Sentencia Civil 8/2026 Audiencia Provincial de Cuenca Civil-penal Única, Rec. 311/2025 de 20 de enero del 2026

PRIMERO.-Se alza la parte demandante contra la desestimación de su demanda en la que exigía responsabilidad al Banco Sabadell en base a los siguientes hechos:

"Que, el pasado 11 de septiembre de 2023, el Sr. Serafin, en torno a las 17:00 horas, recibió una llamada realizada desde un número de teléfono del BANCO SABADELL el 93 520 29 10- en la que un varón que se identificaba como miembro del Servicio de Ciber-Seguridad de la entidad bancaria le informa de que se había realizado una operación fraudulenta desde su cuenta bancaria ordenando la transferencia desde la misma de un importe de 5.000,00 € para la compra de un vehículo en Murcia, facilitándole su interlocutor los datos relativos a la identidad del demandante por lo que a este no le cupieron dudas respecto de que realmente estaba hablando con un empleado del BANCO SABADELL. Y en tal sentido, el actor siguió las instrucciones que se le proporcionaron para anular dicha transferencia, a cuyo efecto se le dijo que se le enviarían unos códigos para poder cancelar la operación, recibiendo al poco en su móvil un mensaje de texto con un código que le fue solicitado por su interlocutor para cancelar la operación, siguiendo los pasos que este le iba indicando para solucionar el problema detectado. Que, una vez realizada tales operaciones, el demandante trató de ponerse en contacto con la entidad bancaria para cerciorarse de que

todo se había hecho correctamente, realizando reiteradas llamadas al número de atención al cliente del banco que, supuestamente, está disponible las 24 horas -96 308 50 00- sin que en ningún momento se atendiera ninguna de sus llamadas pues únicamente obtenía la respuesta grabada de que todos los operadores estaban ocupados, cortándose la comunicación acto seguido.Solamente a las 08:15 horas del siguiente día 12/09/2023 la entidad bancaria le coge el teléfono a su cliente y procede al bloqueo de la banca "online", si bien le dice que la operación no puede anularse ya pues la esta se había hecho efectiva y no se podía recuperar la cantidad transferida a otra cuenta del mismo BANCO DE SABADELL, y que únicamente se habría podido recuperar el dinero si se hubiera cancelado el mismo día 11 de septiembre cuando se cursó la orden de transferencia, así como que, en todo caso, debería presentar denuncia. Todo ello sin tener en cuenta que, si la operación no se anula el mismo día en que tiene lugar es, precisamente, porque la entidad bancaria no atiende las repetidas llamadas de su cliente. Ha de tenerse en cuenta, además, que la transferencia se realizó en DOMINGO cuando nunca el demandante había hecho transferencia alguna en el citado día de la semana y menos por ese importe, sin que tampoco resulte razonable que no se le permitiera anularla al siguiente día hábil cuando ha resultado completamente imposible contactar con el banco el mismo domingo para adoptar medida alguna, dejando la entidad bancaria, de este modo, completamente indefensos en los festivos a sus clientes, algo que, sin duda alguna, saben bien los estafadores que utilizan ese día precisamente para cometer el delito. De ahí que, por mucho que lo intentara, D. Serafin no pudiera revertir la transferencia fraudulenta efectuada, realizándose en su cuenta, con fecha 11/09/2023, el cargo de CINCO MIL EUROS (5.000,00 €) que refleja el extracto de cuenta adjunto como documento nº CINCO a la presente. En esa misma línea, se adjunta igualmente, como documento nº SEIS, captura de pantalla del móvil del actor en la que aparece el número de la entidad bancaria desde el que se recibió la llamada fraudulenta; como documento nº SIETE, consulta efectuada en la web en la que aparece que el número de contacto del BANCO SABADELL el 935202910, a través del que se efectuó la referida llamada telefónica; como documento nº OCHO, captura de pantalla con las distintas llamadas efectuadas tanto el día 11 de septiembre como el siguiente 12, y cómo todas las primeras resultaron infructuosas. Pese a las quejas formuladas por su cliente desde el siguiente día hábil a la producción del engaño, la entidad bancaria demandada ha desestimado su petición de devolución del importe transferido alegando que la transferencia se había realizado correctamente, no viéndose afectada por ningún fallo técnico ni deficiencia en el servicio -documento nº DIEZ-, si bien no se hacía referencia en la citada comunicación a la razón por la que su servicio de atención de 24 horas no en encontraba operativo el día de la producción de los hechos pues, de haberse atendido sus llamadas, se podría haber anulado la orden de transferencia, sin que tampoco nos diga por qué no lo fue al siguiente día hábil cuando finalmente la demandada atendió las llamadas de su cliente, máxime cuando este nunca había efectuado una transferencia en día festivo, y menos por un importe tan alto. Téngase en cuenta que D. Serafin consiguió contactar con la entidad bancaria a través de uno de sus empleados a primera hora del 12 de septiembre -08:35 horas como puede comprobarse en el documento adjunto como nº OCHO-, es decir, sin que hubieran transcurrido siquiera 24h de la orden de transferencia, mientras que la operativa bancaria determina que las transferencias ordenadas en una fecha serán efectivas al día siguiente hábil. Por otro lado, debemos indicar que mi representado ha guardado todas las medidas razonables y necesarias para salvaguardar la operativa de banca a distancia, o trámites "online" con la entidad, nunca ha hecho copia, ni fotos, ni ha reproducido por ningún medio la tarjeta de coordenadas. En ningún momento mi mandante ha realizado uso fraudulento de sus códigos de autorización, ni ha realizado otras operaciones como la ahora denunciada que pudiera inducir a la entidad bancaria a error. Por ello el actor recurrió asimismo al Servicio de Atención al Cliente de la entidad bancaria según esta misma le indicaba -documento nº ONCE- sin que dicha vía tuviera tampoco ningún efecto pues el banco siguió insistiendo en que la operación se había registrado correctamente -documento nº DOCE-, sin tomar en cuenta que "...la Ley de los Servicios de Pago establece un sistema de responsabilidad cuasi objetiva para la entidad financiera, previendo que en caso de disposiciones fraudulentas el proveedor de servicios de pago deberá devolver de inmediato el importe de la operación no autorizada, (art. 31 ), quedando exento de esta obligación solo en el caso de que la operación no autorizada sea fruto de la actuación fraudulenta del cliente o del incumplimiento, deliberado o por negligencia grave, de una o varias de sus obligaciones (art. 32). Además, la Ley prevé una inversión de la carga de la prueba en tanto es el proveedor de los servicios, quien debe probar que la operación fue debidamente autenticada, cuando el usuario de los servicios lo niegue (art. 30)." - St. nº 125/2023, de 16 de mayo, de la Audiencia Provincial de Cuenca , documento nº TRECE-. Se adjunta igualmente la denuncia formulada como documento nº CATORCE, dejando designados los archivos y oficinas de la Comisaría de Policía de Cuenca".

La sentencia de primera instancia desestimó la demanda por aplicación de la doctrina de los actos propios, puesto que fue el demandante quien, utilizando la aplicación de banca on line, con su usuario, su contraseña y sus claves, realizó la transferencia de los 5.000 euros, siendo un hecho notorio que para realizar la misma debió recibir un aviso por transferencia de alto importe.

El actor recurre alegando la infracción por inaplicación de la normativa específica aplicable al caso (LSP), y la errónea aplicación de la doctrina de los actos propios.

La parte apelada solicita la confirmación íntegra de la sentencia impugnada, incidiendo en su oposición en la negligencia grave del actor.

SEGUNDO.-Las obligaciones exigibles a las entidades bancarias como proveedoras de pago, en relación con los instrumentos y sistemas de pago que ponen a disposición de sus clientes en cuanto a la garantía del buen funcionamiento de los mismos, preservándolos frente al fraude, se recoge, en el ámbito de la legislación nacional, en el Real Decreto Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (en adelante, LSP),aprobado para transponer, entre otras, la directiva UE 2015/2366 en materia de servicios de - la denominada «PSD2»-, complementada por el Reglamento Delegado (UE) 2018/396 de la Comisión de 27 de noviembre de 2017 ,con el objetivo de mejorar la protección de los usurarios de los servicios de pago, obligando a las entidades a usar la autentificación reforzada incrementando la protección de los clientes frente a sus pagos.

El Real Decreto Ley 19/2018 en sus arts. 36 a 41 reproduce el contenido de las directivas, con la siguiente regulación.

Así, el art. 36.1 proclama:

" Las operaciones de pago se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución. A falta de tal consentimiento la operación de pago se considerará no autorizada. El consentimiento para la ejecución de una operación de pago podrá darse también por conducto del beneficiario o del proveedor de servicios de iniciación de pagos.

El ordenante y su proveedor de servicios de pago acordarán la forma en que se dará el consentimiento, así como el procedimiento de notificación del mismo.»

Artículo 41, sobre obligaciones del usuario de servicios de pago en relación con los instrumentos de pago y las credenciales de seguridad personalizadas establece: el usuario de servicios de pago habilitado para utilizar un instrumento de pago: a) utilizará el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago que deberán ser objetivas, no discriminatorias y proporcionadas y, en particular, en cuanto reciba un instrumento de pago, tomará todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas.

Artículo 42. Obligaciones del proveedor de servicios de pago en relación con los instrumentos de pago. 1. El proveedor de servicios de pago emisor de un instrumento de pago: a) Se cerciorará de que las credenciales de seguridad personalizadas del instrumento de pago solo sean accesibles para el usuario de servicios de pago facultado para utilizar dicho instrumento, sin perjuicio de las obligaciones que incumben al usuario de servicios de pago con arreglo al artículo 41. b) Se abstendrá de enviar instrumentos de pago que no hayan sido solicitados, salvo en caso de que deba sustituirse un instrumento de pago ya entregado al usuario de servicios de pago. Esta sustitución podrá venir motivada por la incorporación al instrumento de pago de nuevas funcionalidades, no expresamente solicitadas por el usuario, siempre que en el contrato marco se hubiera previsto tal posibilidad y la sustitución se realice con carácter gratuito para el cliente. c) Garantizará que en todo momento estén disponibles medios adecuados y gratuitos que permitan al usuario de servicios de pago efectuar una notificación en virtud del artículo 41.b), o solicitar un desbloqueo con arreglo a lo dispuesto en el artículo 40.4. A este respecto, el proveedor de servicios de pago facilitará, también gratuitamente, al usuario de dichos servicios, cuando éste se lo requiera, medios tales que le permitan demostrar que ha efectuado dicha comunicación, durante los 18 meses siguientes a la misma. d) Ofrecerá al usuario de servicios de pago la posibilidad de efectuar una notificación en virtud del artículo 41.b), gratuitamente y cobrar, si acaso, únicamente los costes de sustitución directamente imputables al instrumento de pago. e) Impedirá cualquier utilización del instrumento de pago una vez efectuada la notificación en virtud del artículo 41.b). 2. El proveedor de servicios de pago soportará los riesgos derivados del envío de un instrumento de pago al usuario de servicios de pago o del envío de cualesquiera elementos de seguridad personalizados del mismo.

Artículo 43. Notificación y rectificación de operaciones de pago no autorizadas o ejecutadas incorrectamente. 1. El usuario de servicios de pago obtendrá la rectificación por parte del proveedor de servicios de pago de una operación de pago no autorizada o ejecutada incorrectamente únicamente si el usuario de servicios de pago se lo comunica sin demora injustificada, en cuanto tenga conocimiento de cualquiera de dichas operaciones que sea objeto de reclamación, incluso las cubiertas por el artículo 60, y, en todo caso, dentro de un plazo máximo de trece meses contados desde la fecha del adeudo. Los plazos para la notificación establecidos en el párrafo primero no se aplicarán cuando el proveedor de servicios de pago no le haya proporcionado ni puesto a su disposición la información sobre la operación de pago con arreglo a lo establecido en el título II.

Artículo 44. Prueba de la autenticación y ejecución de las operaciones de pago. 1. Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago. Si el usuario de servicios de pago inicia la operación de pago a través de un proveedor de servicios de iniciación de pagos, corresponderá a éste demostrar que, dentro de su ámbito de competencia, la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable. 2. A los efectos de lo establecido en el apartado anterior, el registro por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 41. 3. Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave. 4. El proveedor de servicios de pago conservará la documentación y los registros que le permitan acreditar el cumplimiento de las obligaciones establecidas en este Título y sus disposiciones de desarrollo y las facilitará al usuario en el caso de que así le sea solicitado, durante, al menos, seis años. No obstante, el proveedor de servicios de pago conservará la documentación relativa al nacimiento, modificación y extinción de la relación jurídica que le une con cada usuario de servicios de pago al menos durante el periodo en que, a tenor de las normas sobre prescripción puedan resultarles conveniente para promover el ejercicio de sus derechos contractuales o sea posible que les llegue a ser exigido el cumplimiento de sus obligaciones contractuales. Lo dispuesto en este apartado se entiende sin perjuicio de lo establecido en la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, así como en otras disposiciones nacionales o de la Unión Europea aplicables.

Artículo 45. Responsabilidad del proveedor de servicios de pago en caso de operaciones de pago no autorizadas. 1. Sin perjuicio del artículo 43 de este real decreto-ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada. La fecha de valor del abono en la cuenta de pago del ordenante no será posterior a la fecha de adeudo del importe devuelto. 2. Cuando la operación de pago se inicie a través de un proveedor de servicios de iniciación de pagos, el proveedor de servicios de pago gestor de cuenta devolverá inmediatamente y, en cualquier caso, a más tardar al final del día hábil siguiente, el importe de la operación de pago no autorizada y, en su caso, restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada. Si el responsable de la operación de pago no autorizada es el proveedor de servicios de iniciación de pagos, deberá resarcir de inmediato al proveedor de servicios de pago gestor de cuenta, a petición de este, por las pérdidas sufridas o las sumas abonadas para efectuar la devolución al ordenante, incluido el importe de la operación de pago no autorizada. De conformidad con el artículo 44.1, corresponderá al proveedor de servicios de iniciación de pagos demostrar que, dentro de su ámbito de competencia, la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable. 3. Podrán determinarse otras indemnizaciones económicas de conformidad con la normativa aplicable al contrato celebrado entre el ordenante y el proveedor de servicios de pago o el contrato celebrado entre el ordenante y el proveedor de servicios de iniciación de pagos, en su caso.

Artículo 46. Responsabilidad del ordenante en caso de operaciones de pago no autorizadas. 1. No obstante lo dispuesto en el artículo 45, el ordenante podrá quedar obligado a soportar, hasta un máximo de 50 euros, las pérdidas derivadas de operaciones de pago no autorizadas resultantes de la utilización de un instrumento de pago extraviado, sustraído o apropiado indebidamente por un tercero, salvo que: a) al ordenante no le resultara posible detectar la pérdida, la sustracción o la apropiación indebida de un instrumento de pago antes de un pago, salvo cuando el propio ordenante haya actuado fraudulentamente, o b) la pérdida se debiera a la acción o inacción de empleados o de cualquier agente, sucursal o entidad de un proveedor de servicios de pago al que se hayan externalizado actividades. El ordenante soportará todas las pérdidas derivadas de operaciones de pago no autorizadas si el ordenante ha incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41. En esos casos, no será de aplicación el importe máximo contemplado en el párrafo primero. En todo caso, el ordenante quedará exento de toda responsabilidad en caso de sustracción, extravío o apropiación indebida de un instrumento de pago cuando las operaciones se hayan efectuado de forma no presencial utilizando únicamente los datos de pago impresos en el propio instrumento, siempre que no se haya producido fraude o negligencia grave por su parte en el cumplimiento de sus obligaciones de custodia del instrumento de pago y las credenciales de seguridad y haya notificado dicha circunstancia sin demora. 2. Si el proveedor de servicios de pago del ordenante no exige autenticación reforzada de cliente, el ordenante solo soportará las posibles consecuencias económicas en caso de haber actuado de forma fraudulenta. En el supuesto de que el beneficiario o el proveedor de servicios de pago del beneficiario no acepten la autenticación reforzada del cliente, deberán reembolsar el importe del perjuicio financiero causado al proveedor de servicios de pago del ordenante. 3. Salvo en caso de actuación fraudulenta, el ordenante no soportará consecuencia económica alguna por la utilización, con posterioridad a la notificación a que se refiere el artículo 41.b), de un instrumento de pago extraviado o sustraído. 4. Si el proveedor de servicios de pago no tiene disponibles medios adecuados para que pueda notificarse en todo momento el extravío o la sustracción de un instrumento de pago, según lo dispuesto en el artículo 42.1.c), el ordenante no será responsable de las consecuencias económicas que se deriven de la utilización de dicho instrumento de pago, salvo en caso de que haya actuado de manera fraudulenta".

Al margen de la normativa expuesta, como recuerda la STS 571/2025, del 9 de abril ,tras exponer de modo detallado la normativa europea y nacional en la materia, la sentencia del Tribunal de Justicia de 2 de septiembre de 2021 (C-337/20 ),con ocasión de examinar el alcance del art. 58 de la anterior Directiva 2007/64 ,aporta siquiera sea de modo indirecto unas pautas orientativas sobre la diligencia exigible al usuario de los servicios de pago, y en las conclusiones del abogado general Sr. Henrik Saugmandsgaard, presentadas el 8 de julio de 2021 y asumidas por el Tribunal de Justicia, se dice:

«38. Por lo que respecta, en primer lugar, al tenor de los artículos 58 y 60 de la Directiva 2007/64 ,cabe señalar que el artículo 58 introduce una obligación general de notificación de cualquier operación no autorizada o ejecutada incorrectamente, de modo que el usuario del servicio solo obtendrá la rectificación de una operación no autorizada o ejecutada incorrectamente si notifica dicha operación a su proveedor de servicios, notificación que deberá efectuarse a más tardar en los trece meses de la fecha del adeudo correspondiente.

39. El artículo 60 de dicha Directiva se refiere específicamente a la responsabilidad del proveedor de servicios de pago en caso de operaciones no autorizadas. Su apartado 1 establece que, sin perjuicio del artículo 58, los Estados miembros velarán por que el proveedor de servicios devuelva de inmediato al ordenante el importe de la operación no autorizada.

40. La expresión «sin perjuicio del artículo 58» que figura en el artículo 60 de la Directiva 2007/64 significa que lo dispuesto en este artículo no se establece en detrimento del artículo 58 de dicha Directiva. De ello se desprende, en mi opinión, que la responsabilidad del proveedor en caso de operaciones no autorizadas está supeditada a que el usuario del servicio respete el procedimiento de notificación previsto en el artículo 58 de dicha Directiva, cuyo plazo no puede exceder de los trece meses siguientes a la fecha del adeudo.

41. El considerando 31 de la Directiva 2007/64 pone de manifiesto que se trata efectivamente de una condición al establecer que sielusuario del servicio de pago respeta el plazo de la notificación, debe tener la posibilidad de presentar su reclamación relativa al carácter no autorizado del pago.

[...]

51. A continuación, tanto en el caso de operaciones no autorizadas como de operaciones ejecutadas de manera incorrecta, el artículo 59 de la Directiva 2007/64 ,relativo a la carga de la prueba, establece que corresponde al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada.

52. Debe subrayarse que este artículo 59 efectúa una inversión de la carga de la prueba, haciendo que esta no recaiga sobre quien alega la existencia de una operación no autorizada, a saber, el usuario del servicio de pago, sino sobre el proveedor de servicios de pago. De ello se desprende que, durante un período de trece meses, este último está sujeto a una obligación de devolución casi automática e inmediata de la operación que el usuario no ha autorizado.

53. De este modo, el legislador de la Unión ha establecido un régimen de responsabilidad basado en tres elementos esenciales y vinculados entre sí, a saber: una obligación de notificación que recae sobre el usuario del servicio de pago, establecida en el artículo 58 de la Directiva 2007/64 ;la atribución de la carga de la prueba al proveedor de esos servicios, que figura en el artículo 59 de dicha Directiva, y, por último, en caso de falta de prueba, la responsabilidad de ese proveedor, de conformidad con los artículos 60 y 75 de dicha Directiva, en función de que la operación no haya sido autorizada, no haya sido ejecutada o haya sido ejecutada incorrectamente.

[...]

86. De este modo, existe un equilibrio entre, en primer lugar, la obligación de información que recae sobre el proveedor de servicios de pago, en segundo lugar, el deber de diligencia que incumbe al usuario del servicio de pago asociado a una obligación de notificación dentro de un plazo concreto y, en tercer lugar, la responsabilidad estricta del proveedor, sin que el usuario tenga que demostrar una falta o negligencia.»

También recuerda el Tribunal Supremo la posterior sentencia del Tribunal de Justicia de la Unión Europea, de 2 de septiembre de 2021 (C-337/20 ),que, tras indicar que, para interpretar una disposición del Derecho de la Unión, no solo debe tenerse en cuenta su tenor literal, sino también el contexto en el que se inscribe y los objetivos perseguidos por la normativa de la que forma parte, declara:

«32. En primer lugar, por lo que respecta, por una parte, al texto del apartado 1 del artículo 60 de la Directiva 2007/64 ,titulado «Responsabilidad del proveedor de servicios de pago en caso de operaciones de pago no autorizadas», conviene indicar que este artículo dispone que, sin perjuicio del artículo 58 de la citada Directiva, los Estados miembros velarán por que, en el caso de una operación de pago no autorizada, el proveedor de servicios de pago devuelva de inmediato al ordenante el importe de tal operación y, en su caso, por que restablezca en la cuenta de pago en la cual se haya adeudado el importe el estado que habría existido de no haberse efectuado la operación de pago no autorizada.

[...]

39. En el sistema de este régimen de responsabilidad, la obligación de notificación por el usuario de servicios de pago de cualquier operación no autorizada es condición para que dicho régimen pueda aplicarse en favor del usuario, denominado también ordenante en determinadas disposiciones de la Directiva 2007/64 .

40. A continuación, el artículo 59 de esta Directiva incluye en el régimen de responsabilidad por operaciones no autorizadas un mecanismo de carga de la prueba favorable al usuario de servicios de pago. En esencia, la carga de la prueba recae sobre el proveedor de servicios de pago, que debe probar que la operación de pago fue autenticada, registrada con exactitud y contabilizada. En la práctica, el régimen de prueba establecido en dicho artículo 59 lleva, desde el momento en que la notificación prevista en el artículo 58 de la citada Directiva se ha efectuado dentro del plazo previsto en él, a someter al proveedor de servicios de pago a una obligación de devolución inmediata, de conformidad con el artículo 60, apartado 1, de dicha Directiva.

[...]

63. Así, como ha señalado, en esencia, el Abogado General en el punto 86 de sus conclusiones, el régimen de responsabilidad previsto en el artículo 60, apartado 1, de la Directiva 2007/64 se basa en un equilibrio entre la obligación de información que recae sobre el proveedor de servicios de pago y la obligación de notificación de cualquier operación no autorizada dentro de un plazo de trece meses que incumbe al usuario de servicios de pago, que permite fundamentar la responsabilidad estricta del proveedor, sin que el usuario tenga que demostrar una falta o negligencia.»

Conforme a la normativa comunitaria y nacional aplicable y a la jurisprudencia comunitaria recaída en interpretación de la regulación de la que trae causa la primera, el TS en la sentencia 571/2025 ,formula las siguientes conclusiones:

"1.º El usuario de servicios de pago debe adoptar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas y, en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, ha de notificarlo al proveedor de servicios de pago de manera inmediata, tan pronto tenga conocimiento de ello.

2.º En caso de que se produzca una operación de pago no autorizada o ejecutada incorrectamente, si el usuario de servicios de pago se lo comunica sin demora injustificada, el proveedor debe proceder a su rectificación y reintegrar el importe de inmediato, salvo que tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España.

3.º Cuando un usuario niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, incumbe al proveedor la carga de demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago.

4.º El mero hecho del registro por el proveedor de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones, correspondiendo al proveedor la prueba de que el usuario del servicio de pago cometió fraude o negligencia grave.

En suma, la responsabilidad del proveedor de los servicios de pago, en los casos de operaciones no autorizadas o ejecutadas incorrectamente, tiene carácter cuasi objetivo, en el doble sentido de que, primero, notificada la existencia de una operación no autorizada o ejecutada incorrectamente, el proveedor debe responder salvo que acredite la existencia de fraude; y, segundo, cuando el usuario niegue haber autorizado la operación o alegue que ésta se ejecutó incorrectamente, corresponde al proveedor acreditar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio, sin que el simple registro de la operación baste para demostrar que fue autorizada ni que el usuario ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave.

Profundizando en este último punto, la expresión «operaciones no autorizadas» incluye aquellas que se han iniciado con las claves de usuario y contraseña del usuario -necesarias para acceder al sistema de banca digital- y confirmado mediante la inserción del SMS enviado por el propio sistema al dispositivo móvil facilitado por el usuario, siempre que éste niegue haberlas autorizado, en cuyo caso el banco deberá acreditar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio que presta.

A este respecto, la mención «deficiencia del servicio» no significa error o fallo del sistema informático o electrónico -posibilidad que estaría prevista en el concepto de «fallo técnico»-, sino que abarca cualquier falta de diligencia o mala praxis en la prestación del servicio, en el entendimiento de que el grado de diligencia exigible al proveedor de los servicios de pago no es el propio del buen padre de familia, sino que la naturaleza de la actividad y los riesgos que entraña el servicio que se presta, sobre todo en una relación empresario/consumidor, obliga a elevar el nivel de diligencia a un plano superior, como es el del ordenado y experto comerciante.

Lógicamente, las buenas prácticas pasan por adoptar las medidas de seguridad necesarias para garantizar el correcto funcionamiento del sistema de servicios de pago, entre las cuales destacan las orientadas a detectar de forma automática la concurrencia de indicios de que puede tratarse de una operación anómala y generar una alerta o un bloqueo temporal (v.gr. reiteración de transferencias sin solución de continuidad, horario en que se producen, importe de las mismas, destinatarios, antecedentes en el uso de la cuenta...), o las dirigidas a incrementar el control y vigilancia cuando se han recibido noticias o alertas de un posible aumento del riesgo".

TERCERO.-En el presente caso, vista la prueba practicada y en particular la prueba documental acompañada al escrito rector, resulta claro que la operación no autorizada se produjo ante todo por la actuación fraudulenta de un tercero. Podría afirmarse que concurrió también un exceso de confianza de la parte demandante, pero el mero hecho de que para que se produjese esta actuación fraudulenta haya concurrido una conducta poco prudente por el usuario no significa que la demandada haya de quedar exenta de responsabilidad. Y ello es así porque, más allá de esa falta de cautela, este tribunal no alcanza a apreciar que el comportamiento del Sr. Serafin revista la "gravedad" necesaria para excluir el régimen de responsabilidad cuasiobjetiva que la normativa atribuye a las entidades bancarias titulares de estos sistemas de protección de pagos. El banco es perfectamente consciente de los riesgos que conlleva la contratación generalizada de operaciones bancarias a través de sistemas informáticos y telemáticos por el propio usuario. La diligencia exigible a una entidad financiera ha de ser la adecuada a las circunstancias de las personas, tiempo y lugar. Por eso, para quedar exento de responsabilidad, el banco deberá acreditar no sólo que la orden de pago no se vio afectada por un fallo técnico, sino también que la operación no autorizada procedió de un fraude o negligencia grave atribuible al titular perjudicado. En caso contrario habrá de ser él quien haya de asumir las consecuencias del fraude.

Por ello, el mero hecho de que la parte demandante cayese en el engaño por parte de una persona que, llamando desde un teléfono de Banco Sabadell, se identificaba como miembro del Servicio de Ciber-Seguridad de la entidad bancaria y que le informa que se había realizado una operación fraudulenta desde su cuenta bancaria ordenando la transferencia desde la misma de un importe de 5.000,00 € para la compra de un vehículo en Murcia, comunicándole los datos relativos a la identidad del propio demandante, no puede, sin más, calificarse como "grave". Es verdad que el art. 36.1 del Real Decreto Ley 19/2018 establece que las operaciones de pago «se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución», así como que «el ordenante y su proveedor de servicios de pago acordarán la forma en que se dará el consentimiento, así como el procedimiento de notificación del mismo». Pero no es menos cierto que, en el marco de esta regulación, el consentimiento no se entiende prestado por el solo hecho de que la operación de pago se haya realizado mediante la utilización de las claves personales, sino que es necesario que provenga del usuario o, en caso de que éste niegue su intervención, que se acredite fraude, incumplimiento deliberado o, al menos, negligencia grave por parte del usuario, cuya prueba recae sobre la entidad bancaria; y, tercero, cuando el usuario ha notificado de forma inmediata la existencia de una operación no autorizada, la entidad ha de proceder a su rectificación, salvo que demuestre que hubo fraude imputable al usuario.

En otras palabras, que la entidad bancaria acredite que la operación fue autenticada, registrada con exactitud y contabilizada, no es suficiente para eximirle de responsabilidad. Ha de probar que la operación no resultó afectada por un fallo técnico u otra deficiencia del servicio prestado, y, dado que el cliente niega que la operación fuera consentida, que hubo por parte de este último fraude, incumplimiento deliberado o negligencia grave.

Los elementos fácticos concurrentes en el presente caso, anteriormente reseñados, evidencian que no existió una conducta calificable como negligencia grave, sino un engaño bastante para superar las cautelas del usuario, quien, además, como es de ver en autos, procedió de manera inmediata a comunicar el fraude por él sufrido, sin encontrar repuesta positiva por parte del banco.Aunque es posible que un consumidor medio, que se ajustase a los cánones de precaución y prevención exigibles, habría podido librarse de la actividad fraudulenta mediante una actuación más prudente y precavida, no se trató de un engaño burdo o palmario, y desde luego no puede hablarse de imprudencia "grave".

Y es que, para poder calificarse como "grave", no basta con apreciar una conducta más o menos imprudente por parte de la víctima. Es necesario, además, que esa negligencia se haya producido a iniciativa del propio usuario, y no como consecuencia de un engaño inducido por un delincuente. La negligencia "grave" ha de consistir en la falta de la más elemental diligencia, no basta con apreciar una conducta más o menos imprudente que, en realidad, podría haber sido cometida por una generalidad de personas. Por ello, el hecho de proporcionar credenciales, o facilitar el acceso a claves bancarias, cuando ello es fruto de una sofisticada acción defraudatoria, no podrá ser constitutivo de negligencia grave, salvo engaños burdos o grotescos ( Sentencias de las Audiencias Provinciales de Madrid, Sec. 20ª, de 18 de diciembre de 2022; de Almería, Sec. 1ª, nº 99/2023, de 31 de enero de 2023 ; de La Coruña, Sec. 6ª, nº 86/2023, de 29 de marzo; etc.).

En definitiva, puesto que la normativa aplicable establece un sistema de responsabilidad cuasi-objetiva, en el que se predica la responsabilidad de la entidad bancaria salvo en el supuesto de que se pruebe que el usuario actuó de manera fraudulenta o con negligencia grave, y toda vez que en este caso la conducta del demandante no puede ser calificada de tal modo, procedía la estimación de la demanda.

CUARTO.-La estimación del recurso y de la demanda comporta que las costas de la primera instancia ( art. 394.1) se impongan a la entidad demandada. Las costas de la segunda instancia también se imponen a la parte apelada Banco Sabadell SA, de conformidad con la nueva redacción del art. 398.1 LEC, de aplicación al presente procedimiento dada la fecha de interposición de la demanda.