien, aunque haya mediado un engaño en el número de cuenta a consecuencia de la ciberdelicuencia, a efectos de examinar la posible responsabilidad de la entidad bancaria la cuestión es otra distinta, más bien, determinar si conforme a la normativa tendría o no responsabilidad, y como hemos expuesto, no se aprecia falta de diligencia de la entidad bancaria en virtud de la argumentación precedente expuesta y se exonera a la entidad bancaria como proveedor de servicios de pago de verificar el acto, sin que tampoco pueda apreciarse responsabilidad a los efectos del art. 60 del RDL 19/2018 al no haberse tratado de una ejecución defectuosa, porque se ejecutó la operación de pago conforme al identificar único facilitado.
SEGUNDO. - Asimismo se alega que en la sentencia no se habría pronunciado sobre la apertura online de la cuenta bancaria, alegando negligencia del banco en su sistema de apertura de cuentas, al haberse abierto la cuenta con un carnet extraviado o sustraído en fecha 6 de agosto de 2019. No obstante, en la sentencia de primera instancia sí efectúa un pronunciamiento dentro del fundamento jurídico tercero señalando que "Si bien se ha acreditado que el DNI con el que se abrió la cuenta on line constaba como sustraído, tal dato constaba en las bases de datos de la Policía, como refiere la actora, y no se acreditado que BBVA tuviese conocimiento de la sustracción en el momento en el que se autorizó la apertura de la cuenta. Del mismo modo que no tenía conocimiento de la estafa en el momento en el que se efectuaron las trasferencias al extranjero". Aunque en el recurso de apelación se invoca que del documento nº 26 acompañado con la contestación a la demanda, la entidad bancaria conoce la IP desde la que se abrió la cuenta online, proporcionada por el proveedor ISP M247 Ltd, alegando que según el documento nº 2 aportado en la audiencia previa celebrada, la policía, "identifica esa operadora como "ampliamente conocida" por ser la plataforma con la que operan gran parte de las empresas de anonimización de la conexión a internet (diseñados para ocultar la dirección IP real de una conexión; VPN anónimas, proxies...) y a través de fuentes abiertas confirman que la IP anteriormente referida se encuentra asignada a NORDVPN, proveedor de servicios ubicado en Panamá". No obstante, aunque la entidad bancaria pueda en su informe aportado como documento nº 26 identificar la dirección IP, no queda suficientemente probado que la entidad bancaria hubiera tenido conocimiento del posible fraude de tal cuenta en el momento de su apertura, porque como explicaba el perito el "DNI era mediamente correcto" y "se consideró que el alta salió satisfactoria". Por tanto, no consta ni que la entidad bancaria tuviera conocimiento de que el DNI fuera extraviado o sustraído, ni tampoco consta probado que la entidad conociese que era una IP vinculada con una plataforma destinada a cometer estafas informáticas, sin que sea posible tener por acreditada falta de diligencia en este extremo.
TERCERO. - En la sentencia de primera instancia se expone que "Únicamente cabría exigir responsabilidad a la entidad si no hubiese colaborado en la recuperación de los fondos; pero en la fecha en la que se le comunicaron los hechos -23 de diciembre de 2021- los fondos ya no se encontraban en la cuenta de destino, por lo que no podía ya realizar actuaciones destinadas a la recuperación de los fondos".
El art. 59.2 del RDL 19/2018 dispone que "Si el identificador único facilitado por el usuario de servicios de pago es incorrecto, el proveedor no será responsable, con arreglo al artículo 60, de la no ejecución o de la ejecución defectuosa de la operación de pago", pero en su apartado segundo se señala que "No obstante, el proveedor de servicios de pago del ordenante se esforzará razonablemente por recuperar los fondos de la operación de pago. El proveedor de servicios de pago del beneficiario cooperará en estos esfuerzos también comunicando al proveedor de servicios de pago del ordenante toda la información pertinente para el cobro de los fondos".
En el caso de autos, una vez asentada la transferencia en la cuenta de destino, la operación no puede retrotraerse sin autorización del beneficiario. Ahora bien, la demandada no debió obviar que el ordenante comunicó personalmente al trabajador de la oficina de BBVA sita en Ferrol a 23 de diciembre de 2021 alertando de lo sucedido con la transferencia que había efectuado a 15 de diciembre de 2021; en la contestación a la demanda se señalaba que "la actora no comunicó formalmente y con acreditación documental los hechos objeto de fraude hasta el día 1 de febrero de 2022". No obstante, como se ha expuesto el ordenante del pago había alertado a la entidad bancaria el día 23 de diciembre de 2021 y además, consta que la Policía Judicial remitió oficios a 27 y 28 de diciembre de 2021 solicitando información sobre los hechos denunciados en el atestado NUM001. Del examen del documento nº 12 de la contestación a la demanda - cuenta terminada en NUM002-, resultaría que a fecha 21 de diciembre de 2021 ya se habrían retirado los fondos por un importe total de 40.102 euros, restando un saldo en la cuenta de 928,31 euros. Lo que no se valora en la sentencia de primera instancia es que a pesar de que se hubiera retirado la gran parte de los fondos (el demandante había ingresado 40.110,31 euros) en la cuenta aun quedaba saldo disponible, y es más, consta que seguía recibiendo más ingresos, a 24 de diciembre de 2021 por importe de 1.495,80 euros y 1.700 euros, a 31 de diciembre de 2021 se producen ingresos de 1.651, 65 euros, habiéndose producido retiradas dejando la cuenta con un saldo de 5,76 euros a 5 de enero de 2022. Por tanto, es a 5 de enero de 2022 cuando ya "no se permiten abonos" y no produce el bloqueo preventivo hasta el 4 de febrero de 2022 según el documento nº 27 aportado con la contestación a la demanda. La actuación de la demandada no fue la exigible en un caso en el que, conocedora del error habido por el ordenante, por serle comunicado presencialmente al trabajador de una oficina de BBVA sita en Ferrol a 23 de diciembre de 2021, permitió que quien resultó beneficiario siguiera haciendo suyo importes de la cuenta, sin esforzarse razonablemente para intentar recuperar lo que se pudiera de lo obrante en la cuenta; la totalidad no era posible a la vista de que a 21 de diciembre de 2021 ya solo restaba un saldo de 928,31 euros, pero con el resto de ingresos posteriores que se produjo en esa cuenta hasta que fue bloqueada, hubiera permitido al ordenante recuperar parte de la cantidad transferida. El titular de la cuenta bancaria destinataria de la transferencia no debía haber percibido el dinero de la transferencia, pero se permitió que éste siguiera disponiendo de cantidades, no habiéndole solicitado en ningún momento la entidad bancaria autorización para realizar la devolución a pesar de que seguía entrando ingresos en la cuenta, con lo que no cooperó con el ordenante para el cobro de los fondos, como le exigía el art. 59.2 del RDL 19/2018, de 23 de noviembre de Servicios de Pago y otras medidas urgentes en materia financiera, anteriormente transcrito. Por ello, para calcular la cantidad que la entidad bancaria ha de devolver al demandante, se parte de que como ya habían sido retirados 40.102 euros cuando acudió a comunicar el hecho a la oficina, tan sólo procede reintegrar el saldo que se fue acumulando en la cuenta desde el 24 de diciembre de 2021 hasta el 5 de enero de 2022 (que quedó inoperativa al no permitir abonos) y que hubieran permitido al demandante recuperar parte de los fondos de haber colaborado razonablemente la entidad bancarias. Así la suma del saldo de 28,31 más (a 21/12/2021) más 1.495,80 más 1.700 euros (transferencias a 24/12/2021) más 1.651,65 euros (transferencia a 31/12/2021) más el saldo restante de 5,76 euros que quedó en la cuenta hace un total de 4.881,52 euros.
En consecuencia, se estima parcialmente la demanda, y se revoca la desestimación de la demanda, y en su lugar, se estima parcialmente la demanda y se condena a BBVA a que abone al demandante la cantidad de 4.881,52 euros. De conformidad con lo dispuesto en los artículos 1108 y 1100 del Código Civil procede condenar al demandado a satisfacer el interés legal desde la reclamación extrajudicial hasta el efectivo pago de los mismos. Asimismo, deberá abonar los intereses legales del art. 576 LEC desde la fecha de la sentencia, incrementados en dos puntos.
CUARTO. - En materia de costas procesales, en relación con la primera instancia, ante la estimación parcial de la demanda cada parte abonará las costas causadas a su instancia y las comunes por mitad ( Art. 394.2 de la LEC ).
Ante la estimación del recurso de apelación, no es procedente hacer especial imposición de costas, de conformidad con lo establecido en el art. 398. 2 de la LEC en su versión aplicable al procedimiento, que es la anterior al Real Decreto - Ley 6/2023.
Se acuerda la devolución del depósito constituido para recurrir ( Disposición Adicional Decimoquinta de la LOPJ , apartado 8).
Vistos los artículos citados y demás de general y pertinente aplicación,
