Formado el correspondiente rollo de apelación 102/2023, se dictó sentencia por el Ilmo. Sr magistrado de esta Audiencia Provincial don Fernando Solsona Abad, en fecha 29 de febrero de 2024, cuyo Fallo dice: Que debo estimar y estimo el recurso de apelación interpuesto por la representación procesal de D. Justino y en su virtud, sin entrar en el fondo del asunto, DECLARAMOS LA NULIDAD DE ACTUACIONES desde la fecha en que el recurrente D. Justino solicitó por vez primera la entrega de la grabación del juicio, retrotrayéndose las actuaciones a dicho momento procesal, debiendo proceder el Juzgado a entregar inmediatamente la grabación del juicio al procurador del demandante, el cual podrá interponer recurso de apelación, si así le conviniere , en el plazo indicado en el fundamento de derecho tercero de esta resolución. Respecto de las costas procesales de esta alzada, se imponen a cada parte las costas ocasionadas a su instancia y las comunes por mitad.
Cumplido lo mandado, la representación procesal de don Justino presentó nuevo escrito interponiendo recurso de apelación, que fue admitido, con traslado a las demás partes para que en 10 días presentasen escrito de oposición al recurso o, en su caso, de impugnación de la resolución apelada, en lo que le resultase desfavorable.
PRIMERO.-Don Justino presentó demanda frente a la entidad CAIXABANK SA en ejercicio de acción de responsabilidad, en aplicación de los arts 1089 y siguientes del Código Civil, 41 y siguientes del Real Decreto-Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (LSP), y la doctrina de los actos propios, alegando en síntesis que tenía suscrito con la entidad demandada un contrato de cuenta corriente y un contrato de tarjeta asociada al anterior, el 28 de noviembre de 2021 recibió un correo electrónico indicándole de la suspensión temporal de la tarjeta por actividad inusual, reenviándole a un enlace para reactivar la tarjeta, al que accedió el demandante, facilitando todos los datos bancarios que le fueron requeridos, y sin conocimiento ni autorización del demandante, el mismo día 28 de noviembre se le hizo un cargo en su cuenta por compra con su tarjeta por importe de 2887 euros, y al día siguiente otro cargo por importe de 2845 euros; y si bien la entidad demandada le devolvió la suma de 5732 euros, posteriormente retiró dicha suma de la cuenta del demandante, negándose a reintegrarla.
CAIXABANK SA contestó a la demanda, oponiéndose a la misma, alegando que las dos operaciones reclamadas fueron autorizadas de conformidad con la Ley de Servicios de Pago, se llevaron a cabo con los dos factores de autenticación legal y contractualmente exigidos para la correcta identificación del cliente; y aun en el supuesto de que las operaciones se consideraran no autorizadas, ningún importe debería reintegrar a la parte actora, pues las mismas únicamente se pudieron llevar a cabo como consecuencia de su negligencia grave.
La sentencia de instancia desestima la demanda, razonando la juez de instancia que el actor actuó con negligencia grave, pues facilitó todos los datos de la tarjeta de crédito sin antes comprobar si verdaderamente la tarjeta había sido bloqueada o suspendida, si bien no impone las costas por concurrir dudas de hecho.
Frente a dicha sentencia se alza la parte apelante don Justino, alegando error en la valoración de la prueba, pues del informe pericial aportado por la entidad demandada se puede concluir que la demandada no ha acreditado que su sistema de servicios de pago y/o compras por internet tenga instalados unos sistemas y/o herramientas o programas necesarios ofrezcan la suficiente seguridad (a los clientes) que impidan situaciones y resultados como los vividos por el recurrente, pues el informe es de fecha 23.03.2022 y los hechos ocurrieron el 28.11.2022, en el informe se indica que CaixaBank tiene una trazabilidad de todas las operaciones que realizan sus clientes en el sistema: "pudiéndose saber cuándo se conectan, desde donde, con que dispositivo, que métodos de autenticación se pasaron, el tipo de operaciones realizadas, los destinos de las mismas, y don Justino, fue víctima de un engaño, facilito los datos que le solicitaron, pudiendo ser número de su tarjeta de crédito, fecha de caducidad, CVV, usuario y contraseña, pero nunca ha sabido cómo el tercero actúa una vez conseguida dicha información, mientras que el banco sí puede saberlo, puede y tiene acceso a toda la información de cada compra que realiza un cliente de su entidad, por lo que no se le puede exigir que de estos hechos que sean responsable don Justino sino que es responsable la entidad bancaria demandada, que no tiene un sistema que impida que terceros puedan llevar a cabo compras por internet asumiendo la identidad del verdadero cliente del banco, y que no ha cumplido con las exigencias de los arts. 254 del Código de Comercio (Ccom), articulo 46 de la Ley 7/96 del Comercio Minorista (LOCM), articulo 46 de la LOCM, artículos 147 y 148 del R. D. de 16 de noviembre Ley de los consumidores y usuarios, artículos 27 y 28 de la Ley 34/2002 de Servicios de la Sociedad de la información, 217 de la LEC, 44 de la LSP; la sentencia apelada invierte la obligación legal que le corresponde al banco, exigiéndole al demandante la carga de probar que no realizó ningún acto que diera lugar a una negligencia grave; el banco no ha acreditado desde que terminal se realizó la compra; el demandante cumplió con la diligencia mínima, pues el correo electrónico que recibió tenía una apariencia de que era de su entidad bancaria, en el contrato de prestación del servicio de las condiciones particulares de la tarjeta firmado entre el banco y el Sr. Justino se establece que se podrán comunicar incidencias con su tarjeta de crédito a través del móvil y/o correo electrónico, y en su declaración judicial, don Justino señalo que estaba pendiente del justificante de una operación de pago de un alquiler que no le llegaba; los conocimientos de los sistemas tecnológicos de don Justino por su edad y manejo son una apreciación subjetiva del juez de instancia, que incurre en error en la vzaloración de la declaración del señor Justino.
CAIXABANK SA., se opone al recurso alegando que ha quedado probado el correcto funcionamiento del sistema de banca electrónica de CAIXABANK SA., y que el demandante actuó con grave negligencia, pues facilitó su usuario, su clave de entrada a CAIXABANK Now, su número de tarjeta, el titular de la misma, la fecha de caducidad y el código CVV.
SEGUNDO.-Al respecto del error en la valoración de la prueba, debe recordarse, como se razona en la sentencia de esta Audiencia Provincial de La Rioja de 15 de enero de 2016 : "Al respecto de la valoración de prueba, esta Audiencia Provincial ha señalado en ocasiones diversas que la impugnación por una de las partes de la apreciación de la prueba que razona el Juez de Instancia ante el que se practicó mediante su valoración en su conjunto, no puede prosperar sin más mediante el simple procedimiento de interpretar las pruebas ya examinadas y tenidas en cuenta en la Sentencia, con el fin de obtener conclusiones mas favorables a los intereses de la parte que recurre. Solamente cabe dicha revisión de la valoración probatoria de la sentencia si queda patente un error en la misma, o una apreciación de la prueba de forma ilógica, arbitraria o contradictoria, o bien se produce la omisión de la consideración de alguna prueba esencial que arroje un resultado incontrovertible. Por el contrario, no puede producirse tal revisión si se funda en la mera discrepancia personal con la valoración que de la prueba ha dado el órgano judicial, intentando sustituir el criterio objetivo del Juez por las interpretaciones subjetivas e interesadas de la parte.
En el mismo sentido, la sentencia de 17 de junio de 2022, Nº de Recurso: 309/2021, Nº de Resolución: 181/2022: " ...es forzoso recordar que la impugnación por una de las partes de la apreciación de la prueba que razona el Juez de Instancia ante el que se practicó mediante su valoración en su conjunto, no puede prosperar sin más mediante el simple procedimiento de interpretar las pruebas ya examinadas y tenidas en cuenta en la Sentencia, con el fin de obtener conclusiones más favorables a los intereses de la parte que recurre. Solamente cabe dicha revisión de la valoración probatoria de la sentencia si queda patente un error en la misma, o una apreciación de la prueba de forma ilógica, arbitraria o contradictoria, o bien se produce la omisión de la consideración de alguna prueba esencial que arroje un resultado incontrovertible. Por el contrario, no puede producirse tal revisión si se funda en la mera discrepancia personal con la valoración que de la prueba ha dado el órgano judicial, intentando sustituir el criterio objetivo del Juez por las interpretaciones subjetivas e interesadas de la parte.
Y a propósito de la valoración de los documentos no impugnados, la sentencia del Tribunal Supremo de 14 de diciembre de 2015, Nº de Recurso: 2833/2013, Nº de Resolución: 715/2015 señala que "También constituye criterio jurisprudencial consolidado que la valoración de los documentos privados no impugnados, así como de los públicos, debe hacerse en relación con el conjunto de los restantes medios de prueba, y que una cosa es el valor probatorio de los documentos en cuanto a la autenticidad, fecha o personas que intervinieron y otra distinta la interpretación por la sentencia recurrida del contenido de los documentos, puesto que la expresión "prueba plena" del artículo 326.1 LEC no significa que el tribunal de instancia no deba valorar el contenido de los mismos de acuerdo con las reglas de la sana crítica y con el conjunto de las pruebas aportadas ( SSTS 47/2012, de 17 de julio , con cita de las STSS 458/2009, de 30 de junio , 403/2009, de 15 de junio , y 785/2011, de 27 de octubre )."
TERCERO.-En el caso que nos ocupa, resulta acreditado con la documental aportada al procedimiento y el interrogatorio del demandante, que don Justino tenía suscrito desde el 1 de septiembre de 2011 con la entidad Caixabank SA contrato de cuenta corriente NUM000, y contrato de tarjeta de débito NUM001 vinculada a la cuenta señalada, que entre otras, contiene las siguientes estipulaciones: Condiciones relacionadas con las medidas de seguridad de su tarjeta: Las siguientes condiciones complementan el contenido de las condiciones generales de este contrato y prevalen en caso de contradicción. Son importantes ya que regulan aspectos relacionados con la seguridad de su tarjeta y le permiten evaluar riesgos de seguridad y adoptar una decisión informada sobre la contratación y uso de la tarjeta. 1. Es obligatorio facilitar su número de teléfono móvil y su dirección de correo electrónico para poder contratar y usar la tarjeta. Si los cambia, deberá de comunicárnoslo sin dilaciones indebidas. 2. Debe adoptar precauciones razonables para evitar que terceros no autorizados accedan a su teléfono móvil o a su cuenta de correo electrónico. 3. Cuando inicie operaciones de pago desde su tarjeta confirmaremos su identidad a través de la aplicación CaixaBankNow, App o Web. Si no está disponible este método de confirmación de identidad, utilizaremos otro método alternativo que reúna todas las garantías de acuerdo con ley, por ejemplo, una combinación de un código remitido por SMS y una contraseña. 4. En operaciones de bajo riesgo (p.e. pequeño importe) podremos simplificar el método de confirmación de su identidad. 5. En ningún caso debe comunicar contraseñas ni códigos de seguridad a terceros. Ni nosotros ni nadie del Grupo CaixaBank se los pedirá nunca. 6. Desde CaixaBankNow, App o Web, apartado seguridad - control de uso, puede parametrizar determinadas opciones de seguridad de su tarjeta (compras por internet, cajeros, operaciones en el extranjero, ocio+18) 7. Para comunicarnos con usted, utilizaremos su móvil (Push, sms) o su correo electrónico, además CaixaBankNow, App o Web. Periódicamente le enviaremos información para prevenir fraudes y reforzar la seguridad de su tarjeta, además puede consultar esa información en el apartado seguridad del portal web de CaixaBank. También le podremos comunicar a través de esos canales incidencias que afecten al funcionamiento y/o seguridad de su tarjeta. 8. Si no reconoce la autoría de una operación nos lo debe de comunicar sin dilaciones indebidas. Si, de acuerdo con ley, consideramos que somos responsables de su devolución, lo haremos durante el día hábil siguiente a su comunicación. Si consideramos que ha actuado de forma fraudulenta o de mala fe, no le devolveremos la operación y comunicaremos esta circunstancia al Banco de España.
El 28 de noviembre de 2021 don Justino recibió el siguiente correo electrónico:
De: Caixabanknow
Env iado: domingo, 28 de noviembre de 2021.17:07
Par a: alvarosarri
Asu nto: (17:07:15). Alerta 958046102
Y junto al logotipo aparente de la entidad Caixabank SA, la mención "la Caixa"
Y junto al dibujo de una campana con una i en un círculo:
Act ividad inusual detectada.
Fec ha 28-11-2021, 17:07:15
Se ha detectado actividad inusual en su tarjeta de crédito y su tarjeta se suspenderá temporalmente. Para mantener su tarjeta activa, siga las instrucciones a continuación:
Y junto al dibujo de un candado: Clic aquí para continuar
Gra cias.
Tal como manifiesta don Justino en prueba de interrogatorio, contestó a ese correo que para él era de la Caixa, hizo clic en el enlace y siguió el procedimiento que le iba indicando para desbloquear la cuenta, al dar al link, apareció una página que para él era La Caixa, no se fijó en el remitente del correo, e introdujo todos los datos de la tarjeta.
El mismo día 28 de noviembre de 2021 se realizaron, por internet, con la tarjeta de débito señalada, sin conocimiento ni consentimiento de su titular, don Justino, unas compras de productos de marca SAMSUNG en un establecimiento comercial de la ciudad holandesa de Delft, por valor de 2887 euros.
Al día siguiente 29 de noviembre de 2021 se realizó, por internet, con la tarjeta de débito señalada, sin conocimiento ni consentimiento de su titular, don Justino, otra compra en un establecimiento comercial MIINTO de la ciudad de Ámsterdam, por importe de 2845 euros.
La entidad bancaria autorizó ambas operaciones, debiendo señalarse que en los documentos de autenticación y autorización de dichas operaciones consta: modo de autenticación del cliente, cliente autenticado mediante 3D Secure en Comercio Electrónico, dispositivo o entidad que autentifica al cliente: no identificado.
Don Justino puso en conocimiento de la entidad bancaria que no había realizado ni autorizado esas operaciones, reclamando el reintegro de su importe, lo que hizo la entidad Caixabank en fecha 9 de diciembre de 2021, si bien posteriormente, el 22 de diciembre de 2021 la entidad bancaria retiró de la cuenta del demandante las cantidades que antes había devuelto.
Don Justino realizó en fecha 11 de febrero de 2022 nueva reclamación a la entidad bancaria, que fue respondida por el banco mediante comunicación de 1 de marzo de 2022, en la que indica: ... Con carácter previo, interesa señalar que CaixaBank, como proveedor de servicios de pago, está sometida al cumplimiento de las obligaciones derivadas del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, así como en su normativa de desarrollo. ... en aras de dar cumplimiento a las disposiciones normativas, CaixaBank ha adoptado una serie de medidas orientadas a la prevención del fraude, a destacar:
- Incremento de la seguridad de todas las operaciones bancarias, mediante la autenticación reforzada de los clientes basada en dos elementos de seguridad: el conocimiento (la contraseña de acceso a CaixaBankNow o el PIN de la tarjeta, entre otros) y la posesión (un terminal móvil determinado previamente designado por el cliente o un código único enviado para la operación concreta, entre otros).
Inf ormación y actualización a clientes y usuarios a través de la página web de CaixaBank sobre aspectos relacionados con la ciberdelincuencia (tipos de fraudes más comunes, tendencias en ciberseguridad, consejos sobre cómo detectar posibles conductas fraudulentas, etc.). ...
... Por último, deseamos recordarle que CaixaBank nunca solicita información ni credenciales bancarias a través de correo electrónico, sino que, para garantizar una operativa segura, ha creado herramientas como CaixaBankSign. ...Respecto a las operaciones objeto de reclamación, las mismas constan autenticadas, habiéndose establecido la secuencia de validación y autorización Por todo cuanto antecede, lamentamos indicarle que no podemos atender la pretensión formulada en su escrito de reclamación, por cuanto las operaciones cuestionadas constan ejecutadas correctamente por CaixaBank, de conformidad con la normativa de servicios de pago.
CUARTO.-Dij imos en sentencia de esta Audiencia Provincial de La Rioja de 6 de noviembre de 2024, Nº de Recurso: 106/2024 , Nº de Resolución: 432/2024:
SEGUNDO.- Sobre la infracción del artículo 217.2 de la LEC .
Se alega como primer motivo del recurso la infracción del artículo 217.2 de la LEC pues el actor no acredita los hechos relatados, toda vez que no aporta con la demanda, copia del supuesto SMS o notificación que dice haber recibido con un enlace fraudulento, con lo cual, no se acredita por la parte demandante haber sido víctima de un supuesto fraude y, en consecuencia, no se acreditan los hechos en los que basa su demanda.
El artículo 44 del Real Decreto Ley 19/2018, de 23 de noviembre , de servicios de pago y otras medidas urgentes en materia financiera regula la prueba de la autenticación y ejecución de las operaciones de pago, en los términos siguientes:
1. Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago.
Si el usuario de servicios de pago inicia la operación de pago a través de un proveedor de servicios de iniciación de pagos, corresponderá a éste demostrar que, dentro de su ámbito de competencia, la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable.
2. A los efectos de lo establecido en el apartado anterior, el registro por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 41.
3. Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave.
4. El proveedor de servicios de pago conservará la documentación y los registros que le permitan acreditar el cumplimiento de las obligaciones establecidas en este Título y sus disposiciones de desarrollo y las facilitará al usuario en el caso de que así le sea solicitado, durante, al menos, seis años. No obstante, el proveedor de servicios de pago conservará la documentación relativa al nacimiento, modificación y extinción de la relación jurídica que le une con cada usuario de servicios de pago al menos durante el periodo en que, a tenor de las normas sobre prescripción puedan resultarles conveniente para promover el ejercicio de sus derechos contractuales o sea posible que les llegue a ser exigido el cumplimiento de sus obligaciones contractuales.
Lo dispuesto en este apartado se entiende sin perjuicio de lo establecido en la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, así como en otras disposiciones nacionales o de la Unión Europea aplicables.
Por lo tanto, corresponde al proveedor de servicios de pagos demostrar que la operación de pago fue autenticada, registrada con exactitud, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado y le corresponde también probar que el usuario del servicio de pago cometido fraude o negligencia grave.
Dijimos en las sentencias de esta Audiencia Provincial de La Rioja de 17 de febrero de 2023 y 18 de abril de 2024 lo siguiente:
Es verdad que el artículo 36 del RDL 19/2018, de 23 de noviembre establece que "Las operaciones de pago se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución. ..." y que "el ordenante y su proveedor de servicios de pago acordarán la forma en que se dará el consentimiento, así como el procedimiento de notificación del mismo".
También es cierto que, puesto que la operación se realizó, alguien la debió autorizar.
Pero dicho precepto debe ponerse en relación con el artículo 44, cuyo apartado 1 presume la falta de autorización del ordenante si este la niega, como ocurre en el presente supuesto.
A tenor de dicho precepto, "Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago."
Y postreramente señala en el apartado 2 que ", el registro por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 41." Y en apartado 3 añade que " Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave."
---- Por otro lado, no está de más recordar que, como ya hemos anticipado conforme al art. 44 del RDL 19/2018, de 23 de noviembre corresponde al banco probar que el usuario del servicio de pago cometió fraude o negligencia grave; es decir, que si el banco estima que en la reclamación puede existir fraude o engaño del ordenante para beneficiarse de la operación de pago, es el propio banco quien debe de probarlo. Y en este caso no hay indicio alguno de ello, y sí, como hemos expuesto, de la existencia de la modalidad de estafa o fraude en el que la titular de la cuenta resultó víctima.
TERCERO.- 1.- Arguye la parte recurrente, en segundo lugar, infracción de las normas de interpretación de los artículos 44 y 45 del Real Decreto Ley 19/2018 , de servicios de pago.
Mantiene que no puede considerarse suficiente la manifestación de la actora, para entender operación como no autorizada, ya que a su juicio todas las evidencias acreditan que la operación se realiza mediante la identificación correcta del usuario, y con todas las acreditaciones debidas.
Insiste en que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago.
Destaca que la sentencia que se recurre, no ha considerado lo pactado por la actora en los contratos suscritos por aquella con Ibercaja, en lo relativo a la forma de prestar el consentimiento, y en su compromiso, de conformidad a lo pactado en el contrato, que expresa "otorgar plena validez jurídica a las operaciones realizadas mediante cualquier tipo de claves y/o códigos que permitan la identificación personal del mismo, dando como válidas y propias las operaciones que sean realizadas empleando las claves o códigos previstos en este contrato", como así ha sucedido en el presente caso. En base a lo expuesto, considera infringidos los arts. 44 y 45 del RDL 19/2018 .
Por lo que respecta a la negligencia del usuario, no fue a la entidad a la que le sustrajeron los datos sino al cliente. Y añade que las operaciones no resultaron extrañas ya que se efectuaban de forma correcta con la identificación del usuario, y las claves que a este usuario, la actora, le fueron facilitadas en el momento de la contratación de la tarjeta y del servicio de Ibercaja Directo. Se trata de claves que solamente el usuario (en este caso la actora) conoce, y que no pueden ser usurpadas a la entidad bancaria, e incluso el usuario, puede cambiarlas, sin ninguna notificación al banco, por lo que este nunca conocerá las claves del usuario. Además, en los casos de perdida, el banco debe generar unas nuevas claves para entrega al usuario, ya que no dispone de las anteriormente entregadas, por lo que difícilmente pueden ser sustraídas estas claves a la entidad bancaria.
En cuanto al móvil, indica que el dispositivo móvil, es de propiedad de la actora, no le es facilitado por la entidad bancaria, por lo que ningún acceso tiene a dicho dispositivo, y es de responsabilidad del usuario conservar y guardar las medidas de seguridad de los dispositivos de su propiedad que no le son facilitados por la entidad bancaria. Por otra parte, y en cuanto a tecnología antiphishing, la apelante arguye que dispone de la tecnología referida en salvaguarda de los sistemas informáticos de la entidad al que acceden los usuarios, pero esta tecnología en los dispositivos móviles de los usuarios no son de acceso a la entidad bancaria, por lo que no debe responder de la obligación del usuario de velar por la propia seguridad en los dispositivos que son de su exclusiva propiedad, que no han sido facilitados al usuario por la entidad bancaria.
2.- El motivo se desestima. La apelante no otorga la relevancia que debiera al hecho de que el RDL 19/2018, de 23 de noviembre establece un sistema de responsabilidad cuasi objetiva de la entidad proveedora del servicio de pago.
Así, en caso de ejecutarse una operación de pago no autorizada, el artículo 45 señala que , "el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación,..."
Este sistema de responsabilidad civil tan solo cesa cuando, conforme a lo establecido en el artículo 46, el ordenante ha actuado de manera fraudulenta o ha "incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41. ...", precepto este que impone al usuario la obligación de utilizar el instrumento de pago de conformidad con las condiciones que regulen la emisión y de tomar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas, y en caso de extravío, sustracción o apropiación indebida, notificarlos al proveedor de servicios de pago sin demora.
Dicho precepto puntualiza que " el ordenante quedará exento de toda responsabilidad en caso de sustracción, extravío o apropiación indebida de un instrumento de pago cuando las operaciones se hayan efectuado de forma no presencial utilizando únicamente los datos de pago impresos en el propio instrumento, siempre que no se haya producido fraude o negligencia grave por su parte en el cumplimiento de sus obligaciones de custodia del instrumento de pago y las credenciales de seguridad y haya notificado dicha circunstancia sin demora." Ahora bien, dicha norma, en el apartado 2 previene que, " Si el proveedor de servicios de pago del ordenante no exige autenticación reforzada de cliente, el ordenante solo soportará las posibles consecuencias económicas en caso de haber actuado de forma fraudulenta. En el supuesto de que el beneficiario o el proveedor de servicios de pago del beneficiario no acepten la autenticación reforzada del cliente, deberán reembolsar el importe del perjuicio financiero causado al proveedor de servicios de pago del ordenante."
De lo anterior resulta que, tratándose de operaciones no autorizadas como es el caso, salvo actuación fraudulenta, incumplimiento deliberado o negligencia grave del ordenante, la responsabilidad será del proveedor del servicio de pago, lo que supone que a él le corresponde la carga de la prueba de que la orden de pago " no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago "
Esta conclusión es lógica. Ha sido la Banca la que principalmente se ha beneficiado de las nuevas tecnologías: su uso le ha permitido abaratar costes mediante el sistema de que sean los clientes los que realicen materialmente las operaciones que antes llevaban a cabo sus empleados en las oficinas o sucursales bancarias, lo cual ha permitido a las entidades financieras despedir a muchos de aquellos y cerrar muchas de estas.
En esa situación, resulta justo que sea el banco el que se haga cargo de ese margen de riesgo que ha introducido el uso de las nuevas tecnologías y que antes, cuando las operaciones se hacían presencialmente, era inexistente.
En este punto, debe hacerse especial mención de que el banco es perfectamente consciente que en esta dinámica de contratación, es el dispositivo de telefonía móvil el que habitualmente más se utiliza por los clientes para la realización de estas operaciones on line; no en vano, los bancos facilitan e incentivan su uso mediante la creación de sus propias apps, cuyo uso preconizan y publicitan de forma insistente entre sus clientes. Por eso resulta de todo punto inadmisible que el banco, para exonerarse de responsabilidad, arguya que no es responsable de la seguridad de esos dispositivos, cuando resulta que es el propio banco quien, mediante la creación apps, facilita cuando no incentiva su utilización de los teléfonos móviles por los clientes para realizar este tipo de operaciones, sin que conste que el banco, cuando facilita o difunde esta utilización, se preocupe de cual es concretamente el rango o nivel de seguridad que presenta cada uno de los dispositivos de sus clientes a través de los cuales se realizan las operaciones.
Y queremos destacar que, para quedar exento de responsabilidad, el Banco deberá acreditar no sólo que la orden de pago no se vio afectada por un fallo técnico que es en lo que se centra el recurrente, sino tampoco por "otra deficiencia del servicio prestado por el proveedor de servicios de pago."
Esto quiere decir que el banco debe actuar con la diligencia exigible, que no es sólo la reglamentariamente prevista sino la adecuada a las circunstancias de personas, lugar y tiempo.
Entre estas, cobran especial relevancia datos tales como, el perfil del cliente, los movimientos inusuales, los importes dispuestos, la hora en que se hace la operación, etc.
Claro está, el proveedor de servicios de pago podrá quedar exento de responsabilidad si prueba que el suceso se produjo por la actuación dolosa o gravemente negligente del ordenante.
Pero incluso en estos casos la responsabilidad del cliente queda devaluada cuando el banco no exige la autenticación reforzada del cliente.
A la vista de dicha normativa y de la fundamentación jurídica citada, no puede más que desestimarse el primer motivo del recurso. Cierto es que los demandantes no aportaron copia del SMS enviado a su teléfono móvil, al que se adjuntaba un enlace fraudulento. Sin embargo, de la existencia de la denuncia ante la Guardia civil (no parece lógico deducir que los demandantes interpusieron una denuncia falsa y por lo tanto cometieron un delito), poco tiempo después de que se produjeran las transferencias indebidas, las explicaciones que realizan tras el rechazo de la reclamación efectuada (documento nº 2 de la contestación, que aporta la propia demandada) y la propia existencia de estas, sin que la entidad demandadahaya acreditado la legitimidad de ellas, al contrario, no cuestiona la fraudulencia de tales operaciones bancarias desde la cuenta de los demandantes, no hay motivos para dudar que el acceso a la cuenta de los demandantes se produjo a través de un SMS o de un comunicación fraudulenta al que se adjuntaba un enlace malicioso a través del cual se obtuvieron las claves y número de tarjeta de los demandantes. La carga de la prueba de que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado, le corresponde a la demandada, así como probar que el usuario del servicio cometió fraude o negligencia grave. La demandada no ha practicado ni una sola prueba que demuestre que los demandantes estén incurriendo en un fraude o que utilizaran sus claves para acceder a su propia cuenta con finalidad fraudulenta, al contrario, aceptan la versión de los demandantes para imputarles negligencia grave al haber facilitado sus claves y sobre todo su número de tarjeta de crédito cuando utilizó el enlace adjunto.
TERCERO.- Sobre el error en la valoración de la prueba respecto a la negligencia grave en sus obligaciones de custodia de sus credenciales y claves.
Si los hechos ocurrieron como relatan los demandantes, no existiendo razones para pensar que no se produjeron de tal forma y, como se ha dicho, ante la falta de prueba de que ocurrieran de otro modo, no existe duda que la actuación no fue diligente, pero la clave está en valorar si la negligencia fue o no grave.
El artículo 45.1 del Real Decreto citado establece que 1. Sin perjuicio del artículo 43 de este real decreto-ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada.
El artículo 46 de dicho Real Decreto Ley establece que el ordenante soportará todas las pérdidas derivadas de operaciones de pago no autorizadas si el ordenante ha incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41. En esos casos, no será de aplicación el importe máximo contemplado en el párrafo primero.
Decíamos en las mismas sentencias antes citadas que:
Es conocido- y el banco lo conoce perfectamente- que este tipo de disposiciones espurias se pueden lograr por muy diversos medios, habitualmente utilizados por la ciberdelincuencia: "pharming", " phishing ", "hijacking" o secuestro de conexión TCP/IP, por medio de determinadas App que captan por medio de un malware todos los datos que obran en el dispositivo en el que se instalan, incluyendo claves, números de usuario, firma, números de teléfono, entre otros, etc. Como se puede suponer, se trata de ataques que poco tienen que ver con el comportamiento del usuario y pueden y suelen pasar desapercibidas.
...
Debe recordarse en este punto que es el banco quien ofrece este producto, es en principio seguro, y es cierto que remite avisos y advertencias genéricas sobre su utilización; pero conociendo los distintos riesgos de los que avisa, le corresponde adoptar las medidas de seguridad o control necesarias, que en este caso no consta que se adoptaran. Y no basta con medidas genéricas de protección o avisos estereotipados de cuidado, pues tales avisos ostentarían la calificación de "formulas predispuestas", vacías de contenido. No son los clientes los que deben prevenir ni averiguar las modalidades de riesgos que el sistema conlleva, o estar al tanto de lo mismos, ni prevenir con su asesoramiento experto dichos riesgos".
En el mismo sentido, la sentencia de la Audiencia Provincial de Teruel de 30 de junio de 2023, Nº de Recurso: 56/2023 , Nº de Resolución: 74/2023, razona: "Entrando en el primer motivo del recurso, se menciona la infracción de las normas de interpretación del art. 36 del Real Decreto-ley 19/2018, de 23 de noviembre , de servicios de pago y otras medidas urgentes en materia financiera (LSP). Señala que la sentencia recurrida presume, sin determinar ni aclarar los extremos por los que deben ser consideradas operaciones no autorizadas, cuando dichas operaciones fueron correctamente autorizadas y registradas en los sistemas informáticos de la entidad, y perfectamente documentadas las operaciones efectuadas mediante transferencias telemáticas, acogiendo la afirmación de la actora de que no fue ella quien realizó las mismas, sin ningún fundamento ni prueba de contrario. Sostiene la recurrente que las operaciones efectuadas inicialmente, no suponen evidencias o indicios de simulación o fraude, ya que se realizaron de forma correcta por la actora u otra persona, identificándose debidamente con las claves y contraseñas que la entidad había facilitado al actor en la contratación de los distintos servicios de banca electrónica.
La regulación específica sobre esta materia, cuya infracción alega la apelante, se contiene en el Real Decreto Ley 19/2018 de 23 de noviembre, de Servicios de Pago que, según su Exposición de Motivos, tiene como una de sus finalidades, establecer unas normas de protección efectiva a los usuarios de servicios de pago. En su título III se establecen los derechos y las obligaciones de los proveedores y de los usuarios en relación con servicios de pago.
Conforme al art 36, las operaciones de pago se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución, señalando también que " El ordenante y su proveedor de servicios de pago acordarán la forma en que se dará el consentimiento, así como el procedimiento de notificación del mismo ."
Ahora bien, dicho artículo debe ponerse en relación con el 44 del mismo texto legal, que establece en su apartado primero que cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago.
En su apartado 3º, el artículo 44 LSP establece que corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave.
En el caso que nos ocupa, pese a lo señalado por el recurrente, la sentencia considera acreditado por la documental aportada que las transferencias fueron realizadas por terceras personas sin su consentimiento, de forma fraudulenta,.... A ello se añade que la sentencia detalla exhaustivamente la actuación de la actora desde el momento en el que detectó una pérdida de conexión en su móvil, comunicándolo a la empresa de telefonía. Todo ello es característico de una modalidad delictiva como el "SIM swapping", que consiste en duplicar de forma fraudulenta la tarjeta SIM del teléfono móvil de una persona suplantando su identidad, y después, una vez que la víctima se queda sin servicio telefónico, accede a su información personal y toma el control de su banca digital utilizando los SMS de verificación que llegan al número de teléfono. Así, en la sentencia se declara acreditado que, al día siguiente de la incidencia con la línea de teléfono, y cuando ya se habían realizado las transferencias fraudulentas, el esposo de la actora, tras intentar acceder a la banca online con sus claves, se ve impedido, al haber sido las mismas cambiadas por los delincuentes, y todo ello a través de los sms que la entidad bancaria envía al número de teléfono del titular, sin verificar si se trata de un dispositivo de confianza.
No podemos apreciar, por tanto, infracción de las normas de interpretación del artículo 36 LSP , por lo que el motivo debe desestimarse.
SEGUNDO.- El segundo motivo del recurso se refiere a la infracción de las normas de interpretación de los artículos 44 y 45 LSP .
Mantiene, en síntesis, el apelante que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago. Que la sentencia se limita a presumir que las operaciones no fueron autorizadas por el usuario, partiendo de la manifestación de este y sin otra prueba que lo respalde. Por lo que respecta a la negligencia del usuario, no fue a la entidad a la que le sustrajeron los datos sino al cliente, ya que la sustracción de datos se ha producido en los dispositivos utilizados por la actora y por causas ajenas a la entidad, que no están bajo su control, por lo que debe quedar exento de responsabilidad en los daños producidos.
...
En relación a daños causados por determinados servicios, el art 148 de LGDCU establece una exigencia de determinado nivel de eficacia o seguridad y el art 147 establece que sus prestadores serán responsables de los daños y perjuicios causados a los consumidores y usuarios, salvo que prueben que han cumplido las exigencias y requisitos reglamentariamente establecidos y los demás cuidados y diligencias que exige la naturaleza del servicio.
La precedente regulación, así como la específicamente contenida en la LSP, establece una responsabilidad calificada de cuasi objetiva de la entidad proveedora del servicio, que desplaza la carga de la prueba a la entidad demandada, la que además tiene la facilidad probatoria ( art 217 p 6 , 7 LEC ).
Como indica la SAP Zaragoza, sección 5ª, de 17 de noviembre de 2022 , (y otras como la SAP Zaragoza, sección 4ª de 14 de septiembre de 2022 ), respecto de las operaciones de pago no autorizadas, "el artículo 45 LSP señala que, "el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, ..." . Esta responsabilidad solo cesa en caso de actuación fraudulenta del ordenante o cuando "ha incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41. ..." , precepto este que impone al usuario la obligación de utilizar el instrumento de pago de conformidad con las condiciones que regulen la emisión y de tomar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas, y en caso de extravío, sustracción o apropiación indebida, notificarlos al proveedor de servicios de pago sin demora. Dicho precepto puntualiza que "el ordenante quedará exento de toda responsabilidad en caso de sustracción, extravío o apropiación indebida de un instrumento de pago cuando las operaciones se hayan efectuado de forma no presencial utilizando únicamente los datos de pago impresos en el propio instrumento, siempre que no se haya producido fraude o negligencia grave por su parte en el cumplimiento de sus obligaciones de custodia del instrumento de pago y las credenciales de seguridad y haya notificado dicha circunstancia sin demora." Ahora bien, dicha norma, en el apartado 2 previene que, "Si el proveedor de servicios de pago del ordenante no exige autenticación reforzada de cliente, el ordenante solo soportará las posibles consecuencias económicas en caso de haber actuado de forma fraudulenta. En el supuesto de que el beneficiario o el proveedor de servicios de pago del beneficiario no acepten la autenticación reforzada del cliente, deberán reembolsar el importe del perjuicio financiero causado al proveedor de servicios de pago del ordenante."
En definitiva, tratándose de operaciones no autorizadas, como las que nos ocupan, salvo actuación fraudulenta, incumplimiento deliberado o negligencia grave del ordenante, la responsabilidad será del proveedor del servicio de pago, lo que supone que a él le corresponde la carga de la prueba de que la orden de pago " no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago " , debiendo destacarse que debe acreditar no solo que no se vio afectada por un fallo técnico, sino también debe excluir cualquier "otra deficiencia del servicio prestado por el proveedor de servicios de pago ", de manera que el banco deberá acreditar que actuó con la diligencia exigible, adecuada a las circunstancias de las personas, lugar y tiempo, y no solo la reglamentariamente fijada.
Dice la sentencia de 4 de julio de 2024 de la Audiencia Provincial de Oviedo que:
Este Tribunal se ha pronunciado, entre otras, en las sentencias de veinte de abril y 22 de junio de 2.023 sobre estos tipos de defraudaciones, en términos que ya se citan en la resolución recurrida. Así señalamos: "Y a partir de tal consideración, la única negligencia imputable al consumidor radica en haber confiado en el SMS recibido en su móvil, en la línea de mensajes de la demandada, y consignar en la página a la que resultó redireccionado las claves de acceso a su usuario, lo que esta Sala no ha considerado constitutivo de una negligencia grave en atención a la distribución de la responsabilidad regulado en la LSP.En la reciente sentencia de veinte de abril de dos mil veintitrés señalamos, en un supuesto análogo: "...la prueba allegada por el banco al respecto, que se redujo a una certificación del empleado de la demandada responsable del Departamento de Banca Digital aparece desmentido o, al menos, resulta insuficiente para probar, como le corresponde a la recurrente, aquella actuación negligente del cliente basada en la comunicación a terceros o cuidado de la clave de acceso. Como señala la sentencia de la Sec. 3ª de la AP de Burgos de 5 de diciembre de 2.022 a propósito del fraude por phishing, "la mayor parte de las AAPP han apreciado responsabilidad del proveedor de servicios de pago cuando lo único que ha hecho el usuario es descargarse estos programas maliciosos, sin introducir un segundo código de autenticación. Así, SSAP Zaragoza sección 5 del 1 de julio de 2.022 ( ROJ: SAP Z 1482/2022 ), Granada sección 5 del 20 de junio de 2.022 ( ROJ: SAP GR 957/2022 ), Valencia sección 6 del 13 de junio de 2022 ( ROJ: SAP V 2622/2022 ), Madrid sección 20 del 20 de mayo de 2022 ( ROJ: SAP M 7327/2022 ), y Pontevedra sección 6 del 21 de diciembre de 2021 ( ROJ: SAP PO 3078/2021 )".
En la sentencia de este Tribunal de trece de marzo del año en curso abordamos un supuesto análogo al presente y señalamos: "Se da la circunstancia en este caso de que el usuario sí facilitó el segundo código de autenticación, lo que, en principio sí podría calificase como de una actuación gravemente indiligente, que exoneraría de responsabilidad al proveedor de los servicios de pago. Pero, sin embargo, deben valorarse las concretas circunstancias concurrentes en el presente caso, que no aparecen discutidas en el litigio y aquél lo hizo tras recibir una llamada telefónica que figuraba en su terminal como procedente de una oficina local del banco y que así se lo indicó, lo que configura una puesta en escena del engaño basada en la confianza que proporcionaba la identificación del número telefónico y que produjo en la demandante el error de considerar como su interlocutor la entidad bancaria. Y en este trance, no podemos calificar como gravemente negligente la actuación del usuario como negligencia grave, lo que conduce a la misma conclusión declarada en la sentencia recurrida". Y no es distinto este supuesto, en el que concurre el mismo ardid defraudador por el tercero y que impide califica como grave la negligencia del usuario. Y la posterior operativa al vincular un sistema de pago de tal forma no es sino la consecuencia de lo anterior y merece el mismo tratamiento, que lleva, en suma, a la desestimación del recurso de apelación.
La sentencia de la Audiencia Provincial de Madrid, sección 10ª de 18 de julio de 2024 indica, con cita de diversas sentencias de las Audiencias Provinciales que :
A tenor de lo establecido en dichos preceptos, la entidad que presta el servicio de pago solo puede exonerarse de responsabilidad, mediante la prueba de fraude o culpa grave del usuario que emite la orden de pago. En el supuesto objeto de recurso, estamos ante un fraude llamado " phishing ", por el que se suplanta la identidad de la entidad bancaria para obtener información sobre las claves o credenciales de las cuentas bancarias o tarjetas de crédito/débito. Se envía un correo electrónico con la apariencia de ser remitido por la entidad bancaria, que contiene un enlace a una página que aparenta ser sitio oficial de ésta, pero que en realidad pertenece a un dominio bajo control del phiser.
Se reconoce por la propia apelada que el demandante fue víctima de una estafa, que la llevó a creer que estaba operando a instancia del Banco de Santander, a través de la línea telefónica del banco, cuando no era así y, como consecuencia del engaño, introdujo los códigos OTP PUSH remitidos al dispositivo móvil del demandante.
Sobre la jurisprudencia aplicable, la sentencia de la Audiencia Provincial de Madrid, sección 11ª, de fecha 28 de febrero de 2022 , hace un compendio de la misma y se menciona la sentencia de la Audiencia Provincial de Madrid (Sección 9ª) núm. 178/2015 de 4 mayo de 2015 (JUR 201551311), que se pronuncia en el sentido siguiente: ..." Salvo actuación fraudulenta, incumplimiento deliberado o negligencia grave del ordenante (Art. 32), la responsabilidad será del proveedor del servicio de pago, lo que supone que a él le corresponde la carga de la prueba de que la orden de pago " no se vio afectada por un fallo técnico o cualquier otra deficiencia" (art 30).
La responsabilidad contemplada en esta Ley es cuasi-objetiva, es decir, se trata de una responsabilidad de la entidad que presta servicios de pago que sólo permite exonerarse mediante la prueba de la culpa grave del ordenante.
Esta interpretación efectuada de la Ley 16/2009, de 13 de noviembre, de servicios de pago, es absolutamente acorde no sólo con la literalidad de la norma, sino con el espíritu y finalidad de la misma (ex. art. 3 CC ), en función de lo previsto, por tanto, en los artículos 30 y 32 de la mentada Ley 16/2009, de 13 de noviembre , de servicios de pago.
En base a todos estos criterios la sentencia de la Audiencia Provincial de Madrid Sección 9ª 178/2015 de 4 mayo de 2015 (JUR 201551311), condena a la entidad al reembolso de las cantidades, señalando que la Ley de los Servicios de Pago establece un sistema de responsabilidad cuasi objetiva para la entidad financiera, previendo que en caso de disposiciones fraudulentas el proveedor de servicios de pago deberá devolver de inmediato el importe de la operación no autorizada, (art. 31 ), quedando exento de esta obligación solo en el caso de que la operación no autorizada sea fruto de la actuación fraudulenta del cliente o del incumplimiento, deliberado o por negligencia grave, de una o varias de sus obligaciones (art. 32). Además, la Ley prevé una inversión de la carga de la prueba en tanto es el proveedor de los servicios, quien debe probar que la operación fue debidamente autenticada, cuando el usuario de los servicios lo niegue (art. 30).
La SAP Alicante 632/2018 - ECLI:ES: APA:2018:632 Id Cendoj: 03014370082018100070 Sección: 8 Fecha: 12/03/2018 Nº de Recurso: 622/2017 Nº de Resolución: 107/2018 , es especialmente apropiada para servir de referencia en la presente resolución por su claridad y extensión, aclarando el tema de la carga de la prueba referenciada anteriormente, señalando:
..... " Y es que no es cierto que la carga de la prueba sobre la implementación de medidas de seguridad adecuadas, suficientes, eficientes y actuales al nivel de riesgo modalidades de ataques informáticos en la red bancaria de banca online lo sea a cargo del usuario del sistema, pues el marco de responsabilidad establecido para el caso de operaciones de pagos hechos por proveedores de servicios no autorizadas o ejecutadas incorrectamente, es el de la cuasi-objetividad tal cual se desprende de la regulación específica sobre la materia -a la que seguidamente aludiremos-, sin perjuicio del régimen general de la carga de la prueba. Tres son las razones que abogan la contrariedad del argumento del recurrente, a saber, el contenido del precepto que se dice infringido - art 217 LEC - y, por llamada del mismo, la legislación de consumo y la legislación específica de servicios de pago. Por lo que hace al contenido del art. 217 LEC, hemos de recordar que párrafo séptimo establece que " para la aplicación de lo dispuesto en los apartados anteriores de este artículo el Tribunal deberá tener presente la disponibilidad y facilidad probatoria que corresponde a cada una de las partes del litigio". Para valorar el alcance de esta norma al caso hemos de entender que la regla general aplicable a la prestación de servicios que no tenga adjetivada una especial peligrosidad o requiera de un particular cuidado ha de ser la regla general del art. 217 LEC , de manera que cuando se trata de prestaciones contractuales o no contractuales, del tenor del art. 1101 y 1902 Cc en relación al art. 217.2 LEC se desprenderá que corresponde al perjudicado demandante la carga de la prueba de la culpa del causante del daño demandado. Ahora bien, no es así cuando " una disposición legal expresa" -art 217.6- imponga al demandado la carga de probar que hizo cuanto le era exigible para prevenir el daño; o cuando tal inversión de la carga de la prueba venga reclamada por los principios de " disponibilidad y facilidad probatoria " a los que se refiere el artículo 217.7 LEC , y ello sin perjuicio de que en aplicación de lo dispuesto en el artículo 386 LEC el tribunal pueda imputar la culpa al demandado del resultado dañoso acaecido cuando, por las especiales características de éste y conforme a una máxima de la experiencia, pertenezca a una categoría de resultados que típicamente se produzcan (sean realización de un riesgo creado) por impericia o negligencia, y no proporcione el demandado al tribunal una explicación causal de ese resultado dañoso que, como excepción a aquella máxima, excluya la culpa por su parte. La lógica de la norma de acceso a la fuente de la prueba y facilidad probatoria en lo que hace a la implementación de medidas de seguridad en la prestación de un servicio que se da por las entidades de crédito a sus clientes a través de una oficina virtual que se desenvuelve en redes bien de internet, bien de comunicaciones móviles, se presenta como criterio más que de razonable atención al caso en el que la propia seguridad y debida reserva de la red se contrapone al acceso por parte de un tercero distinto al titular de la misma que asume poner en la red pública un conjunto de comunicaciones para permitir operaciones bancarias que requiere de soluciones tecnológicas muy avanzadas que minimicen las amenazas contra la autenticidad, integridad y la confidencialidad de los datos que circulan a través de la red. Por otro lado, el apartado 6 del artículo 217 LEC dispone que las normas contenidas en los apartados precedentes "se aplicarán siempre que una disposición legal expresa no distribuya con criterios especiales la carga de probar los hechos relevantes". (...) Así resulta además del particular régimen jurídico de responsabilidad en la prestación de servicios de pago que, con la llamada del 217.6 LEC, penetra en la configuración de la específica modalidad de responsabilidad que asume este prestador y con ello, la variación del régimen legal del sistema de gravamen probatorio, regulación legal de los servicios de pago que constituye una legislación ad hoc a no ignorar por el hecho de que se haya positivizado en la ley posterior a los hechos que nos ocupa -la Ley 16/2009, de 13 de noviembre, de servicios de pago (en vigor desde el día 4 de diciembre de ese mismo año) porque dicha norma transpone (fuera del plazo dado en la misma) la Directiva 2007/64/CE, del Parlamento Europeo y del Consejo Europeo de 13 de noviembre de 2007 vigente al tiempo de los hechos (hoy derogada por la Directiva 2015/2366, de 25 de noviembre), donde se establece -art 59 - el siguiente contenido normativo que ha sido traspuesto al art. 30 de la Ley 16/2009 , de servicios de pago: " Los Estados miembros exigirán que, cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que esta se ejecutó de manera incorrecta, corresponda a su proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico o cualquier otra deficiencia..".
Y concluye en relación con la carga de la prueba:
... " En conclusión, la responsabilidad del proveedor de los servicios de banca online, en este caso Barclays, es de riesgo y consecuentemente, es por ley que a la entidad corresponde acreditar que la operación ordenada sí fue auténtica y que no estuvo afectada por un fallo técnico o por otra deficiencia como, por ejemplo, por un ataque informático de naturaleza fraudulenta al sistema bancario que hubiera permitido el acceso a las cuentas de sus clientes y disponer ilícitamente, de las mismas ordenando operaciones en detrimento de aquellos...".
Respecto del fondo es preciso hacer constar expresamente la descripción que esta audiencia de Alicante señala por su claridad y oportunidad de aplicación al supuesto que estamos resolviendo, a saber:
... " Para una mejor respuesta al motivo, y dado que la responsabilidad que se imputa a la entidad, derivada de la ejecución de una transferencia no autorizada por la titular de la cuenta de la cliente demandante realizada a través del sistema de banca online, lo es en tanto prestadora de servicios de pago a través del modelo de banca virtual puesta a disposición de su cliente, concretaremos el régimen legal y contractual en el que se desenvuelve la banca electrónica, cuáles son las obligaciones el prestador y del usuario conforme a la legislación aplicable, el significado jurídico de las órdenes de pago y el marco de responsabilidades que del mismo resulta y la jurisprudencia más señalada al respecto. Pues bien, tales aspectos pueden concretarse en los puntos que seguidamente numeramos. 1.- La transferencia bancaria es un servicio que forma parte del contrato de servicio de caja entre un proveedor de servicios de pago (el banco) y sus clientes y sirve de medio de pago mediante el débito en la cuenta del ordenante y abono en la del beneficiario, tratándose en suma de un procedimiento financiero de movimiento de la moneda. Se trata de un medio de pago consistente en una orden dada al banco (banco emisor) por parte de un cliente (ordenante) a fin de que, con cargo a su cuenta, abone un determinado importe en otra cuenta del mismo o distinto banco (banco destinatario) abierta a nombre de un tercero (beneficiario) o del propio ordenante. 2.- Las transferencias se regulan, trasponiendo la Directiva 2007/64/CE del Parlamento Europeo y del Consejo Europeo, de 13 de noviembre de 2007 , sobre servicios de pago en el mercado interior, por la que se modifican las Directivas 97/7/CE, 2005/65/CE y 2006/48/CE y por la que se deroga la Directiva 97/5/CE , en la Ley 16/2009, de 13 de noviembre, de Servicios de Pago (LSP). La Directiva 2007/64/CE ha sido derogada por la Directiva UE 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento UE nº 1093/2010 y se deroga la Directiva 2007/64/CE . 3.- La LSP define la orden de pago como " toda instrucción cursada por un ordenante o beneficiario a su proveedor de servicios de pago por la que se solicite la ejecución de una operación de pago " ( art. 2.16 LSP ). 4.- Desde un punto de vista contractual toda transferencia constituye una forma de ejecución de obligaciones contractuales previamente asumidas, ejecución obligada cuando se dan las condiciones pactadas. Se entiende que la orden de transferencia constituye una declaración de voluntad o mandato (en el sentido del art. 254 CCo ) en virtud del cual el banco asume la realización de transferencias por cuenta del cliente como parte del contrato de servicio de caja. 5.- Dado el carácter negocial de la orden de pago, ésta puede pactarse que tenga lugar en cualquier forma, incluida la electrónica. En particular, el consentimiento a operaciones de pago por el usuario en el ámbito de la banca electrónica supone que el cliente deba haber firmado un contrato de adhesión a los servicios de banca electrónica."
Destacar esta conclusión: ... "La falsedad de la transferencia (es decir, que el ordenante no sea el titular de la cuenta) es un riesgo a cargo del banco porque, en principio, el deudor sólo se libera pagando al verdadero acreedor por lo que, si el banco cumple una orden falsa, habrá de reintegrar en la cuenta correspondientes las cantidades cargadas. Una excepción a esta distribución de riesgos se produce en el caso de que el titular haya creado o elevado el riesgo de falsificación de forma imputable en el caso concreto ( STS 15 de julio de 1988 ). ....(....) - Los servicios que prestan las entidades de crédito a sus clientes a través de su oficina virtual se desenvuelven en redes TCP/IP (Internet) o WAP (comunicaciones móviles). 11.- Siendo Internet una red pública de comunicaciones, la seguridad de las operaciones bancarias precisa de soluciones tecnologías avanzadas a los efectos de garantizar tanto la autenticidad como la integridad y la confidencialidad de los datos. Por estos motivos las entidades prestadoras del servicio de banca online deben dotarse de medidas suficientes que garanticen al usuario la seguridad de las operaciones. Consecuencia derivada de la omisión, insuficiencia o defectuoso funcionamiento de las adoptadas es que han de ser las entidades bancarias las que asuman las consecuencias derivadas de los fallos de seguridad del sistema. (.....)-La responsabilidad en estos supuestos no puede atribuirse directamente al supuesto ordenante de la transferencia por entenderse ésta autorizada al haberse realizado de acuerdo con los sistemas de autenticación del banco. Los sistemas de autenticación se establecen por los proveedores de servicios de pago y si un banco no ha sido capaz de limitar el acceso al canal de banca electrónica no puede pretender que el presunto ordenante víctima de esta práctica fraudulenta sea el único responsable, pues es el banco quien tiene responsabilidad respecto del buen funcionamiento y la seguridad del mismo.
La Sentencia de la Audiencia Provincial de Zaragoza de fecha 14 de mayo de 2013 condenó a BARCLAYS BANK a reintegrar 20.947 al cliente víctima de phising. La Sentencia señala: " que la Ley de Servicios de Pago expresa con claridad que, salvo una tardanza injustificada del usuario del servicio de banca electrónica en comunicar la irregularidad de las operaciones, será el banco quien deberá devolverle de inmediato el importe de la operación no autorizada y, en su caso, restablecerá la cuenta de pago en que haya adeudado dicho importe al estado que habría existido de no haberse efectuado la operación de pago no autorizada. Por ello y salvo actuación fraudulenta o negligencia grave del titular de la cuenta, la responsabilidad de la operación es del banco al que corresponde además probar el correcto funcionamiento del sistema informático....".
A tenor de lo expuesto, salvo la actuación fraudulenta, incumplimiento deliberado o negligencia grave del usuario, la responsabilidad será del proveedor del servicio de pago, lo que supone que a él le corresponde la carga de la prueba de que la orden de pago " no se vio afectada por un fallo técnico o cualquier otra deficiencia". La interpretación efectuada por la Juzgadora a quo de la Ley 16/2009, de 13 de noviembre, de servicios de pago, no es acorde con la literalidad de la norma ni con el espíritu y finalidad de la misma (ex. art. 3 CC ), al no estimar la responsabilidad de la entidad bancaria, considerando que se produjo una correcta prestación del servicio de banca online y que el sistema fue genéricamente seguro, pero como es evidente no lo fue en el presente caso. La entidad bancaria debe dotar a la banca electrónica de las medidas de seguridad necesarias para prevenir unos tipos de fraude ya muy extendidos y que, como lo prueba el supuesto que nos ocupa, siguen produciéndose por falta de una medida adecuadas por las entidades bancarias, que ponen a disposición de sus clientes la banca online y la contratación electrónica como dotados de una seguridad que no garantizan.
Como se aduce en la sentencia apelada, no podemos calificar la posible negligencia de la demandante en la conservación de sus claves como "grave" en ningún caso. Estamos ante un tipo de fraude muy específico del que es fácil ser víctima, sin que ello implique una actuación negligente del cliente, dado lo bien articulada en su ejecución que está esta modalidad de fraude. Como ha quedado acreditado del informe pericial aportado como documento 8 de la demanda, emitido por el Ingeniero Superior en Informática, Sr. Everardo, no solo no existe una actuación de grave negligencia en el actor, sino que la actuación negligente de la entidad bancaria demandada es clara, ante la existencia de evidencias de fraude que debieron activar sus sistemas de protección, al existir cargos no habituales y por el concepto KRAKEN EXCHANGE, cuando no consta que el cliente realizara operaciones en el extranjero. Según el informe pericial, existen irregularidades en el sistema de seguridad "3D SECURE", por cuanto en el propio certificado REDSYS, aportado como documento 1 de la contestación, consta "Dispositivo o entidad que autentifica al cliente no identificado", por lo que al no identificar el dominio no debió autorizarse la operación, es decir, en contra de lo que se afirma por la apelada, no se cumplió con la medida de seguridad de doble autentificación.
Entiende la Sala que la entidad bancaria actuó sin tomar las medidas de diligencia y seguridad exigidas y la consecuencia del incumplimiento es la obligación de devolver de inmediato el importe de la operación, lo que al no efectuarse de inmediato supone un nuevo incumplimiento.
La Audiencia Provincial de Lleida en sentencia de 30 de julio de 2024 desestima la existencia de culpa grave en un caso similar en los siguientes términos:
Sobre la entidad de dicha negligencia grave del usuario se ha pronunciado este Tribunal en la reciente Sentencia de 19 de abril de 2024, nº 303/2024 , en la que disponíamos: "Es sabido que los ciberdelincuentes usan estrategias con las que engañan al usuario. En ocasiones le hacen creer, por ejemplo, que su banco le pide actualización de datos. El cliente atiende porque la solicitud le llega por medio de su correo electrónico o a través de una web casi idéntica a la de la entidad bancaria. Responde al pedido y entrega sus datos. Así comienza el phishing.
Hay, pero otras modalidades, como la de autos, que es el caso del smishing, que es un ciberataque que se dirige a las personas a través de SMS (servicio de mensajes cortos) o mensajes de texto. El término es una combinación de "SMS" y " phishing ". En un ataque de smishing, los ciberdelincuentes envían mensajes de texto engañosos para inducir a las víctimas a compartir información personal o financiera, hacer clic en enlaces malintencionados o descargar software o aplicaciones dañinas. Al igual que los ataques de phishing basados en el correo electrónico, estos mensajes engañosos suelen parecer proceder de fuentes fiables y utilizan tácticas de ingeniería social para crear una sensación de urgencia, curiosidad o miedo con el fin de manipular al destinatario para que realice una acción no deseada.
La jurisprudencia reciente es unánime a la hora de sentenciar que el banco debe reembolsar las cantidades sustraídas a su cliente, y ello porque, el Tribunal entiende que el banco está obligado a custodiar la información confidencial de los usuarios. Por lo tanto, generalmente son los bancos los que tienen la obligación de devolver el dinero a la víctima del phishing. La excepción a este criterio es, como hemos adelantado, que el cliente haya cometido una negligencia grave. Es importante considerar el carácter de «grave» de la negligencia del usuario. Aunque se reconozca que el cliente cometió un descuido, este descuido tiene que ser grave para que se le adjudique la responsabilidad.
Y aquí es donde entra el análisis de la carga de la prueba y de la consideración de cuando es y cuando no tributaria la negligencia de ser considerada o calificada de grave. Pues bien, para empezar, hay que recordar que la condición de grave de la negligencia es cuestión que ha de ser atribuida por el Tribunal. Y así la Audiencia Provincial de Madrid ha definido la negligencia grave del cliente como una conducta que se produce por iniciativa del usuario y no por consecuencia del engaño realizado por un delincuente profesional. Según esta definición, la persona que ha sido engañada para robarle su identidad no estaría cometiendo negligencia grave. Casos de negligencias graves son, por ejemplo: la persona extravía los datos personales y de su cuenta bancaria con las contraseñas anotadas en el mismo papel, en una libreta o similar; la web o correo electrónico de los estafadores es muy diferente de la real del banco, y a simple vista es fácil deducir que no es la legítima.
Incidiendo más en esa característica de grave, la Sala Penal del Tribunal Supremo tiene declarado que el " phishing " es una estafa informática en la que se integran todos los elementos del tipo penal del Art. 248.2 CP : el ánimo de lucro, la manipulación informática, el acto de disposición y el engaño bastante ( STS (Penal), sec. 1ª, nº 379/2019, de 23 de julio de 2019 ). Con respecto al "engaño bastante", la Sala Penal del Tribunal Supremo afirma que "no debe desplazarse indebidamente sobre los perjudicados la responsabilidad de comportamientos en los que la intención de engañar es manifiesta, y el autor ha conseguido su objetivo, lucrándose en perjuicio de su víctima" porque "el engaño no tiene que quedar neutralizado por una diligente actividad de la víctima" ( STS (Penal), sec. 1ª, nº 51/2020, de 17 de febrero de 2020 ).
Por su parte, de los Arts. 1101 y 1104 del Código Civil se infiere que la negligencia grave se equipara a la culpa lata, que "consiste en no proceder ni siquiera con la más elemental diligencia" o en "la más grave falta de diligencia, no hacer lo que todos hacen, no prever lo que todos prevén". Se alude a la culpa con previsión o dolo eventual, cuando el incumplimiento no es directamente querido, pero se han previsto los hechos. Se incurren en este tipo de negligencia cuando se omite las precauciones más elementales, dejando de prever lo que el resto de las personas habría previsto.
Asimismo, el Considerando 72 de la DSP2 dice que "A la hora de evaluar la posible negligencia o la negligencia grave del usuario de servicios de pago, deben tomarse en consideración todas las circunstancias. (...) si el concepto de negligencia supone un incumplimiento del deber de diligencia, la negligencia grave tiene que significar algo más que la mera negligencia, lo que entraña una conducta caracterizada por un grado significativo de falta de diligencia. Un ejemplo sería el guardar las credenciales usadas para la autorización de una operación de pago junto al instrumento de pago, en un formato abierto y fácilmente detectable para terceros".
La SAP de Madrid, Sec. 20ª, nº 184/2022, de fecha 20/5/2022, Rec. 945/2021 , afirma que "en la normativa europea antes referida [la negligencia grave] se equipara a la comisión de un fraude" y que "como se indica en la Directiva 2015/2036 la negligencia que le hace responder al cliente, es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que ha sido inducido por un delincuente profesional (...)". Este razonamiento guarda relación directa y necesaria con: (a) la doctrina de la Sala Penal de Tribunal Supremo (STS (Penal), sec. 1ª, nº 51/2020, de 17 de febrero de 2020 ), según la cual no se pude desplazar sobre el perjudicado la responsabilidad de comportamientos en los que la intención de engañar es manifiesta, porque el engaño no tiene que quedar neutralizado con una actividad de diligencia de la víctima y (b) con la finalidad de la Directiva 2015/2366, de Servicios de Pago (DSP2), cuyos considerandos declaran esencial el desarrollo de un mercado único integrado por pagos electrónicos en el que los usuarios gocen de la debida protección frente a los riesgos inherentes a estos nuevos medios de pago.
Así pues, la negligencia grave debe surgir como consecuencia de la iniciativa del usuario, no como consecuencia de la iniciativa de un delincuente profesional, porque el engaño típico de la estafa excluye la negligencia grave. Si el phishing está caracterizado por el "engaño bastante", que es algo más que un burdo engaño, en el que caen multitud de personas, la víctima nunca puede haber actuado con negligencia grave, que es la más grave falta de diligencia, hacer lo que nadie más hace o no prever lo que todos prevén, o como dice el Considerando 72 de la DSP2 "una conducta caracterizada por un grado significativo de falta de diligencia".En caso de "criminalizar" a la víctima por dejarse engañar no sólo se subvierte la finalidad de la norma, sino que, además, se puede llegar al absurdo de descriminalizar estas estafas, porque la declaración de que el cliente actúa con negligencia grave podría excluir el engaño bastante y con ello la rebaja del tipo penal. Por ello, una interpretación errónea del concepto de "negligencia grave" que lleve a penalizar a los clientes por su falta de diligencia por el hecho de haber sido víctimas de una estafa punible, puede llevar al absurdo de proteger a los delincuentes.
Esta Sala no puede más que compartir los mismos criterios que sientan las referidas sentencias. Los demandantes fueron claramente objeto de una estafa, fueron engañados a través de un sistema informático y por profesionales de estos engaños, no pudiendo los demandantes, que se vieron engañados a través de un sistema informático, haber cometido negligencia grave. No se acredita en ningún momento que los demandantes actuaran de forma negligente accediendo a páginas web sospechosas por propia iniciativa y facilitando sus datos personales, claves y tarjetas bancarias. Fueron engañados a través de un sistema tecnificado, que pensando que estaban ingresando en su banco, se vieron sorprendidos en su confianza. Y aunque la exigencia de su número de tarjeta les pudo haber hecho sospechar de la fraudulencia, no por ello incurrieron en una culpa grave en los términos exigidos por la jurisprudencia citada. Y no puede compartirse por los mismos motivos que el cliente reconociera su culpa grave, por mucho que después de haber facilitado todos sus datos y el número de tarjeta se diera cuenta del error cometido, pues con ello simplemente está reconociendo su falta diligencia normal, pero no una culpa grave. Además, si el fraude consistió en varias transferencias bancarias, resulta irrelevante que facilitaran el número de tarjeta, pues para realizar tales operaciones este no era necesario.
Tampoco puede aceptarse que incurriera en negligencia por el retraso en la llamada, pues llaman inmediatamente después de que les hiciera los tres cargos, sin que conste exactamente la hora en que se recibe el SMS, pues los actores dicen que fue aproximadamente hacía las nueve horas, sin concretar, aclarando Emilio que cuando se le bloqueó el teléfono y la aplicación de la entidad bancaria, se puso en contacto con su hijo para que comprobara si la web del banco y que inmediatamente empezaron a llegar los cargos, por lo que tampoco pudo haber pasado mucho tiempo y, desde luego, no el suficiente para calificar la posible negligencia como grave.
CUARTO.- Sobre error en la valoración de la prueba sobre el cumplimiento de la demandada de sus obligaciones legales.
Se imputa a la sentencia error en la valoración de la prueba, pues Caja Rural de Aragón cumplió con las obligaciones establecidas en el Real Decreto Ley 19/2018, de 23 de noviembre, añadiendo que se ha producido la infracción de los artículos 217.2 y 217.7 de la LEC .
Ante todo, debe señalarse que la recurrente mezcla dos cuestiones procesales diferentes, pues no es lo mismo el error en la valoración de la prueba, que la infracción de la carga de la prueba. En el motivo, no se realiza ningún argumento que esté relacionado con la carga de la prueba y lo cierto es que a la vista de los artículos citados del Real Decreto Ley 19/2018, quien tiene la carga de probar la negligencia del usuario y la ausencia de negligencia del proveedor de servicios de pago es éste. El artículo 44 de dicho artículo es claro al respecto.
En cuanto al error en la valoración de la prueba, la recurrente argumenta que a la vista del informe pericial informático que las operaciones fueron debidamente autenticadas, registradas con exactitud y contabilizadas, y que no se produjo ningún fallo técnico u otras deficiencias vinculadas al servicio de banca a distancia que afectara a tales operaciones, estando vigentes los elementos de seguridad existentes.
Señala la sentencia de la AP Alicante 632/2018 de 12/03/2018 lo siguiente:
" Y es que no es cierto que la carga de la prueba sobre la implementación de medidas de seguridad adecuadas, suficientes, eficientes y actuales al nivel de riesgo modalidades de ataques informáticos en la red bancaria de banca online lo sea a cargo del usuario del sistema, pues el marco de responsabilidad establecido para el caso de operaciones de pagos hechos por proveedores de servicios no autorizadas o ejecutadas incorrectamente, es el de la cuasi-objetividad tal cual se desprende de la regulación específica sobre la materia -a la que seguidamente aludiremos-, sin perjuicio del régimen general de la carga de la prueba.".
Y añade que:
... " En conclusión, la responsabilidad del proveedor de los servicios de banca online, en este caso Barclays, es de riesgo y consecuentemente, es por ley que a la entidad corresponde acreditar que la operación ordenada sí fue auténtica y que no estuvo afectada por un fallo técnico o por otra deficiencia como, por ejemplo, por un ataque informático de naturaleza fraudulenta al sistema bancario que hubiera permitido el acceso a las cuentas de sus clientes y disponer ilícitamente, de las mismas ordenando operaciones en detrimento de aquellos...".
...
... " Para una mejor respuesta al motivo, y dado que la responsabilidad que se imputa a la entidad, derivada de la ejecución de una transferencia no autorizada por la titular de la cuenta de la cliente demandante realizada a través del sistema de banca online, lo es en tanto prestadora de servicios de pago a través del modelo de banca virtual puesta a disposición de su cliente, concretaremos el régimen legal y contractual en el que se desenvuelve la banca electrónica, cuáles son las obligaciones el prestador y del usuario conforme a la legislación aplicable, el significado jurídico de las órdenes de pago y el marco de responsabilidades que del mismo resulta y la jurisprudencia más señalada al respecto. Pues bien, tales aspectos pueden concretarse en los puntos que seguidamente numeramos. 1.- La transferencia bancaria es un servicio que forma parte del contrato de servicio de caja entre un proveedor de servicios de pago (el banco) y sus clientes y sirve de medio de pago mediante el débito en la cuenta del ordenante y abono en la del beneficiario, tratándose en suma de un procedimiento financiero de movimiento de la moneda. Se trata de un medio de pago consistente en una orden dada al banco (banco emisor) por parte de un cliente (ordenante) a fin de que, con cargo a su cuenta, abone un determinado importe en otra cuenta del mismo o distinto banco (banco destinatario) abierta a nombre de un tercero (beneficiario) o del propio ordenante. 2.- Las transferencias se regulan, trasponiendo la Directiva 2007/64/CE del Parlamento Europeo y del Consejo Europeo, de 13 de noviembre de 2007 , sobre servicios de pago en el mercado interior, por la que se modifican las Directivas 97/7/CE, 2005/65/CE y 2006/48/CE y por la que se deroga la Directiva 97/5/CE , en la Ley 16/2009, de 13 de noviembre, de Servicios de Pago (LSP). La Directiva 2007/64/CE ha sido derogada por la Directiva UE 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento UE nº 1093/2010 y se deroga la Directiva 2007/64/CE . 3.- La LSP define la orden de pago como " toda instrucción cursada por un ordenante o beneficiario a su proveedor de servicios de pago por la que se solicite la ejecución de una operación de pago " ( art. 2.16 LSP ). 4.- Desde un punto de vista contractual toda transferencia constituye una forma de ejecución de obligaciones contractuales previamente asumidas, ejecución obligada cuando se dan las condiciones pactadas. Se entiende que la orden de transferencia constituye una declaración de voluntad o mandato (en el sentido del art. 254 CCo ) en virtud del cual el banco asume la realización de transferencias por cuenta del cliente como parte del contrato de servicio de caja. 5.- Dado el carácter negocial de la orden de pago, ésta puede pactarse que tenga lugar en cualquier forma, incluida la electrónica. En particular, el consentimiento a operaciones de pago por el usuario en el ámbito de la banca electrónica supone que el cliente deba haber firmado un contrato de adhesión a los servicios de banca electrónica."
La falsedad de la transferencia (es decir, que el ordenante no sea el titular de la cuenta) es un riesgo a cargo del banco porque, en principio, el deudor sólo se libera pagando al verdadero acreedor por lo que, si el banco cumple una orden falsa, habrá de reintegrar en la cuenta correspondientes las cantidades cargadas. Una excepción a esta distribución de riesgos se produce en el caso de que el titular haya creado o elevado el riesgo de falsificación de forma imputable en el caso concreto ( STS 15 de julio de 1988 ). ....(....) - Los servicios que prestan las entidades de crédito a sus clientes a través de su oficina virtual se desenvuelven en redes TCP/IP (Internet) o WAP (comunicaciones móviles). 11.- Siendo Internet una red pública de comunicaciones, la seguridad de las operaciones bancarias precisa de soluciones tecnologías avanzadas a los efectos de garantizar tanto la autenticidad como la integridad y la confidencialidad de los datos. Por estos motivos las entidades prestadoras del servicio de banca online deben dotarse de medidas suficientes que garanticen al usuario la seguridad de las operaciones. Consecuencia derivada de la omisión, insuficiencia o defectuoso funcionamiento de las adoptadas es que han de ser las entidades bancarias las que asuman las consecuencias derivadas de los fallos de seguridad del sistema. (.....)-La responsabilidad en estos supuestos no puede atribuirse directamente al supuesto ordenante de la transferencia por entenderse ésta autorizada al haberse realizado de acuerdo con los sistemas de autenticación del banco. Los sistemas de autenticación se establecen por los proveedores de servicios de pago y si un banco no ha sido capaz de limitar el acceso al canal de banca electrónica no puede pretender que el presunto ordenante víctima de esta práctica fraudulenta sea el único responsable, pues es el banco quien tiene responsabilidad respecto del buen funcionamiento y la seguridad del mismo.
Es claro que a la vista de la legislación y de la jurisprudencia citada, no basta para que la entidad operadora del servicio de pago haya autenticado la operación, la haya registrado y contabilizado, y acreditado que no se ha producido ningún fallo técnico, sino que debe asegurarse de que la operación es legítima, y esa seguridad no basta con los sistemas genéricos que pueda haber establecido la entidad, sino que debe asegurarse en el caso concreto y esto es claro que no se ha producido, pues tres transferencias muy seguidas de un importe relevante, realizadas a favor de personas o entidades con las cuales no operaba habitualmente los usuarios, debieron hacer sospechar a la entidad demanda y recurrente de su fraudulencia y haber procedido a su paralización. Las operadoras son y deben ser conscientes de este tipo de fraudes por lo que no pueden limitarse de forma genérica a autorizar transferencias por el mero hecho de que se haya accedido a la cuenta con las claves correspondientes y se introduzca el código remitido por SMS, al teléfono móvil.
En consecuencia, no puede estimarse que se haya actuado con diligencia debida.
Vuelve la recurrente a insistir en el mismo motivo en la negligencia de los demandantes, debiendo remitirnos a lo dicho en el fundamento jurídico anterior.
QUINTO.- Sobre la infracción de los artículos 41 , 44 , 45 y 46 del Real Decreto Ley 19/2018, de 23 de noviembre .
En este motivo se reproduce la legislación que ya hemos analizado y haciendo supuesto de la cuestión sobre la negligencia grave de los demandantes, se concluye en la ausencia de su responsabilidad.
Habiendo ya rechazado que exista negligencia grave de los usuarios demandantes y habiendo también analizado la interpretación y alcance de tal normativa, no podemos más que rechazar el motivo, pues ni existe negligencia grave de los usuarios, ni por la recurrente se ha demostrado su ausencia negligencia, por lo que la aplicación del artículo 45 de dicha norma resulta incuestionable.
Y comparte esta Audiencia Provincial los razonamientos de la sentencia de la Audiencia Provincial de Almería de 21 de enero de 2025, Nº de Recurso: 512/2024 ,Nº de Resolución: 76/2025:
TERCERO.- Motivos del recurso. Análisis
Legislación, doctrina y jurisprudencias aplicables.
Es imprescindible proporcionar una definición del phishing, para determinar ante que abuso informático nos encontramos. En el presente caso, el phishing se origina con la suplantación de la identidad del banco por parte del phisher con la finalidad de adquirir información confidencial sobre contraseñas de cuentas bancarias, tarjetas de crédito o cualquier otra información en relación con el banco, que permita entrar en las cuentas de los usuarios en Internet de banca electrónica. El internauta recibe un correo electrónico o cualquier mensaje instantáneo, a través del cual se le informa de que debe cambiar sus claves bancarias, proporcionándole un link a través del cual pueda acceder a la página Web de la supuesta entidad bancaria y allí realizar la modificación aconsejada. En la mayoría de los métodos de phishing se utilizan técnicas de engaño, a través de las cuales el phisher utiliza contra la víctima el propio código de programa del banco o servicio similar, adquiriendo la página Web la verdadera apariencia de la entidad bancaria. Igualmente, resulta muy habitual que el internauta reciba un correo en el que se le informe de que debe verificar sus cuentas, seguido por un enlace que parece la página Web oficial de la entidad bancaria.
Debemos manifestar que la LSP, en los casos de operaciones de pago no autorizadas por el titular de la cuenta, como en el caso que nos ocupa, establece en su artículo 31 LSP que el Banco debe devolver de inmediato el importe de la operación autorizada, o, en su caso, restablecer en la cuenta de pago en que se haya adeudado dicho importe el estado que habría existido de no haberse efectuado la operación de pago no autorizado.
De este modo, en la LSP se establece un sistema de responsabilidad cuasi objetiva de la entidad proveedora del servicio de pago, con inversión de la carga probatoria, al presumirse la falta de autorización, si el titular lo niega, como ocurre en el presente supuesto. Este sistema de responsabilidad civil, tan solo cesa cuando conforme a lo establecido en el artículo 32 LSP , el cliente ha actuado fraudulentamente o con negligencia grave a la hora de aplicar los medios razonables de protección de seguridad personalizados de que haya sido provisto, o en el caso de que no haya comunicado a la entidad el pago no autorizado, en cuanto tenga conocimiento del mismo, siempre y cuando la entidad disponga de un sistema de comunicación adecuado, gratuito y disponible, en todo momento, que le permita al usuario del servicio efectuar la comunicación de la actuación fraudulenta.
La Sentencia de la Audiencia Provincial de Castellón, de 19 de diciembre de 2013 , explica en cuanto al carácter de dicha responsabilidad: "Pero es que, en todo caso, la acción ejercitada es la derivada de los artículos 29, 30 y 31 de la Ley ya mencionada de servicios de pago. El artículo primero de dicha norma establece que el objeto de esa Ley es la regulación de los servicios de pago, relacionados en el apartado 2, que se presten en territorio español, incluyendo el régimen de transparencia e información aplicable a los servicios de pago, así como los derechos y obligaciones respectivos tanto de los usuarios de los servicios como de los proveedores de los mismos, y entre esos servicios de pago el apartado segundo letra c) de esa norma establece que se encuentran la ejecución de operaciones de pago, incluida la transferencia de fondos, a través de una cuenta corriente.
Interesa destacar en este sentido el contenido de los artículos 29, 30 y 31 de dicha norma, el primero de los cuales se refiere a la notificación de operaciones no autorizadas o de operaciones de pago ejecutadas incorrectamente, el segundo de dichos preceptos regula la prueba de la autenticación y ejecución de las operaciones de pago y finalmente el artículo 31 se refiere a la responsabilidad del proveedor de servicios de pago, en caso de operaciones de pago no autorizadas, disponiendo expresamente que "Sin perjuicio de lo dispuesto en el artículo 29 de la presente Ley, y de las indemnizaciones por daños y perjuicios a las que pudiera haber lugar conforme a la normativa aplicable al contrato celebrado entre el ordenante y su proveedor de servicios de pago, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante le devolverá de inmediato el importe de la operación no autorizada y, en su caso, restablecerá en la cuenta de pago en que se haya adeudado dicho importe el estado que habría existido de no haberse efectuado la operación de pago no autorizada"
Finalmente cabe mencionar el contenido del artículo 32 de dicha norma en cuanto regula la responsabilidad del ordenante en caso de operaciones de pago no autorizadas, y en concreto lo dispuesto en su párrafo segundo, al disponer que "El ordenante soportará el total de las pérdidas que afronte como consecuencia de operaciones de pago no autorizadas que sean fruto de su actuación fraudulenta o del incumplimiento, deliberado o por negligencia grave, de una o varias de sus obligaciones con arreglo al artículo 27".
Expone en cuanto a dicha acción la Sentencia de la Audiencia Provincial de Zaragoza, Sección 4º, de fecha 14 de Mayo del 2013 ( ROJ: SAP Z 1027/2013 ), Recurso: 116/2013, en su fundamento de derecho quinto que "Así llegamos a los objetivos previstos en la Directiva 2007/64/CE , transpuesta por la ley 16/09, de 13 -noviembre, de Servicios de Pago. Y cuya finalidad es el reforzamiento y protección de las usuarios de los servicios de pago, facilitando la aplicación operativa de los instrumentos de la zona única de pagos en euros (SEPA "Single Euro Payments Area").
Por ello, el Art 31 de dicha ley es tan contundente, siguiendo la estela de la legislación que le precedió.
Es decir, salvo una tardanza injustificada del usuario de los servicios en comunicar la irregularidad, "en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante le devolverá de inmediato el importe de la operación no autorizada y, en su caso, restablecerá la cuenta de pago en que haya adeudado dicho importe al estado que habría existido de no haberse efectuado la operación de pago no autorizada".
Por ello, salvo actuación fraudulenta, incumplimiento deliberado o negligencia grave del ordenante (art 32), la responsabilidad será del proveedor del servicio de pago, lo que supone que a él le corresponde la carga de la prueba de que la orden de pago " no se vio afectada por un fallo técnico o cualquier otra deficiencia" (art 30). "
Por su parte la Sentencia de la Audiencia Provincial de Badajoz, Sección 2ª, de fecha 07 de Febrero del 2013 ( ROJ: SAP BA 91/2013 ) Recurso: 3/2013, llega a calificar la responsabilidad contemplada en esta norma de cuasi-objetiva.
Cabe citar la Sentencia de la Audiencia Provincial de Barcelona, de 7 de marzo de 2013 , que manifestó lo siguiente: [Pudiendo añadir que atendiendo al sistema del phishing, a través de muleros, el sistema de no atender a las transferencias entre cuentas de la misma entidad, aparece un modo fácil de burlar la seguridad on line; máxime cuando dentro de la operativa, como se pudo observar en el mismo día 15 de febrero, es que tras la transferencia de cuenta, el dinero fue dispuesto rápidamente para evitar el retroceso. Resulta singular la respuesta del representante de la demandada o criterio de la demandada en cuanto ve en el retroceso la solución, cuando se ha visto que no fue así, pues en la operativa del phishing se evita el mismo, mediante la disposición inmediata, vaciando el saldo; con lo que el sistema de seguridad quiebra, sin resultar excesivamente difícil entender dicha operativa, y adoptar las medidas necesarias, como que el limite también tuviere operatividad en las transferencias entre cuentas de la misma entidad. Se refiere el actor, aportando documental, a otra entidad bancaria con la que no ha tenido nunca problemas.
Por otro lado, como se alega en la demanda, también podía advertir la demandada los movimientos, inusuales y en que los "muleros" destinatarios de las transferencias fueran extranjeros, con cita de los nombres que se observa de la propia relación en la cuenta, nombres nada comunes que ciertamente se podían establecer alertas informáticas, así consta, entre otros, y, con el debido respeto a dichos nombres extranjeros, pero inusuales, como los de Heraclio, Jose Francisco, Damaso, Juan.
En definitiva, la entidad demandada no adoptó las medidas de seguridad pactadas, sin poder atender a explicaciones no recogidas en el contrato; tampoco ha aportado prueba de la adopción de medidas concretas de seguridad para dicho tipo de fraude conocido del phishing siendo obligación de la entidad conforme la Condición General 3 del contrato que Caixa Catalunya puede establecer filtros adicionales de seguridad, no constando el mismo para el pushing; y en el punto 14 que los firmantes autorizan a Caixa Catalunya para que pueda utilizar sus datos para realización de estudios, comportamientos de riesgos, mediante modelos de scoring, sistemas de información integrados, u otros de similar naturaleza, que tampoco se ha realizado, permitiendo transferencias por encima del límite y a favor de personas que en un estudio o mediante modelos de scoring, podría filtrarse y evitar dichos movimientos fraudulentos]".
La responsabilidad de la entidad bancaria.
En la resolución de la cuestión planteada en el presente procedimiento debe partirse de la consideración de que, como ya se ha expuesto, con arreglo al marco jurídico en el que se desenvuelve la actividad de servicios de pago, el régimen de la responsabilidad de la prestadora del servicio ha de reputarse cuasi-objetiva, en la medida en que sólo se excluye en unos casos por culpa grave del cliente y en otros por únicamente por fraude imputable al mismo, lo que implica, además, que la carga de la prueba de esas circunstancias exoneratorias y la paralela inexigibilidad de otra conducta a la referida entidad incumba a ésta en todo caso. Así resulta de las siguientes normas:
1º) El artículo 147 del Texto Refundido de la Ley para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, aprobado por el Real Decreto Legislativo 1/2007, de 16 de noviembre, dispone: «Los prestadores de servicios serán responsables de los y perjuicios causados a los consumidores o usuarios, salvo que prueben que han cumplido las exigencias y requisitos reglamentariamente establecidos y demás cuidados y diligencias que exige la naturaleza del servicio», siendo indiscutido que los demandantes merecen la consideración de consumidores.
2º) El art. 148 de la misma norma, según el cual «se responderá de los daños originados en el correcto uso de los servicios, cuando por su propia naturaleza, o por estar así reglamentariamente establecido, incluyan necesariamente la garantía de niveles determinados de eficacia o seguridad, en condiciones objetivas de determinación, y supongan controles técnicos, profesionales o sistemáticos de calidad, hasta llegar en debidas condiciones al consumidor y usuario».
3º) El art. 44 del Real Decreto- ley 19/2018, de 23 de noviembre , de regulación de los servicios de pago y otras medidas urgentes en materia financiera, que deroga la Ley 16/2009, de 13 de noviembre, de Servicios de Pago, con arreglo al cual «Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago »; y, conforme a su apartado tercero «Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave».
4º) El art. 45 de la misma norma, que establece «Sin perjuicio del artículo 43 de este real decreto- ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine».
5º) El art. 46.2 de la misma norma, conforme al cual «Si el proveedor de servicios de pago del ordenante no exige autenticación reforzada de cliente, el ordenante solo soportará las posibles consecuencias económicas en caso de haber actuado de forma fraudulenta»; teniendo en cuenta que, conforme al Art.2.5 se considera autenticación reforzada: «la autenticación basada en la utilización de dos o más elementos categorizados como conocimiento (algo que solo conoce el usuario), posesión (algo que solo posee el usuario) e inherencia (algo que es el usuario), que son independientes -es decir, que la vulneración de uno no compromete la fiabilidad de los demás-, y concebida de manera que se proteja la confidencialidad de los datos de identificación».
A tales efectos, se ha de tener en cuenta que, conforme al art. 41 de la misma Ley, constituyen obligaciones del usuario de servicios de pago habilitado para utilizar un instrumento de pago, hacerlo en las que se establezcan y tomar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas; así como en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, habrá de notificarlo al proveedor de servicios de pago o a la entidad que este designe, sin demora indebida, en cuanto tenga conocimiento de ello.
Para poder determinar si esta actuación de la demandante puede considerarse como negligencia grave que exime a la entidad bancaria de responsabilidad, debe tenerse en cuenta, el considerando 72 de la Directiva (UE) 2015/2366 , sobre servicios de pago en el mercado interior:
«(72) A la hora de evaluar la posible negligencia o la negligencia grave del usuario de servicios de pago, deben tomarse en consideración todas las circunstancias. Las pruebas de una presunta negligencia, y el grado de esta, deben evaluarse con arreglo a la normativa nacional. No obstante, si el concepto de negligencia supone un incumplimiento del deber de diligencia, la negligencia grave tiene que significar algo más que la mera negligencia , lo que entraña una conducta caracterizada por un grado significativo de falta de diligencia. Un ejemplo sería el guardar las credenciales usadas para la autorización de una operación de pago junto al instrumento de pago, en un formato abierto y fácilmente detectable para terceros.(...).»"
La sentencia de 22 de junio de 2023 de la sección 5ª de la Audiencia Provincial de Asturias ( ROJ: SAP O 2047/2023 ) niega la calificación de grave a la negligencia consistente en "haber confiado en el SMS recibido en su móvil, en la línea de mensajes de la demandada, y consignar en la página a la que resultó redireccionado las claves de acceso a su usuario", y a la misma conclusión llega este tribunal tras apreciar que lo mismo puede ser reprochado al demandante, quien, además, reaccionó sin tardanza tras percatarse de lo sucedido y presentó la correspondiente denuncia y dio aviso a la entidad demandada.
La SAP de Madrid de 13 de enero de 2023 , por su parte, establece que "... "la entidad que presta el servicio de pago solo puede exonerarse de responsabilidad, mediante la prueba de culpa grave del usuario que emite la orden de pago. En el supuesto objeto de recurso, estamos ante un fraude llamado "phishing", por el que se suplanta la identidad de la entidad bancaria para obtener información sobre las claves o credenciales de las cuentas bancarias o tarjetas de crédito/débito. Se envía un correo electrónico con la apariencia de ser remitido por la entidad bancaria, que contiene un enlace a una página que aparenta ser sitio oficial de ésta, pero que en realidad pertenece a un dominio bajo control del phiser".
La sentencia de la Audiencia Provincial de Madrid, sección 11, de fecha 28 de febrero de 2022 , hace un compendio de la misma y se menciona la sentencia de la Audiencia Provincial de Madrid (Sección 9ª) núm. 178/2015 de 4 mayo de 2015 (JUR 201551311), que se pronuncia en el sentido siguiente: "Salvo actuación fraudulenta, incumplimiento deliberado o negligencia grave del ordenante (Art. 32), la responsabilidad será del proveedor del servicio de pago, lo que supone que a él le corresponde la carga de la prueba de que la orden de pago "no se vio afectada por un fallo técnico o cualquier otra deficiencia " (art 30).
En atención a lo expuesto, considera esta Sala, que la responsabilidad contemplada en esta Ley es cuasi-objetiva, es decir, se trata de una responsabilidad de la entidad que presta servicios de pago que sólo permite exonerarse mediante la prueba de la culpa grave del ordenante.
En base a ello, valorando las circunstancias concurrentes en el presente caso, no cabe apreciar negligencia grave por parte de la demandante en el cumplimiento de su obligación de proteger sus credenciales de seguridad. No puede tacharse de gravemente negligente la conducta de quien, tras recibir en el mismo canal en el que recibe habitualmente las comunicaciones procedentes de su banco un mensaje de texto en el que se le informa que tiene que verificar su identidad facilitándole un enlace para ello, decide pulsar en ese enlace e introducir su usuario y contraseña, dado que, para una persona no experta, no es fácil detectar que el mensaje recibido es fraudulento o que la web a la que ha accedido a través del enlace facilitado es falsa.
No se niega que el actor incurriera en falta de diligencia, o de exceso de confianza, pero no se estima que esto pueda ser llevado al extremo de ser tenido por una negligencia grave como la que invoca la recurrente, por lo que debe desestimarse el recurso de apelación interpuesto y confirmarse la resolución recurrida."
Esta Sala considera que el recurso de apelación objeto de la presente resolución no puede prosperar. Y ello por cuanto entendemos que, en contra de lo que se pretende en el mismo, la juez "a quo" no ha incurrido en error alguno en la valoración de la prueba, sino que, antes al contrario, ha valorado correctamente la misma para considerar que en el supuesto de autos el actor no incurrió en negligencia grave, al haber confiado la llamada recibida en su teléfono, en los términos que se recogen la sentencia de instancia.
Conforme hemos indicado al citar la sentencia dictada por esta Sala, la responsabilidad de la entidad demandada es cuasi-objetiva, es decir, se trata de una responsabilidad de la entidad que presta servicios de pago que sólo permite exonerarse mediante la prueba de la culpa grave del ordenante; carga probatoria que corresponde a la entidad demandada y que en el supuesto de autos, tal y conforme se razona en la sentencia de instancia, no ha dado cumplimiento a la misma, al no aportar aquellos datos que pudieran demostrar que realizó las actuaciones necesarias para evitar este tipo de fraudes tendentes a detectar y evitar que terceros utilicen sus números de teléfono para hacer creer a sus clientes que es Caixabank quien les requiere los datos, y sin aportar tampoco las advertencias de seguridad que pudo haber dirigido el demandante en este caso concreto, según se concluye acertadamente en la sentencia apelada.
No se aprecia de la resolución recurrida la infracción de la normativa indicada, más bien al contrario, la sentencia ha aplicado la misma conforme a la interpretación referida, ya que, como bien indica aquella la responsabilidad que asume la demandada como proveedora de dichos servicios de pago en línea, es cuasi objetiva, sin que conste haber acreditado actuación por su parte que, dentro de las que establece la normativa, le exonere de la asumida, pues a la entidad incumbía la carga probatoria de la negligencia del actor. En tal sentido ya dijo esta Sala en RAC 2117/21 que: "TERCERO.- Carga de la prueba y valoración de esta.
1.- El REGLAMENTO DELEGADO (UE) 2018/389 DE LA COMISIÓN de 27 de noviembre de 2017 por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros, establece los requisitos que deben de cumplir los proveedores de servicios de pago a efectos de medidas de seguridad que permitan aplicar el procedimiento de autenticación reforzada de clientes, y proteger la confidencialidad e integridad de las credenciales de seguridad personalizadas del usuario de servicios de pago, disponiendo de mecanismos de supervisión de las operaciones que les permitan detectar las fraudulentas o no autorizadas ( artículo 2). El artículo 97 de la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015 , sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) nº 1093/2010 y se deroga la Directiva 2007/64/CE , impone la obligación a los Estados miembros que velen por que los proveedores de servicios de pago apliquen la autenticación reforzada de clientes cuando el ordenante: a)acceda a su cuenta de pago en línea; b)inicie una operación de pago electrónico; c) realice por un canal remoto cualquier acción que pueda entrañar un riesgo de fraude en el pago u otros abuso", en la que se concluyó que "En todo caso, era a la entidad demandada, como indica la normativa, quien había de demostrar que la demandante actuó de modo fraudulento, al no contar con el doble sistema de verificación, resultando indiferente que hubiese acreditado que no se produjo fallo del sistema, en cuanto que, su responsabilidad no deriva de tal hecho, sino de no haber adoptado las medidas de seguridad precisas para evitar o minorar las consecuencias para el cliente de haber sufrido un fraude en red", determinándose, por tanto, que la brecha en el sistema de seguridad no es el hecho del que deriva la responsabilidad de la apelante, sino de no haber adoptado las medidas de seguridad precisas para evitar o minorar las consecuencias del fraude o estafa sufridos por su cliente.
Tampoco sirve de excusa la inclusión de avisos en web y otros medios de la entidad sobre el comportamiento seguro que en el uso de la plataforma había de tener el cliente -que por lo demás, conforma una concreta obligación contractualmente asumida, tal cual ya hemos apuntado- en tanto no es sino una fórmula predispuesta por el profesional, vacía de contenido al resultar contradicha por los hechos que no son otros que las barreras informáticas efectivas que deben estar implementando el sistema.
Por tanto, a falta de prueba (pues la alegada falsedad en los hechos narrados por el actor no lo son) hemos de afirmar que la entidad financiera no cumplió con los deberes de seguridad frente a los riesgos concretos que podrían derivarse del funcionamiento de su plataforma de banca digital, deberes que no se cumplen con la mera literalidad genérica de los contratos suscritos, ni con la firma o suscripción de los mismos, pues son de índole material y técnico que han de fluir a través de diversos niveles de seguridad que pueden constituir opciones de la entidad pero no frente a sus clientes usuarios del sistema en caso de fallo del mismo pues, en tales casos, constituye objetivamente la omisión de una medida esencial en tanto tienen por objeto garantizar la autenticación de la orden de pago como, por lo demás, se desprende del propio tener del contrato de banca próxima.
En consecuencia, es la prestadora de los servicios de pago quien tiene la obligación de facilitar un sistema de banca telemática segura, y no son sus clientes- usuarios los que deben prevenir ni averiguar las modalidades de riesgos que el sistema conlleva, ni prevenir con un asesoramiento experto los mismos, no pudiendo en suma la parte obligada legalmente a ofrecer un modelo de servicio de caja que requiere de un especial nivel de seguridad, objetar que el usuario debía conocer aspectos técnicos tales como identificar una web como falsa -cuando no consta que fuera burda y por tanto, evidente de toda falsedad-,ni que no eran fallos técnicos sino riesgos fraudulentos, determinados comportamientos de la plataforma que, no se olvide, son tan factibles que incluso el contrato de banca directa alude -para eludir responsabilidades el prestador- al riesgo de fallos técnicos, errores, interrupciones, desconexiones, sobrecargas y otras formas de defectos en la conexión, identificando precisamente como tales la empleada de la entidad, Sra. Reyes, el relato que en su día ofrece el marido de la actora.
Ninguna constancia tenemos, por lo demás, de que hubiera un uso indebido del sistema por parte del cliente ni que incumpliera con sus obligaciones básicas. El recurso de apelación se desestima.
Y en el mismo sentido, la sentencia de la Audiencia Provincial de Barcelona de 12 de septiembre de 2024, Nº de Recurso: 65/2024 , Nº de Resolución: 597/2024:
QUINTO.- Y examinando la reclamación instada, procede estimar también el recurso y estimar la demanda condenando a la demandada en el sentido solicitado en demanda.
El marco normativo aplicable lleva a que la demandada, que no prueba el fraude o la negligencia grave de la usuaria, responda ante su cliente hoy demandante por la perdida del dinero en cuestión.
El RDL 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera en su texto vigente a fecha de los hechos (3-3-2022)disponía en su art 36.1 que "1. Las operaciones de pago se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución", siendo que, entendido el demandado CAIXABANK conforme art 3(definiciones) como "32. Proveedor de servicios de pago, que son "las entidades y organismos contemplados en los apartados 1 y 2 del artículo 5, y las personas físicas o jurídicas que se acojan a las exenciones previstas en los artículos 14 y 15.", encontrándose entre tales entidades las bancarias como es CAIXABANK(y así se la califica en el contrato de autos -doc 1 de contestación según se ha reseñado), resulta que conforme al art 40.2 "Siempre que se haya acordado en el contrato marco, el proveedor de servicios de pago podrá reservarse el derecho de bloquear el instrumento de pago por razones objetivamente justificadas relacionadas con la seguridad del instrumento de pago, la sospecha de una utilización no autorizada o fraudulenta del mismo o, en caso de que esté asociado a una línea de crédito, un aumento significativo del riesgo de que el ordenante pueda ser incapaz de hacer frente a su obligación de pago", constando tal pacto en la condición general nº 12 específica de la tarjeta Imagin del contrato-acuerdo marco(doc 1 de demanda).
Así mismo dispone el art 44." Prueba de la autenticación y ejecución de las operaciones de pago.
1.Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago.
(...)
2. A los efectos de lo establecido en el apartado anterior, el registro por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 41.
3. Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave"
Y el art 45.1 dispone "1. Sin perjuicio del artículo 43 de este real decreto-ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada".
Estableciendo por su parte el art 46.1 que "1. No obstante lo dispuesto en el artículo 45, el ordenante podrá quedar obligado a soportar, hasta un máximo de 50 euros, las pérdidas derivadas de operaciones de pago no autorizadas resultantes de la utilización de un instrumento de pago extraviado, sustraído o apropiado indebidamente por un tercero, salvo que:
a) al ordenante no le resultara posible detectar la pérdida, la sustracción o la apropiación indebida de un instrumento de pago antes de un pago, salvo cuando el propio ordenante haya actuado fraudulentamente, o
b) la pérdida se debiera a la acción o inacción de empleados o de cualquier agente, sucursal o entidad de un proveedor de servicios de pago al que se hayan externalizado actividades.
El ordenante soportará todas las pérdidas derivadas de operaciones de pago no autorizadas si el ordenante ha incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41. En esos casos, no será de aplicación el importe máximo contemplado en el párrafo primero.
En todo caso, el ordenante quedará exento de toda responsabilidad en caso de sustracción, extravío o apropiación indebida de un instrumento de pago cuando las operaciones se hayan efectuado de forma no presencial utilizando únicamente los datos de pago impresos en el propio instrumento, siempre que no se haya producido fraude o negligencia grave por su parte en el cumplimiento de sus obligaciones de custodia del instrumento de pago y las credenciales de seguridad y haya notificado dicha circunstancia sin demora"
Resultando como se razonó, que disponiendo el art 41 " Obligaciones del usuario de servicios de pago en relación con los instrumentos de pago y las credenciales de seguridad personalizadas.
El usuario de servicios de pago habilitado para utilizar un instrumento de pago:
a) utilizará el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago que deberán ser objetivas, no discriminatorias y proporcionadas y, en particular, en cuanto reciba un instrumento de pago, tomará todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas;
b) en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, lo notificará al proveedor de servicios de pago o a la entidad que este designe, sin demora indebida en cuanto tenga conocimiento de ello.", no se prueba por CAIXABANK actuación negligente alguna, ni menos aun fraudulenta de la usuaria(de hecho no consta en autos que haya comunicado al Banco de España, como le resulta obligado en caso de tal sospecha de fraude).
Como recuerda la SAP de Asturias sección 1 del 20 de marzo de 2024 ( ROJ: SAP O 1120/2024 - ECLI:ES:APO:2024:1120 ) "encontramos que el sistema de responsabilidad para la entidad proveedora del servicio de pago que aparece diseñado en el RDL de Servicios de Pago reviste los caracteres de un régimen de responsabilidad cuasi objetivo, puesto que, además de asumir la carga de demostrar la exactitud y corrección de la operación de pago, le incumbe también la de probar que fue el usuario quien incurrió en fraude o negligencia grave."
Por lo que, no probando CAIXABANK conforme art 44.1 que la operación no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por CAIXABANK en tanto que proveedor de servicios de pago a través de su cuenta corriente Imagin y de la banca digital Imagin que explota, pues no prueba cómo pudo acceder el delincuente a través del canal habitual apareciendo en la pantalla del teléfono de la actora, es por todo ello, y por la carga probatoria que tenía, por lo que debe responder CAIXABANK.
Recuerda por ejemplo la SAP de La Rioja de sección 1 del 18 de abril de 2024 ( ROJ: SAP LO 289/2024 - ECLI:ES:APLO:2024:289 ) "En este punto, debe hacerse especial mención de que el banco es perfectamente consciente que en esta dinámica de contratación, es el dispositivo de telefonía móvil el que habitualmente más se utiliza por los clientes para la realización de estas operaciones on line ; no en vano, los bancos facilitan e incentivan su uso mediante la creación de sus propias apps , cuyo uso preconizan y publicitan de forma insistente entre sus clientes. Por eso resulta de todo punto inadmisible que el banco, para exonerarse de responsabilidad, arguya que no es responsable de la seguridad de esos dispositivos, cuando resulta que es el propio banco quien, mediante la creación apps, facilita cuando no incentiva su utilización de los teléfonos móviles por los clientes para realizar este tipo de operaciones, sin que conste que el banco, cuando facilita o difunde esta utilización, se preocupe de cual es concretamente el rango o nivel de seguridad que presenta cada uno de los dispositivos de sus clientes a través de los cuales se realizan las operaciones.
Y queremos destacar que, para quedar exento de responsabilidad, el Banco deberá acreditar no sólo que la orden de pago no se vio afectada por un fallo técnico que es en lo que se centra el recurrente, sino tampoco por "otra deficiencia del servicio prestado por el proveedor de servicios de pago."
En el presente caso nos encontramos ante un caso de los denominados de phishing en que el delincuente digital engaña al usuario de la demandada, la aquí actora, entrando en el canal habitual online a traves del cual ambas contratantes se comunican y relacionan, y haciéndole creer a la actora que es CAIXABANK la que le está informando (doc 1 de demanda) que "su cuenta ha sido desactivada temporalmente por motivos de Seguridad. Para reactivarla actualice su información desde:https://imagin.es-01.app".
El citado SMS es apto para engañar a quien no tiene específicos conocimientos en la materia para detectar fraudes de este tipo, y sobre todo, ha llegado al teléfono móvil de la actora (al que la demandada no ha exigido implantar sistemas de seguridad específicos y suficientes) a través del canal habitual de la demandada, con lo que no consta que ésta haya podido evitarlo, no obstante consentir su uso para las comunicaciones entre los contratantes, y no obstante las medidas de seguridad que dice implementar(así pericial obrante como doc 5 de contestación y el propio contrato obrante como doc 1 de contestación).
No pudiendo imputarse negligencia grave de la cliente que no consta en autos que tenga conocimientos suficientes para operar por internet detectando fraudes por el hecho de atender lo que considera una petición de su entidad bancaria y proceder según le piden, sobre todo si la propia entidad bancaria no ha conseguido evitar que le llegara tal comunicación fraudulenta.
Y desde la perspectiva de los arts 306CCo y 307 CCo , no ha conseguido impedir la intrusión engañosa ni la ejecución de las órdenes por la cliente engañada(en igual sentido arts 1758 y 1766CC ) y con ello la pérdida del numerario confiado por la actora a CAIXABANK y que ésta debía custodiar. En igual sentido cabe afirmar la responsabilidad también desde la perspectiva del art 147TRLGDCyU igualmente invocado en demanda pues la prestadora del Servicio no ha probado haber cumplido con las exigencias y requisitos impuestos normativamente ni haber observado los cuidados y diligencia que exige la naturaleza de estos servicios de pago que provee la demandada a la demandante.
En este sentido como recuerda la SAP de Barcelona sección 1 del 07 de junio de 2023 ( ROJ: SAP B 6560/2023 - ECLI:ES:APB:2023:6560 ) con cita de la "la SAP de Pontevedra, 177/2023, de 23 de marzo : " En interpretación de directiva 2015/2366 , la negligencia que hace responder al cliente es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario , no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional. Como parámetro del actuar negligente también cabrá acudir al art. 1.104 CC , que exige la diligencia asociada a la naturaleza de la obligación y a las circunstancias personales, de tiempo y lugar. Ello destacándose la complejidad y grado de perfección que presenta en la actualidad el método de "phishing" de difícil detección por persona de formación media, así como el deber de la proveedora, del servicio de dotarse de tecnología suficiente y adecuada con exigencia de medidas implantadoras activas, sin entenderse suficientes avisos generales o en página web de mero carácter informativo o divulgativo -por todas, SS. AP Pontevedra (Secc. 6ª) 21.12.21 y Madrid (20ª) 20.5.2022 , en la línea de lo razonado en SS. AP Valencia (6ª) 13.6.2022 , Granada (5ª) 20.6.2022 y Badajoz (3ª) 21.6.2022 -."
No consta que, no obstante las medidas de seguridad que indica en contestación y en la pericial, evitara la intrusión y el engaño, ni que detectara y bloqueara la actuación del delincuente, impidiéndola o minorando su progresión; no extrañandose la demandada de que las 14 operaciones seguidas que supuestamente hacía la actora tuvieran lugar todas de madrugada (doc 2 de demanda), no escapando a nadie que la mejor manera de que el usuario no esté al tanto de si en su teléfono movil se producen avisos por el uso del canal de pagos es el esperar a que sea de noche y esté durmiendo y por ello no atento a tales posibles avisos.
Pese a que según la pericial(doc 5 de contestación, pag 4) "6. Tracto operativo completo: CaixaBank tiene una trazabilidad completa de todas las operaciones que realizan sus clientes en el sistema, pudiéndose saber cuándo se conectan, desde dónde, con qué dispositivo, qué métodos de autenticación se utilizaron, el tipo de operaciones realizadas, la identificación de las cuentas o comercios de destino. Y que en pag 58 informan los peritos que "Se ha podido comprobar que existen varios sistemas informáticos que guardan completo el tracto operativo de las transacciones conservando un histórico de muchos parámetros técnicos de todas las conexiones y operaciones realizadas por los clientes y sus dispositivos:
Se guarda un diario de operaciones que registra una gran variedad de eventos y actividad, como autorizaciones, operaciones bancarias, cambios de dispositivo, conexiones a internet desde donde se realizan, etc.
Se guarda un registro de todos los mensajes SMS y notificaciones a la aplicación CaixaBankSign para cada cliente y cada operación.
Se guarda un registro de la actividad relevante relacionada con el identificador de un cliente (alta, baja, cambio de contraseña, entrada al sistema, cambio de dispositivo, etc.)".
Pese a todo ello, no consta que a CAIXABANK le extrañara que (doc 7 de contestación "registros electrónicos")consten extracciones de dinero u operaciones localizadas en Lituania y Reino Unido en la misma madrugada, no constando (no se indica por la demandada) que en su historial la actora hubiera hecho más transacciones desde dichos lugares, ni consta que por tales motivos saltara ninguna alerta en CAIXABANK, ni menos aun que bloqueara las transferencias en todo o en parte.
Por lo que tanto, ya se produjera la secuencia de hechos indicada por CAIXABANK al contestar, ya la indicada por la demanda y lo declarado en interrogatorio por la actora en el sentido de que se limitó a pichar el link y se le abrió página web como la de CAIXABANK y le pidieron para desbloquearle la cuenta que introdujera su número de usuario, el PIN anterior y que pusiera PIN nuevo, sin recibir ninguna comunicación más o distinta, ni antes ni después, resulta que tanto desde la perspectiva contractual según las obligaciones y responsabilidades ya reseñadas asumidas por CAIXABANK (doc 1 de contestación), como desde la condición legal de proveedora de los servicios igualmente acreditada, como desde la regulación general de los preceptos mercantiles y civiles igualmente indicados del contrato de depósito, resulta clara la responsabilidad de la demandada y su deber de abonar a la demandante la cantidad reclamada, estimándose el recurso de apelación en su totalidad, revocándose la sentencia de instancia, y en su lugar se estima la demanda condenando a la demandada a abonar a la demandante 4.139 euros más los intereses legales desde que tuvo lugar la operación no autorizada, asi como al pago de las costas causadas en la instancia por vencimiento( art 394.1LEC )
QUINTO.-Razonamientos de plena aplicación al presente caso, en el que la negligencia del señor Justino, consistente en no comprobar antes de facilitar los datos que le fueron requeridos si la tarjeta estaba bloqueada o suspendida, no puede estimarse, atendiendo a las circunstancias concurrentes, una negligencia grave, como no lo es no sospechar de un correo electrónico proveniente aparentemente de la entidad bancaria, que le redirige a una página aparentemente de la entidad bancaria. Don Justino manifiesta en prueba de interrogatorio que tiene 42 años, no es usurario de banca on line, lo hace a través del teléfono, solamente por el teléfono, compra en Amazon alguna vez, no está acostumbrado a hacer compras por internet, imagina que es meter el nº de tarjeta y no sabe si algo más, no está acostumbrado, no hace compras por internet, contestó a un correo que para él era de la Caixa y siguió el procedimiento para desbloquear la cuenta, el link, aparece una página que para él era La Caixa, no se fijó en el remitente del correo, introduce todos los datos de la tarjeta, no comprobó antes si la tarjeta estaba bloqueada o suspendida, estaba pendiente del cobro de la devolución de una fianza por el alquiler de un vehículo y no la cobraba y pensaba que era porque tenía la cuenta bloqueada, enlazó una cosa con la otra, estaba pendiente de cobrar desde febrero, no conocía este tipo de engaño con anterioridad, ha hecho contadas compras con la tarjeta a través del teléfono, pueden ser tres. Prueba que unida a la documental aportada apunta a que don Justino ha sido víctima de una estafa, consistente en que un tercero se hace pasar por la entidad Caixabank, utiliza un medio de comunicación, correo electrónico, que está previsto en el contrato suscrito entre el señor Justino y la entidad bancaria para comunicar la entidad cualquier incidencia sobre la tarjeta; comunica por este medio una incidencia relativa a la tarjeta: actividad inusual de la tarjeta por la que va a ser bloqueada, redirigiendo a un enlace para activar la tarjeta, que lleva a una página web de apariencia de la entidad bancaria; el usuario, en la creencia errónea fruto del ardid puesto en marcha por el estafador, que es la entidad bancaria la que le solicita los datos para reactivar la tarjeta, facilita todos los que se le piden. La apariencia del correo electrónico enviado al señor Justino no puede considerarse tan burda que cualquier persona pudiera percatarse de que ese correo no podía provenir de la entidad bancaria, al contrario, aparece apto para inducir a engaño al usuario, aun cuando el mismo sepa utilizar internet, pues precisamente a los usuarios de correo electrónico, banca on line, compras con tarjeta desde el teléfono móvil u otro dispositivo, es a quienes van dirigidos estos mensajes fraudulentos. Es la entidad bancaria la que ofrece la operativa de banca online, y a la que corresponde adoptar las medidas de seguridad para evitar el fraude, y de no poder evitarlo, debe asumir con los riesgos que conlleva la banca online. Las medidas de seguridad que se indican en el informe pericial acompañado a la contestación a la demanda no han impedido que el señor Justino recibiera el referido correo electrónico malicioso, suplantando el estafador a la entidad bancaria. Y no bastan los avisos y advertencias como la acompañada documento nº 2 de la contestación a la demanda, en el que la entidad bancaria informa y afirma que los mensajes fraudulentos son cada vez más sofisticados y más difíciles de detectar, descargando en el usuario la labor de escudriñar el mensaje recibido y aplicar diversas técnicas de comprobación para asegurarse de que el mensaje procede de la entidad bancaria. Como hemos señalado, es al banco que ofrece la operativa mediante la banca on line al que le corresponde adoptar las medidas de seguridad o control necesarias, que en este caso no consta que se adoptaran. Y no basta con medidas genéricas de protección o avisos estereotipados de cuidado, pues tales avisos ostentarían la calificación de "formulas predispuestas", vacías de contenido. No son los clientes los que deben prevenir ni averiguar las modalidades de riesgos que el sistema conlleva, o estar al tanto de lo mismos, ni prevenir con su asesoramiento experto dichos riesgos".
A lo que debe añadirse que la entidad bancaria tampoco aplicó en este caso las medidas de seguridad necesarias que describe en el informe pericial aportado como documento 1 de la contestación a la demanda, y actuó de forma negligente al autorizar las compras, realizadas en establecimientos de Holanda, pues el perito informa: Se ha analizado cómo CaixaBank puede asociar a una persona física la autoría de una operación bancaria, encontrándose que se basa en los siguientes conceptos, entre otros:
Autenticación reforzada, lo que permite tener garantías de la identidad de la persona física que realiza la acción mediante la introducción de dos credenciales distintas previamente creadas y asociadas exclusivamente a ese cliente y que coexisten de manera independiente.
'enrolamiento' o registro de un único dispositivo electrónico (móvil, tableta u ordenador ) que será obligatoriamente el que deba ser usado en la conexión: se analiza el dispositivo para asociarlo a la persona física identificada mediante autenticación reforzada.;
y en los certificados REDSYS, documentos 3 y 4 de la contestación, consta: autenticación del cliente mediante 3DSecure..."Dispositivo o entidad que autentifica al cliente: Dispositivo o entidad que autentifica al cliente no identificado",por lo que no se cumplió con la medida de seguridad de doble autentificación y no debió autorizar estas operaciones.
Como hemos expresado, la responsabilidad contemplada en la Ley de servicios de pago es cuasi-objetiva, es decir, se trata de una responsabilidad de la entidad que presta servicios de pago que sólo permite exonerarse mediante la prueba de la culpa grave del ordenante correspondiendo a la entidad bancaria la carga de la prueba de que En este caso, ni se ha probado la negligencia grave del demandante, ni se ha probado que la operación de pago fue autenticada, registrada con exactitud y contabilizada y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado, por lo que procede declarar la responsabilidad de la entidad demandada, apreciando error en la valoración de la prueba por parte del juez de instancia, procediendo la estimación del recurso de apelación.
SEXTO.-Estimado el recurso, y con ello estimada la demanda, las costas de esta alzada y las costas de la primera instancia se imponen a la parte demandada, conforme a los artículos 398 y 394 Ley de Enjuiciamiento Civil.
Vistos los artículos citados y demás de general y pertinente aplicación.
