Se aceptan los de la sentencia de instancia.
PRIMERO.-Conforme se expone en el Fundamento de Derecho primero de la sentencia recaída en el primer grado jurisdiccional, el procedimiento del que dimana el presente Rollo se inició con la demanda formulada por la representación procesal de don Apolonio, en cuya demanda aduce "que tenía una cuenta a la vista en la entidad CaixaBank, S.A. y que, la tarde del 06/07/2021, recibió en su teléfono un SMS en el que se le informaba de un intento de acceso a su cuenta sospechoso de fraude; que el número de teléfono del remitente era el mismo desde el cual en anteriores ocasiones le había llamado el banco, por lo que creyó legítimamente que la llamada procedía de este; que, al poco tiempo recibió la llamada de una persona que se identificó como empleada del banco informándole de una serie de pasos que debía de seguir y, a continuación, se sucedieron una serie de mensajes por SMS en los que se le requería que realizara una serie de acciones, que acabaron vaciando su cuenta bancaria e intentaron constituir un préstamo por 25.000€, que el sistema informático no permitió; que, al observar que la aplicación de su teléfono móvil se había bloqueado y no sabía lo que finalmente podía haber sucedido con el incidente, intentó sin éxito ponerse en contacto inmediatamente con la entidad bancaria por teléfono y acudió al día siguiente a la sucursal bancaria; que el Sr. Apolonio formuló también denuncia ante la Policía Nacional, recogida luego por la Guardia Civil, quien ha podido identificar a tres sospechosos como destinatarios del dinero; que, a pesar de haber delegado en el consumidor la gestión de las cuentas on-line y haberle cobrado comisión por cada una de las tres operaciones fraudulentas, CaixaBank se niega a devolverle los 18.000€ (más gastos) detraídos de su cuenta. En atención a lo anterior, Apolonio interesa se condene a Caixabank, S.A., en virtud del contrato de depósito, a satisfacer a la parte actora 17.917'88€ (18.000€ detraídos de su cuenta, más 11'27€ de gastos de gestión, menos las cantidades restituidas por el banco: 88'09€ + 5'30€), junto con los intereses devengados por la liquidación resultante hasta la fecha en que sea restituido, más costas en caso de oposición.
A ello se opone Caixabank, S.A., alegando que el sistema de banca electrónica implementado por CaixaBank es seguro y cumple con la totalidad de las obligaciones previstas en la
normativa sectorial; que las operaciones calificadas de adverso como fraudulentas se han producido como consecuencia de una grave negligencia del demandante, pues el actor tenía
un identificador y un código PIN secreto e intransferible, el cual da acceso a las aplicaciones de la entidad, y que el estafador únicamente pudo acceder si el demandante le entregó tales credenciales; que, además, el Sr. Apolonio tenía registrado su número de teléfono móvil dónde se recibían, de forma exclusiva, todos los códigos OTP por SMS, y, finalmente, tenía instalada la app CaixaBankSign en su terminal móvil, la cual no es posible utilizarla en distintos dispositivos, sino que la misma sólo puede instalarse en un único dispositivo a fin de evitar precisamente cualquier intromisión por personas ajenas, y que, en dicha aplicación, el demandante introdujo los códigos OTP recibidos. Igualmente, sostiene que no existe asunción de responsabilidad por la entidad financiera al devolver en un primer momento algunas cantidades, ya que la demandada procedió al reintegro de todas las operaciones que de adverso se dijeron no haberse autorizado en su reclamación inicial y, sin embargo, tras comprobar los archivos de seguridad y observar que todas las operaciones habían sido autenticadas y aprobadas, procedió a la recuperación del pago realizado. Por ello, solicita la desestimación de la demanda con imposición de costas a la parte actora."
SEGUNDO.-En la sentencia recaída en el primer grado jurisdiccional se estimó la demanda.
Para dicha estimación, la juez "a quo" se refiere a la Ley 16/2009 y al Real Decreto Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, en cuya disposición derogatoria única se derogó la Ley 16/2009.
Se refiere también a distintas sentencias dictadas por las Audiencias Provinciales
Y razona lo siguiente para estimar la demanda:
"En el caso que nos ocupa, el Sr. Apolonio ha aportado a las actuaciones los mensajes de SMS, no cuestionados de contrario, que habría recibido el 06/07/2021 de los presuntos estafadores
(documento nº 4 de la demanda, visible a través de Minerva y no desde el expediente digital) y que le hicieron creer, según expuso en su demanda, que provenían de CaixaBank.
Según se observa, los indicados mensajes procederían del mismo número que CaixaBank había empleado en otras comunicaciones (anteriores y posteriores a ese día), y, por tanto, no
se aprecia que el demandante incurriera en negligencia grave obstativa de la responsabilidad de la proveedora de servicios de pago; sin que baste para acreditarla la alegación de que los mensajes de CaixaBank con su cliente suelen ser en catalán y que en este caso eran en castellano.
Se estima que, incumbiendo a la demandada la carga de justificar esa posible negligencia (grave además) del Sr. Apolonio, CaixaBank no ha desplegado en el procedimiento prueba
suficiente al respecto, ya que se ha limitado a aportar a las actuaciones un extracto de las operaciones informáticas relativas a ese día (documento nº 2 de la contestación) y a interesar la documentación policial y judicial (denegada esta última como prueba) elaborada tras la denuncia del Sr. Apolonio, pero sin aportar aquellos datos que pudieran demostrar que realizó las actuaciones necesarias para evitar este tipo de fraudes, tendentes a detectar y evitar que terceros utilicen sus números de teléfono para hacer creer a sus clientes que es CaixaBank quien les requiere los datos, y sin aportar tampoco las advertencias de seguridad que pudo haber dirigido al Sr. Apolonio en este caso concreto."
TERCERO.-La representación procesal de la entidad demandada se alzó contra la referida sentencia y solicitó la revocación de la misma y que se dictara otra en su lugar en la que se desestimase la demanda.
Dicha parte apelante basa su recurso de apelación en que en la sentencia de instancia se ha incurrido en error al valorar la prueba obrante en autos, pues de la misma se desprende con total claridad y sin margen de duda razonable, que:
1) El sistema de banca electrónica implementado por Caixabank es seguro y, en lo que respecta a las operaciones objeto de autos, funcionó correctamente.
2) Que fue el Sr. Apolonio quien actuó de forma gravemente negligente, facilitando a los defraudadores toda la información necesaria para que pudieran llevar a cabo la sustracción de los importes de su cuenta.
CUARTO.-Está Sala en su sentencia recaída en el Rollo de Sala nº 1222/2022 ha razonado lo siguiente:
"SEGUNDO.- La responsabilidad de la entidad bancaria.
En la resolución de la cuestión planteada en el presente procedimiento debe partirse de la consideración de que, con arreglo al marco jurídico en el que se desenvuelve la actividad de servicios de pago, el régimen de la responsabilidad de la prestadora del servicio ha de reputarse cuasi-objetiva, en la medida en que sólo se excluye en unos casos por culpa grave del cliente y en otros por únicamente por fraude imputable al mismo, lo que implica, además, que la carga de la prueba de esas circunstancias exoneratorias y la paralela inexigibilidad de otra conducta a la referida entidad incumba a ésta en todo caso. Así resulta de las siguientes normas:
1º) El artículo 147 del Texto Refundido de la Ley para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, aprobado por el Real Decreto Legislativo 1/2007, de 16 de noviembre, dispone: «Los prestadores de
servicios serán responsables de los y perjuicios causados a los consumidores o usuarios, salvo que prueben que han cumplido las exigencias y requisitos reglamentariamente establecidos y demás cuidados y diligencias que exige la naturaleza del servicio», siendo indiscutido que los demandantes merecen la consideración de consumidores.
2º) El art. 148 de la misma norma, según el cual «se responderá de los daños originados en el correcto uso de los servicios, cuando por su propia naturaleza, o por estar así reglamentariamente establecido, incluyan necesariamente la garantía de niveles determinados de eficacia o seguridad, en condiciones objetivas de determinación, y supongan controles técnicos, profesionales o sistemáticos de calidad, hasta llegar en debidas condiciones al consumidor y usuario».
3º) El art. 44 del Real Decreto- ley 19/2018, de 23 de noviembre , de regulación de los servicios de pago y otras medidas urgentes en materia financiera, que deroga la Ley 16/2009, de 13 de noviembre, de Servicios de Pago, con arreglo al cual «Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago»; y, conforme a su apartado tercero «Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave».
4º) El art. 45 de la misma norma, que establece «Sin perjuicio del artículo 43 de este real decreto- ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine».
5º) El art. 46.2 de la misma norma, conforme al cual «Si el proveedor de servicios de pago del ordenante no exige autenticación reforzada de cliente, el ordenante solo soportará las posibles consecuencias económicas en caso de haber actuado de forma fraudulenta»; teniendo en cuenta que, conforme al Art.2.5 se considera autenticación reforzada: «la autenticación basada en la utilización de dos
o más elementos categorizados como conocimiento (algo que solo conoce el usuario), posesión (algo que solo posee el usuario) e inherencia (algo que es el usuario), que son independientes -es decir, que la vulneración de uno no compromete la fiabilidad de los demás-, y concebida de manera que se proteja la confidencialidad de los datos de identificación».
A tales efectos, se ha de tener en cuenta que, conforme al art. 41 de la misma Ley, constituyen obligaciones del usuario de servicios de pago habilitado para utilizar un instrumento de pago, hacerlo en las que se establezcan y tomar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas;
así como en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, habrá de notificarlo al proveedor de servicios
de pago o a la entidad que este designe, sin demora indebida, en cuanto tenga conocimiento de ello.
Para poder determinar si esta actuación de la demandante puede considerarse como negligencia grave que exime a la entidad bancaria de responsabilidad, debe tenerse en cuenta, el considerando 72 de la Directiva (UE) 2015/2366 , sobre servicios de pago en el mercado interior:
«(72) A la hora de evaluar la posible negligencia o la negligencia grave del usuario de servicios de pago, deben tomarse en consideración todas las circunstancias. Las pruebas de una presunta negligencia, y el grado de esta, deben evaluarse con arreglo a la normativa nacional. No obstante, si el concepto de negligencia supone un incumplimiento del deber de diligencia, la negligencia grave tiene que significar algo más que la mera negligencia , lo que entraña una conducta caracterizada por un grado significativo de falta de diligencia. Un ejemplo sería el guardar las credenciales usadas para la autorización de una operación de pago junto al instrumento de pago, en un formato abierto y fácilmente detectable para terceros.(...).»"
Y en la sentencia de esta misma Sala de fecha 16 de mayo de 2024, recaída en el Rollo de Sala nº 821/2023:
"En lo que concierne al segundo argumento esgrimido por la apelante, hay que tener en cuenta lo establecido por el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera:
A) Art. 46: El ordenante soportará todas las pérdidas derivadas de operaciones de pago no autorizadas si el ordenante ha incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41.
B) Art. 41: El usuario de servicios de pago habilitado para utilizar un instrumento de pago utilizará el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago que deberán ser objetivas, no discriminatorias y proporcionadas y, en
particular, en cuanto reciba un instrumento de pago, tomará todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas.
La apelante sostiene que envió un SMS con el código OTP para validar la vinculación de la tarjeta bancaria a la aplicación Google Pay, que consta aportado como Documento nº4 de la demanda y, además, la propia demandante afirmó en el acto de la vista que había recibido en su teléfono móvil este SMS, por lo que la única opción posible es que la Sra. María Luisa revelara este código al tercero defraudador, incurriendo con esa conducta en negligencia grave.
Sin embargo, este tribunal no aprecia que esa actuación, objeto de reproche, merezca la calificación de negligencia grave.
Esta Sala debe tener en cuenta que la negligencia a que se refiere el precepto ha de revestir la condición de grave, no siendo suficiente una negligencia leve ni media para la exclusión de la responsabilidad de la entidad bancaria. En este sentido, el considerando 72 de la Directiva (UE) 2015/2366 , sobre servicios de pago en el mercado interior, dispone que:
«A la hora de evaluar la posible negligencia o la negligencia grave del usuario de servicios de pago, deben tomarse en consideración todas las circunstancias. Las pruebas de una presunta negligencia, y el grado de esta, deben evaluarse con arreglo a la normativa nacional. No obstante, si el concepto de negligencia supone un incumplimiento del deber de diligencia, la negligencia grave tiene que significar algo más que la mera negligencia, lo que entraña una conducta caracterizada por un grado significativo de falta de diligencia. Un ejemplo sería el guardar las credenciales usadas para la autorización de una operación de pago junto al instrumento de pago, en un formato abierto y fácilmente detectable para terceros»
Además, en relación con el concepto de negligencia grave, con carácter general, cabe afirmar que la jurisprudencia viene entendiendo que linda con el dolo. Así, la sentencia de la Sala Primera del Tribunal Supremo de 30 de enero de 2003 revisa en profundidad el concepto, conectándolo con el de falta de diligencia inexcusable, por lo que su apreciación ha de ser restrictiva.
La sentencia de 22 de junio de 2023 de la sección 5ª de la Audiencia Provincial de Asturias ( ROJ: SAP O 2047/2023 - ECLI:ES:APO:2023:2047 ) niega la calificación de grave a la negligencia consistente en "haber confiado en el SMS
recibido en su móvil, en la línea de mensajes de la demandada, y consignar en la página a la que resultó redireccionado las claves de acceso a su usuario", y a la misma conclusión llega este tribunal tras apreciar que lo mismo puede ser reprochado al demandante, quien, además, reaccionó sin tardanza tras percatarse de lo sucedido y presentó la correspondiente denuncia y dio aviso a la entidad demandada.
La SAP de Madrid de 13 de enero de 2023 , por su parte, establece que "... "la entidad que presta el servicio de pago solo puede exonerarse de responsabilidad, mediante la prueba de culpa grave del usuario que emite la orden de pago. En el supuesto objeto de recurso, estamos ante un fraude llamado "phishing", por el que se suplanta la identidad de la entidad bancaria para obtener información sobre las claves o credenciales de las cuentas bancarias o tarjetas de crédito/débito. Se envía un correo electrónico con la apariencia de ser remitido por la entidad bancaria, que contiene un enlace a una página que aparenta ser sitio oficial de ésta, pero que en realidad pertenece a un dominio bajo control del phiser".
La sentencia de la Audiencia Provincial de Madrid, sección 11, de fecha 28 de febrero de 2022 , hace un compendio de la misma y se menciona la sentencia de la Audiencia Provincial de Madrid (Sección 9ª) núm. 178/2015 de 4 mayo de 2015 (JUR
2015\151311), que se pronuncia en el sentido siguiente: "Salvo actuación fraudulenta, incumplimiento deliberado o negligencia grave del ordenante (Art. 32), la responsabilidad será del proveedor del servicio de pago, lo que supone que a él le corresponde la carga de la prueba de que la orden de pago "no se vio afectada por un fallo técnico o cualquier otra deficiencia " (art 30).
En atención a lo expuesto, considera esta Sala, que la responsabilidad contemplada en esta Ley es cuasi-objetiva, es decir, se trata de una responsabilidad de la entidad que presta servicios de pago que sólo permite exonerarse mediante la prueba de la culpa grave del ordenante.
En base a ello, valorando las circunstancias concurrentes en el presente caso, no cabe apreciar negligencia grave por parte de la demandante en el cumplimiento de su obligación de proteger sus credenciales de seguridad. No puede tacharse de gravemente negligente la conducta de quien, tras recibir en el mismo canal en el que recibe habitualmente las comunicaciones procedentes de su banco un mensaje de texto en el que se le informa que tiene que verificar su identidad facilitándole un enlace para ello, decide pulsar en ese enlace e introducir su usuario y contraseña, dado que, para una persona no experta, no es fácil detectar que el mensaje recibido es fraudulento o que la web a la que ha accedido a través del enlace facilitado es falsa.
No se niega que el actor incurriera en falta de diligencia, o de exceso de confianza, pero no se estima que esto pueda ser llevado al extremo de ser tenido por una negligencia grave como la que invoca la recurrente, por lo que debe desestimarse el recurso de apelación interpuesto y confirmarse la resolución recurrida."
QUINTO.-Esta Sala considera que el recurso de apelación objeto de la presente resolución no puede prosperar. Y ello por cuanto entendemos que, en contra de lo que se pretende en el mismo, la juez "a quo" no ha incurrido en error alguno en la valoración de la prueba, sino que, antes al contrario, ha valorado correctamente la misma para considerar que en el supuesto de autos el actor no incurrió en negligencia grave, al haber confiado en el SMS recibido en su teléfono, cuyos mensajes procederían del mismo número que CaixaBank había empleado en otras comunicaciones (anteriores y posteriores a ese día) conforme se recogen la sentencia de instancia.
Conforme hemos indicado al citar la sentencia dictada por esta Sala, la responsabilidad de la entidad demandada es cuasi-objetiva, es decir, se trata de una responsabilidad de la entidad que presta servicios de pago que sólo permite exonerarse mediante la prueba de la culpa grave del ordenante; carga probatoria que corresponde a la entidad demandada y que en el supuesto de autos, tal y conforme se razona en la sentencia de instancia, no ha dado cumplimiento a la misma, al no aportar aquellos datos que pudieran demostrar que realizó las actuaciones necesarias para evitar este tipo de fraudes tendentes a detectar y evitar que terceros utilicen sus números de teléfono para hacer creer a sus clientes que es Caixabank quien les requiere los datos, y sin aportar tampoco las advertencias de seguridad que pudo haber dirigido al Sr. Apolonio en este caso concreto, según se concluye acertadamente en la sentencia apelada.
A lo que consideramos procedente añadir que, tal y conforme alega la parte apelada al ponerse al recurso de apelación, la entidad demandada designó a don Argimiro para que declarara en el juicio en representación de dicha entidad, como conocedor del asunto;
y, a pesar de ello, no pudo contestar a la mayor parte de las preguntas que le realizó la dirección letrada de la parte actora; respondiendo a muchas de ellas: "Lo desconozco".
Por todo ello procede estimar el recurso de apelación y confirmar la sentencia de instancia.
SEXTO.-Al desestimar el recurso de apelación, procede imponer las costas de esta alzada a la parte apelante, conforme lo dispuesto en el art. 398.1 LEC.
