PRIMERO.El supuesto fáctico sometido a consideración es un caso de phishing.Así, la actora narra que recibió un mensaje en su teléfono que, al parecer, provenía de su banco, la entidad CaixaBank, SA, que le indicaba que debía actualizar la información de su cuenta y, sino lo hacía, las tarjetas de crédito quedarían bloqueadas. Tania entró en el enlace y le llevó a una página idéntica a la del banco, que le solicitó determinados datos que ella proporcionó, en la creencia que eran necesarios para actualizar la cuenta. Esa aplicación quedó bloqueada ese mismo día y también en ese mismo momento, la actora recibió un mensaje de la entidad bancaria informándole de que la compra había sido realizada con su tarjeta acabada en NUM000 por un importe de 2302,20 euros. Tania se puso inmediatamente en contacto con CaixaBank, SA y solicitó que dicha operación realizada sin su consentimiento fuera bloqueada. Mientras realizaba dicha llamada, recibió un segundo mensaje de una segunda compra con la tarjeta terminada en NUM001 por importe de 1705,10 euros. Reclama la actora en este procedimiento el importe de dichos pagos al no haber sido autorizados por ella y no haber atendido la entidad bancaria la reclamación extrajudicial previa.
La sentencia desestima íntegramente la demanda. Tras poner de manifiesto la legislación aplicable, argumenta que la entidad bancaria ha acreditado que realizó la operación conforme a la forma habitual y que ambas compras fueron autorizadas por medio del sistema reforzado (notificación y confirmación de la operación en CaixabankNow y CaixabankSign). Tampoco existió fallo técnico o cualquier otra deficiencia en el servicio, por lo que se aprecia la existencia de negligencia grave del usuario en la custodia y utilización de las claves y códigos ofrecidos, máxime cuando la actora suele operar con frecuencia con la banca on liney conocía su funcionamiento.
El recurso de apelación pone el acento en la inexistencia de negligencia grave por parte de la usuaria del servicio de pago. No se niega que la actora fue engañada por el procedimiento denominado phishing,que le llevó a una página que simulaba a la perfección la página auténtica del banco, pero niega que cediera sus claves y códigos. Prueba de ello es que, tras recibir el primer mensaje que alertaba de una primera compra no autorizada, la actora llamó inmediatamente al servicio de atención al cliente de CaixaBank, SA y, mientras se estaba realizando dicha llamada, le llegó otro mensaje comunicando que se había recibido una segunda compra. Obviamente, es imposible que la actora consintiera dicho pago, pues no pudo utilizar la aplicación digital CaixaBankSign, ni tampoco la actora recibió en su teléfono un código de verificación por vía SMS para confirmar las compras. Por todo ello se acaba suplicando que se revoque la resolución recurrida y se dicte otra sentencia en la que se estime la demanda, con expresa condena en costas a la demandada.
La parte demandada, por el contrario, solicita que se desestime el recurso y se confirme la sentencia en todos sus argumentos. Se alega por Caixabank, SA que su plataforma de pagos y banca on linecontaba con todas las medidas de seguridad necesarias, que, además, eran conocidas por la actora. Dichas medidas de seguridad están descritas en el contrato de las tarjetas bancarias, donde además se apela al usuario a que no facilite ningún dato de códigos, contraseñas o claves porque podría ser víctima de un fraude. Dado que no se discute la recepción del mensaje fraudulento, la actora debió facilitar, sin ningún género de dudas, el número de tarjeta, la fecha de caducidad y el código de verificación o CVV. Pero, además, existía una autenticación reforzada, que se refiere al propio dispositivo por el que se accedió a CaixaBankNow y el conocimiento de las credenciales de acceso, datos que también la actora debió facilitar. Por tanto, con el acceso a tales datos, el supuesto delincuente pudo acceder a la banca onlinede la actora a través de cualquier dispositivo móvil o informático. Tras dirigirlo a la pasarela de pago, se le solicitó que autorizara las compras y pudo acceder correctamente a CaixaBankNow, porque la actora le había facilitado los datos. Por lo que no puede aducirse que dichas notificaciones no fueron recibidas por la actora, de acuerdo con los detalles de los mensajes remitidos y aportados como prueba documental.
Por todo ello, se considera que la actora incumplió las obligaciones que le impone el art. 41 del RDL núm. 19/2018, de utilizar los instrumentos de pago de conformidad con las condiciones que regulen su emisión o utilización y no tomó las medidas razonables a fin de proteger los elementos de seguridad personalizados. Todo lo anterior también lleva a la conclusión de que no puede negarse que se otorgó el consentimiento para las compras, pues el procedimiento que se utilizó para ello fue la pactada en los contratos de tarjeta de crédito, con doble autenticación.
En otro orden de cosas, solicita por la demandada que esta Sala se pronuncie sobre la excepción planteada en la instancia de falta de legitimación pasivs, que fue desestimada. Se narra que la demanda se dirigió contra CaixBanck, SA, que únicamente se limita a comercializar las tarjetas de crédito. Es CaixaBank Payments&Consumer, EFC, EP, SAU, la entidad de pago y emisora de las tarjetas utilizadas para efectuar las operaciones no reconocidas por la parte demandante. A pesar de encontrarse ambas entidades dentro del mismo grupo empresarial, la segunda es una sociedad independiente de la primera. Y fue CaixaBank Payments&Consumer, EFC, EP, SAU la que firmó los contratos de tarjeta de crédito.
Por ello, CAIXABANK, SA no ostenta la legitimación pasiva en el presente procedimiento, pues es la otra entidad, como proveedor de servicios de pago, quien estaría obligado a cumplir con las disposiciones del Real Decreto-Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera.
SEGUNDO.Para determinar el régimen jurídico aplicable, reproduzco la sentencia de la Sección 1ª de esta Audiencia Provincial de Murcia de fecha 16 de enero de 2023: "El régimen jurídico se articula en torno a las siguientes previsiones legales:
7.- Régimen aplicable al usuario de los servicios de pago:
a.- Deberá cumplir con las obligaciones que se establecen en el artículo 41 RDL 19/2018 :
i. Usar el instrumento de pago conforme a lo pactado y tomar las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas;
ii. En cuanto tenga conocimiento de haber perdido la posesión del instrumento de pago o de haber sido este utilizado sin su autorización, notificarlo sin demora indebida al proveedor de servicios de pago.
b.- Son derechos del usuario del servicio de pago:
i. Obtener la rectificación por parte del proveedor de servicios de pago de una operación de pago no autorizada, siempre que lo comunique sin demora injustificada (art. 43.1 RDLSP).
ii. Exigir al proveedor de pagos la entrega de la documentación acreditativa de los servicios de pago autorizados (art. 44.4 RDLSP).
iii. La devolución del importe de la operación no autorizada en su cuenta de pago (art. 45.1 RDLSP).
c.- El régimen de responsabilidad del usuario de los servicios de pago:
iv. El ordenante será quien soporte la totalidad de las pérdidas cuando concurran estos requisitos (art. 46 RDLSP):
a. La operación de pago fue autenticada y registrada con exactitud y no se vio afectada por ninguna deficiencia del servicio prestado por el proveedor de servicios de pago;
b. El ordenante actuó de manera fraudulenta;
c. El ordenante haya incumplido deliberadamente o por negligencia grave alguna de las obligaciones recogidas en el artículo 41 RDL 19/2018 .
8.- Régimen aplicable al proveedor de servicios de pago:
a.- Debe cumplir las específicas obligaciones de protección en la emisión de los instrumentos de pago y en los procesos de autenticación de las operaciones de pago cuya finalidad es minimizar la probabilidad de ejecución de operaciones no autorizadas. En concreto, y en relación a los mecanismos de autentificación de las operaciones de pago:
i. Cerciorarse de que las credenciales de seguridad personalizadas del instrumento de pago sólo sean accesibles al usuario de servicios de pago facultado para usar dicho instrumento (art. 42.1.a) RDLSP)
ii. Garantizar la existencia de medios adecuados y gratuitos que permitan al usuario el cumplimiento de las obligaciones establecidas en el artículo 41 RDLSP (art. 42.1.c) RDLSP).
iii. Impedir la utilización del instrumento de pago una vez solicitado su bloqueo por el usuario (art. 42.1.e) RDLSP).
iv. Conservar la documentación y los registros que le permitan acreditar el cumplimiento de sus obligaciones (art. 44.4 RDLSP).
v. Tienen el deber de establecer un sistema de autentificación reforzada de los clientes en los casos que el ordenante: a) acceda a su cuenta de pago en línea; b) inicie una operación de pago electrónico; c) realice por un canal remoto cualquier acción que pueda entrañar un riesgo de fraude en el pago u otros abusos (art. 68.1 RDLSP).
b.- El régimen de responsabilidad se articula en torno a las siguientes previsiones:
i. Será el proveedor de los servicios de pago quien habrá de responder de las pérdidas de importe superior a 50 euros por las operaciones de pago resultantes del uso fraudulento del instrumento de pago por un tercero; responderá de la totalidad de la pérdida cuando al ordenante no le hubiera sido posible detectar el posible uso fraudulento antes de que éste se hubiese materializado o cuando la pérdida se debiera a la acción u omisión de cualquier persona de la que el proveedor de servicios hubiera de responder (art. 46.1 RDLSP).
ii. Responderá en los casos en los que no se exijan autorizaciones reforzadas al cliente, excepto en caso de uso fraudulento del instrumento de pago (art. 46.2 RDLSP).
iii. En los casos de operaciones de pago ya ejecutadas no autorizadas, será responsable de demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago (art. 44.1 RDLSP).
iv. Corresponderá al proveedor de servicios de pago probar que el usuario del servicio de pago cometió fraude o negligencia grave (art. 44.3 RDLSP).
v. Estará obligado a la devolución de las operaciones de pago no autorizadas de forma inmediata desde la notificación de la operación no autorizada, salvo que tenga sospechas razonables de fraude y comunique dichos motivos, por escrito, al Banco de España (art. 45.1 RDLSP)."
Tales criterios han sido especialmente ratificados por la reciente STS núm. 571/2025, de 9 de abril. Esta resolución efectúa una larga exposición sobre la directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre y del RDL 19/2018, de 23 de noviembre, que traspuso dicha Directiva a nuestro ordenamiento; y cuyos principales parámetros han sido expuestos en la reproducción de la sentencia de la Sección 1ª de esta Audiencia Provincial.
En nuestro caso, no son hechos discutidos que la actora recibió un mensaje fraudulento y pensó que era de su banco. Al acceder a él, porque se le informaba de la posibilidad de bloqueo de sus tarjetas de crédito, es indiscutible que facilitó varios datos importantes y que, con ellos, se realizaron dos compras con sus tarjetas de crédito. De los documentos de la demanda deriva que la actora se puso inmediatamente en contacto con CaixaBank, SA en el momento en que recibió el primer mensaje para autorizar la primera compra y, efectivamente y dadas las horas en que constan registradas las llamadas, estaba hablando con el servicio de atención al cliente cuando recibió el mensaje de la segunda compra. Por tanto, es casi imposible que la actora recibiera un mensaje en su teléfono para confirmar las compras; pero es totalmente imposible que diera su consentimiento por medios electrónicos a la segunda compra. Como dice la parte demandada, los mensajes de verificación de la compra debieron llegar a la persona que construyó el engaño, que fue quien realizó todo el proceso de autenticación con el banco.
Entonces, debemos preguntarnos si el supuesto fáctico entra dentro de lo que la normativa aplicable entiende como operación autenticada, registrada con exactitud y contabilizada.
Al respecto, la STS núm. 571/2025 anteriormente citada indica: "En suma, la responsabilidad del proveedor de los servicios de pago, en los casos de operaciones no autorizadas o ejecutadas incorrectamente, tiene carácter cuasi objetivo, en el doble sentido de que, primero, notificada la existencia de una operación no autorizada o ejecutada incorrectamente, el proveedor debe responder salvo que acredite la existencia de fraude; y, segundo, cuando el usuario niegue haber autorizado la operación o alegue que ésta se ejecutó incorrectamente, corresponde al proveedor acreditar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio, sin que el simple registro de la operación baste para demostrar que fue autorizada ni que el usuario ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave.
Profundizando en este último punto, la expresión «operaciones no autorizadas» incluye aquellas que se han iniciado con las claves de usuario y contraseña del usuario -necesarias para acceder al sistema de banca digital- y confirmado mediante la inserción del SMS enviado por el propio sistema al dispositivo móvil facilitado por el usuario, siempre que éste niegue haberlas autorizado, en cuyo caso el banco deberá acreditar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio que presta.
A este respecto, la mención «deficiencia del servicio» no significa error o fallo del sistema informático o electrónico -posibilidad que estaría prevista en el concepto de «fallo técnico»-, sino que abarca cualquier falta de diligencia o mala praxis en la prestación del servicio, en el entendimiento de que el grado de diligencia exigible al proveedor de los servicios de pago no es el propio del buen padre de familia, sino que la naturaleza de la actividad y los riesgos que entraña el servicio que se presta, sobre todo en una relación empresario/consumidor, obliga a elevar el nivel de diligencia a un plano superior, como es el del ordenado y experto comerciante. Lógicamente, las buenas prácticas pasan por adoptar las medidas de seguridad necesarias para garantizar el correcto funcionamiento del sistema de servicios de pago, entre las cuales destacan las orientadas a detectar de forma automática la concurrencia de indicios de que puede tratarse de una operación anómala y generar una alerta o un bloqueo temporal (v.gr. reiteración de transferencias sin solución de continuidad, horario en que se producen, importe de las mismas, destinatarios, antecedentes en el uso de la cuenta...), o las dirigidas a incrementar el control y vigilancia cuando se han recibido noticias o alertas de un posible aumento del riesgo...
Es verdad que el art. 36.1 del Real Decreto Ley 19/2018 establece que las operaciones de pago «se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución», así como que «[e]l ordenante y su proveedor de servicios de pago acordarán la forma en que se dará el consentimiento, así como el procedimiento de notificación del mismo». Como también es cierto que en la condición 4.ª del contrato de banca digital suscrito entre las partes se indica que «el usuario-titular se compromete a otorgar plena validez jurídica a las operaciones realizadas mediante cualquier tipo de claves y/o códigos que permitan la identificación personal del mismo, dando como válidas y propias las operaciones realizadas empleando las claves o códigos previstos en este contrato», sin que se discuta que en el supuesto litigioso se emplearon las claves y/o códigos personales del demandante.
Pero no es menos cierto que, primero, estamos ante una regulación que se impone a las partes, sin que su aplicación quede al albur de la libertad o autonomía contractual, de modo que la condición 4.ª -como la cláusula 8.ª, de exoneración de responsabilidad de la entidad bancaria- han de respetar en todo caso el régimen de derechos, obligaciones y fórmulas de responsabilidad legalmente previstos; segundo, que, en el marco de esta regulación, el consentimiento no se entiende prestado por el solo hecho de que la operación de pago se haya realizado mediante la utilización de las claves personales, sino que es necesario que provenga del usuario o, en caso de que éste niegue su intervención, que se acredite fraude, incumplimiento deliberado o, al menos, negligencia grave por parte del usuario, cuya prueba recae sobre la entidad bancaria; y, tercero, cuando el usuario ha notificado de forma inmediata la existencia de una operación no autorizada, la entidad ha de proceder a su rectificación, salvo que demuestre que hubo fraude imputable al usuario.
En otras palabras, el que la entidad bancaria acredite que la operación fue autenticada, registrada con exactitud y contabilizada, no es suficiente para eximirle de responsabilidad. Ha de probar que la operación no resultó afectada por un fallo técnico u otra deficiencia del servicio prestado, y, dado que el cliente niega que la operación fuera consentida, que no hubo por parte de este último fraude, incumplimiento deliberado o negligencia grave."
Dicho lo anterior, se puede desprender de la documental presentada por la parte demandada que los mensajes de verificación y autenticación de las compras no fueron SMS, sino mensajes PUSH. Y según la propia pericial de la parte demandada, los mensajes de este tipo no se remiten al teléfono de la actora, ni a ningún móvil concreto, sino a la aplicación denominada CaixaBanksSign. Dice el informe pericial "Tal y como ya se ha comentado en este informe pericial, los mensajes SMS se envían al teléfono móvil del cliente, y las notificaciones 'push' a la aplicación CaixaBankSign, como una alternativa a los SMS."
Bastaba, por tanto, que el tercero que tenía los datos de la actora tuviera instalada esta aplicación en su dispositivo electrónico para recibir el mensaje que le indicaba que se estaba realizando unas compras y debía verificarlas, de tal manera que, si estaba conforme con los datos de la operación (como no puede ser de otra manera), sólo es preciso pulsar sobre "confirmar" para validar la compra.
Lo único que recibió la actora son los mensajes de que se solicitaba autorización de compra por internet, pero a partir de la aplicación CaixaBankNow, que no es la apta para autenticar la compra. Y fue precisamente la recepción del primer mensaje lo que hizo que inmediatamente la actora se pusiera en contacto con el banco.
Siendo la aplicación CaixaBankSing proporcionada por la entidad demandada, a ella le corresponde garantizar que su uso no puede ser fraudulento, de tal manera que pueda ser descargada en otro dispositivo electrónico diferente. No existe acreditación concreta y clara de que fuera la usuaria quien recibiera en su teléfono móvil la apertura de la aplicación CaixaBankSing para confirmar la compra. Y, en todo caso, es imposible que autenticara la segunda compra, ya que se estaba verificando cuando ella estaba poniendo en conocimiento del banco el fraude que estaba sufriendo. Obviamente y según hemos visto en la jurisprudencia anteriormente transcrita, esta prueba le corresponde a la entidad bancaria. Por tanto, el sistema de seguridad de verificación utilizado no es válido para este tipo de fraudes, pues no incluye información relativa al concreto teléfono móvil al que se envían las notificaciones para autenticar la operación bancaria.
Recuérdese que es la entidad de crédito la que más ventajas obtiene del funcionamiento de la banca on line;precisamente por el ahorro de costes que le genera. Entonces, no sólo debe extremar las cautelas de seguridad en su uso, sino que además no puede hacer recaer toda la responsabilidad de dicho uso en el cliente.
Lo anterior sería suficiente para la estimación del recurso, pero también vamos a referirnos a la negligencia grave que el banco imputa a la actora. En este ámbito, lo primero a lo que debemos atender es al considerando 72 de la a Directiva (UE) 2015/2366 citada: "A la hora de evaluar la posible negligencia o la negligencia grave del usuario de servicios de pago, deben tomarse en consideración todas las circunstancias. Las pruebas de una presunta negligencia, y el grado de esta, deben evaluarse con arreglo a la normativa nacional. No obstante, si el concepto de negligencia supone un incumplimiento del deber de diligencia, la negligencia grave tiene que significar algo más que la mera negligencia, lo que entraña una conducta caracterizada por un grado significativo de falta de diligencia. Un ejemplo sería el guardar las credenciales usadas para la autorización de una operación de pago junto al instrumento de pago, en un formato abierto y fácilmente detectable para terceros".
Y en la interpretación de la normativa nacional, la STS núm. 571/2025 citada indica: "Asimismo, el hecho de que la filtración o el conocimiento de las claves por el tercero no sea imputable a la entidad bancaria tampoco la libera de obligación de responder ni traslada al usuario la obligación de soportar las pérdidas, ya que el proveedor de servicios de pago, además de demostrar que el servicio se prestó correctamente -lo que no sucedió-, debía acreditar la concurrencia de fraude o incumplimiento deliberado o gravemente negligente por parte del usuario, y, en relación con este extremo, las sentencias de instancia y de apelación coinciden en que no se ha probado fraude ni incumplimiento doloso o por negligencia grave de las obligaciones que correspondían al demandante, y, en concreto, las de tomar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas y de notificar al proveedor de servicios de pago la utilización no autorizada del instrumento de pago, tan pronto tuvo conocimiento de ello, lo que así hizo, participando las tentativas de acceso a su cuenta con una antelación de tres semanas.
Obsérvese que, contra lo que mantiene por la recurrente, el que un tercero hubiera podido acceder a las claves de acceso a la banca digital del demandante no supone per se que haya incurrido en negligencia alguna, pudiendo existir múltiples explicaciones, muchas de las cuales resultan difícilmente atribuibles a título de negligencia, y menos aún, de negligencia grave."
A mayor abundamiento, dice la sentencia de la Audiencia Provincial de Toledo de 2 de abril de 2001: "Para valorar la diligencia exigible en el cumplimiento de los contratos y por tanto el grado de negligencia en que pudiera haber incurrido uno de los contratantes (en nuestro caso el asegurado víctima del robo), se hace preciso acudir a lo preceptuado en el art. 1104 del Código Civil , que como es sobradamente conocido, define la diligencia media exigible como aquella que correspondería a un buen padre de familia. Con ello, al referirse el art. 52 a negligencia grave, es claro que la simple inobservancia de la diligencia de un buen padre de familia, no sería suficiente como para exonerar de responsabilidad, sino que se habría de incurrir en una conducta negligente de mayor rango. No basta pues con despreciar u omitir las prevenciones que de ordinario habría adoptado un hombre medianamente diligente y cuidadoso, sino que el precepto requiere la omisión en definitiva de aquellas normas de cuidado que usualmente habría adoptado el más descuidado de los hombres."
Y la sentencia de la Sección 14ª de la Audiencia Provincial de Madrid e 18 de mayo de 2006 añade: "El concepto de negligencia grave está referido al tradicional concepto de culpa lata, en la que incurre quien omite lo que todos hacen, o no comprende lo que todos comprenden, incumpliendo las precauciones más elementales previstas por todos, por contraposición a la negligencia leve, referida a la actuación generalmente observada por un buen padre de familia, y ha de evaluarse siempre en atención a las circunstancias concurrentes en cada supuesto concreto."
Partiendo de dichas consideraciones, no se pone en duda que toda la operación se inició porque la actora activó un mensaje y compartió sus claves con un tercero que quería obtener un beneficio ilícito. Pero, a la vez, debemos concluir que tal actuación no la realizó de forma voluntaria; es decir, con pleno conocimiento y voluntad de las consecuencias de dicho acto. Al contrario, tan pronto como se apercibió de su error, se puso en contacto con el proveedor bancario e interpuso la correspondiente denuncia.
En tal situación, hemos de admitir que la actora habría sido víctima de una estafa. La finalidad de todo engaño es precisamente vencer la precaución y las medidas de seguridad que pueda adoptar la víctima; y, desgraciadamente, no nos encontramos ante un engaño burdo o fácilmente detectable por quien lo habría padecido. Al contrario, el enlace fraudulento llevó a la actora a una página que se asemejaba perfectamente a la de CaixaBank, SA, que fue lo que determinó que la actora facilitara sus claves.
En definitiva, la falta de diligencia de la actora no puede calificarse como grave. Ese tipo de negligencia que la normativa existe sería quien toma la iniciativa a la hora de desproteger sus credenciales, o la negligencia de quien hace entrega de los datos y credenciales a un tercero que se muestra claramente como tal, como ajeno a la entidad bancaria mediante signos y evidencias suficientes de tal ajenidad. Pero no ostenta la misma gravedad relevante la negligencia de quien no actúa por iniciativa propia, sino arrastrado por el comportamiento fraudulento de tercero, mediante un mecanismo de fraude muy específico y complejo y de difícil detección, en el que es fácil ser víctima de un engaño ante la apariencia y creencia de oficialidad de la entidad.
La anterior argumentación debe llevar a la estimación del recurso, revocando íntegramente la sentencia y dictando otra en la que se condena a la parte demandada al pago de la cantidad reclamada, más los intereses desde la interposición de la reclamación extrajudicial, conforme al art. 1008 del CC y se ha solicitado.
TERCERO.Estimándose el recurso, es necesario entrar a conocer la excepción de falta de legitimación pasiva opuesta en la contestación a la demanda y alegada también ad cautelamen el escrito de oposición al recurso. Dice Caixabank, SA que no es el proveedor del servicio de pagos, sino otra entidad del mismo grupo. Consignó literalmente en sus escritos expositivos varias sentencias de Audiencias Provinciales que han recogido dicha excepción procesal. Sin embargo, en nuestro caso dicha excepción debe ser desestimada.
La legitimatio ad causamestá relacionada con la pretensión que se ha formulado, pues es la relación existente entre una persona determinada y una situación jurídica en litigio, por virtud de la cual es precisamente esta persona y no otra la que debe figurar en él, ya sea en concepto de actor o de demandado. Y según reiterada jurisprudencia, no se puede impugnar la personalidad o legitimación de un litigante a quien dentro o fuera del pleito se le tiene reconocida ( SSTS de 30 de junio de 1958, 2 de diciembre de 1973, 22 de junio de 1974, 2 de abril de 1984, 2 de abril de 1986, 5 de octubre de 1987, 21 de julio de 1989 y 28 de octubre de 1991).
En nuestro caso y unido a lo anterior, la desestimación de la excepción proviene, esencialmente, de la propia actuación de la entidad bancaria, a la que le resulta aplicable la doctrina de los actos propios. Se ha indicado que para que sea vinculante una actuación propia, es preciso que cause estado, definiendo inalterablemente la situación jurídica de su autor, o que vaya encaminada a crear, modificar o extinguir algún derecho opuesto a sí mismo ( sentencias del TS de 27 de julio y 5 de octubre de 1987, 15 de julio de 1989, 18 de enero y 22 de julio de 1990), además de que el acto ha de estar revestido de cierta solemnidad, ser expreso, no ambiguo y perfectamente delimitado, definiendo de forma inequívoca la intención y situación del que lo realiza ( sentencias del TS de 22 de septiembre y 10 de octubre de 1988), lo que no puede predicarse en los supuestos en que hay error, ignorancia, conocimiento equivocado o mera tolerancia ( sentencia del TS de 31 de enero de 1995).
En el presente caso, es obvio que todos estos criterios se cumplen, pues la parte demandada contestó a la reclamación extrajudicial de la parte actora reconociendo su condición de proveedor de servicios de pago y efectuó alegatos para denegar la reclamación y en ningún momento cuestionó la relación contractual. Y no sólo eso, sino que, según es de ver en la contestación del Banco de España ante la reclamación de la actora, también CaixaBank, SA realizó alegaciones sin oponer su falta de legitimación pasiva ante la reclamación. Con esta actuación, creó en la actora la confianza suficiente para interponer la demanda contra ella. Resulta así contradictorio que Caixabank, SA asumiera la condición de proveedor de los servicios de pago en la reclamación extrajudicial y pretenda ahora, yendo contra sus propios actos, negar su legitimación pasiva en este procedimiento.
CUARTO.La estimación del recurso conlleva la imposición de las costas de la instancia a la parte demandada, por aplicación del principio de vencimiento, sin efectuar declaración sobre las costas de esta alzada, dada la estimación del recurso ( art. 394 y 398 de la LEC) .
Vistos los artículos citados y demás de general y pertinente aplicación.
En nombre de SM el Rey
