Sentencia Civil 74/2023 Audiencia Provincial de Teruel Civil-penal Única, Rec. 56/2023 de 30 de junio del 2023

PRIMERO.- Frente a la sentencia de instancia, que estima la demanda condenando a la demandada en los términos señalados en el antecedente de hecho primero de esta resolución, se alza la demandada y apelante alegando como motivos del recurso: 1.- Infracción de las normas de interpretación del artículo 36 del Real Decreto Ley 19/2018, de servicios de pago, relativo al consentimiento y autorización de operaciones de pago; 2.- Infracción de las normas de interpretación de los artículos 44 y 45 del mismo Real Decreto 19/2018; 3.- Infracción de los artículos 1.089 y 1091 C.C.; y 4.- Falta de exhaustividad en los fundamentos de la sentencia; infracción del artículo 218 LEC en relación con el 217 LEC sobre carga de la prueba.

Entrando en el primer motivo del recurso, se menciona la infracción de las normas de interpretación del art. 36 del Real Decreto-ley 19/2018, de 23 de noviembre , de servicios de pago y otras medidas urgentes en materia financiera (LSP). Señala que la sentencia recurrida presume, sin determinar ni aclarar los extremos por los que deben ser consideradas operaciones no autorizadas, cuando dichas operaciones fueron correctamente autorizadas y registradas en los sistemas informáticos de la entidad, y perfectamente documentadas las operaciones efectuadas mediante transferencias telemáticas, acogiendo la afirmación de la actora de que no fue ella quien realizó las mismas, sin ningún fundamento ni prueba de contrario. Sostiene la recurrente que las operaciones efectuadas inicialmente, no suponen evidencias o indicios de simulación o fraude, ya que se realizaron de forma correcta por la actora u otra persona, identificándose debidamente con las claves y contraseñas que la entidad había facilitado al actor en la contratación de los distintos servicios de banca electrónica.

La regulación específica sobre esta materia, cuya infracción alega la apelante, se contiene en el Real Decreto Ley 19/2018 de 23 de noviembre, de Servicios de Pago que, según su Exposición de Motivos, tiene como una de sus finalidades, establecer unas normas de protección efectiva a los usuarios de servicios de pago. En su título III se establecen los derechos y las obligaciones de los proveedores y de los usuarios en relación con servicios de pago.

Conforme al art 36, las operaciones de pago se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución, señalando también que " El ordenante y su proveedor de servicios de pago acordarán la forma en que se dará el consentimiento, así como el procedimiento de notificación del mismo."

Ahora bien, dicho artículo debe ponerse en relación con el 44 del mismo texto legal, que establece en su apartado primero que cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago.

En su apartado 3º, el artículo 44 LSP establece que corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave.

En el caso que nos ocupa, pese a lo señalado por el recurrente, la sentencia considera acreditado por la documental aportada que las transferencias fueron realizadas por terceras personas sin su consentimiento, de forma fraudulenta, al constatarse que la dirección IP desde las que se ordenaron está geolocalizada en Elche (Alicante), no correspondiéndose con el domicilio de la actora, si bien este dato por sí solo no sería revelador. No obstante, obra en las actuaciones también el historial de las credenciales bancarias, según el cual resulta acreditado que la entidad bancaria generó unas nuevas claves a través de un SMS a solicitud de un dispositivo que no se correspondía con el del titular de la cuenta. A ello se añade que la sentencia detalla exhaustivamente la actuación de la actora desde el momento en el que detectó una pérdida de conexión en su móvil, comunicándolo a la empresa de telefonía. Todo ello es característico de una modalidad delictiva como el "SIM swapping", que consiste en duplicar de forma fraudulenta la tarjeta SIM del teléfono móvil de una persona suplantando su identidad, y después, una vez que la víctima se queda sin servicio telefónico, accede a su información personal y toma el control de su banca digital utilizando los SMS de verificación que llegan al número de teléfono. Así, en la sentencia se declara acreditado que, al día siguiente de la incidencia con la línea de teléfono, y cuando ya se habían realizado las transferencias fraudulentas, el esposo de la actora, tras intentar acceder a la banca online con sus claves, se ve impedido, al haber sido las mismas cambiadas por los delincuentes, y todo ello a través de los sms que la entidad bancaria envía al número de teléfono del titular, sin verificar si se trata de un dispositivo de confianza.

No podemos apreciar, por tanto, infracción de las normas de interpretación del artículo 36 LSP, por lo que el motivo debe desestimarse.

SEGUNDO.- El segundo motivo del recurso se refiere a la infracción de las normas de interpretación de los artículos 44 y 45 LSP.

Mantiene, en síntesis, el apelante que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago. Que la sentencia se limita a presumir que las operaciones no fueron autorizadas por el usuario, partiendo de la manifestación de este y sin otra prueba que lo respalde. Por lo que respecta a la negligencia del usuario, no fue a la entidad a la que le sustrajeron los datos sino al cliente, ya que la sustracción de datos se ha producido en los dispositivos utilizados por la actora y por causas ajenas a la entidad, que no están bajo su control, por lo que debe quedar exento de responsabilidad en los daños producidos.

En relación a daños causados por determinados servicios, el art 148 de LGDCU establece una exigencia de determinado nivel de eficacia o seguridad y el art 147 establece que sus prestadores serán responsables de los daños y perjuicios causados a los consumidores y usuarios, salvo que prueben que han cumplido las exigencias y requisitos reglamentariamente establecidos y los demás cuidados y diligencias que exige la naturaleza del servicio.

La precedente regulación, así como la específicamente contenida en la LSP, establece una responsabilidad calificada de cuasi objetiva de la entidad proveedora del servicio, que desplaza la carga de la prueba a la entidad demandada, la que además tiene la facilidad probatoria ( art 217 p 6 , 7 LEC ).

Como indica la SAP Zaragoza, sección 5ª, de 17 de noviembre de 2022, (y otras como la SAP Zaragoza, sección 4ª de 14 de septiembre de 2022), respecto de las operaciones de pago no autorizadas, "el artículo 45 LSP señala que, "el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, ..." . Esta responsabilidad solo cesa en caso de actuación fraudulenta del ordenante o cuando "ha incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41. ..." , precepto este que impone al usuario la obligación de utilizar el instrumento de pago de conformidad con las condiciones que regulen la emisión y de tomar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas, y en caso de extravío, sustracción o apropiación indebida, notificarlos al proveedor de servicios de pago sin demora. Dicho precepto puntualiza que "el ordenante quedará exento de toda responsabilidad en caso de sustracción, extravío o apropiación indebida de un instrumento de pago cuando las operaciones se hayan efectuado de forma no presencial utilizando únicamente los datos de pago impresos en el propio instrumento, siempre que no se haya producido fraude o negligencia grave por su parte en el cumplimiento de sus obligaciones de custodia del instrumento de pago y las credenciales de seguridad y haya notificado dicha circunstancia sin demora." Ahora bien, dicha norma, en el apartado 2 previene que, "Si el proveedor de servicios de pago del ordenante no exige autenticación reforzada de cliente, el ordenante solo soportará las posibles consecuencias económicas en caso de haber actuado de forma fraudulenta. En el supuesto de que el beneficiario o el proveedor de servicios de pago del beneficiario no acepten la autenticación reforzada del cliente, deberán reembolsar el importe del perjuicio financiero causado al proveedor de servicios de pago del ordenante."

En definitiva, tratándose de operaciones no autorizadas, como las que nos ocupan, salvo actuación fraudulenta, incumplimiento deliberado o negligencia grave del ordenante, la responsabilidad será del proveedor del servicio de pago, lo que supone que a él le corresponde la carga de la prueba de que la orden de pago " no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago" , debiendo destacarse que debe acreditar no solo que no se vio afectada por un fallo técnico, sino también debe excluir cualquier "otra deficiencia del servicio prestado por el proveedor de servicios de pago", de manera que el banco deberá acreditar que actuó con la diligencia exigible, adecuada a las circunstancias de las personas, lugar y tiempo, y no solo la reglamentariamente fijada. Ciertamente aquí, como indica la sentencia citada y compartimos, cobran especial relevancia circunstancias como el perfil del cliente, movimientos inusuales, importes dispuestos, pero también otros como la solicitud de nuevas claves de manera inmediatamente anterior a la realización de las transferencias, como ocurrió en este caso y en otros similares.

Corresponde así a la entidad bancaria acreditar que el suceso se produjo por la actuación dolosa o gravemente negligente del ordenante, para poder quedar exonerado de su responsabilidad, pero incluso así podría valorarse si la actuación del banco que no exige una autenticación reforzada del cliente implica una minoración de la responsabilidad de este. Pero incluso en estos casos la responsabilidad del cliente queda devaluada cuando el banco no exige la autenticación reforzada del cliente.

Resulta así claro que la apelada no ha acreditado ningún tipo de negligencia por parte del cliente, limitándose a alegar que pudo pinchar algún enlace en algún mensaje sospechoso, sin ningún tipo de apoyo probatorio al respecto, mientras que por la parte actora se ha probado suficientemente que efectuó por su parte todas las actuaciones oportunas, comunicando los hechos en cuanto tuvo conocimiento a la entidad bancaria e interponiendo la correspondiente denuncia. Por todo ello, el motivo debe ser desestimado.

TERCERO.- . Se alega también infracción de los arts. 1089, 1091 y 1.255 del Código civil , ya que al suscribir un contrato de cuenta, de tarjeta o de un servicio de banca on line, los titulares asumen la obligación de cumplir con las cláusulas contenidas en las condiciones generales y particulares de dichos contratos, entre ellas la relativas al objeto del contrato (cl.1ª); Identificación y acceso (cl.4ª), que expresa "el titular se identificará y operará mediante las credenciales que lo identifican"; seguridad (cl.5ª) en la que se determinan las medidas precautorias necesarias para garantizar la seguridad y confidencialidad de las credenciales que lo identifican en Ibercaja directo; responsabilidad de Ibercaja (cl.8ª), quedando exonerada la entidad bancaria de responsabilidad por perjuicios ocasionados al usuario por actuaciones de terceros motivados por causas ajenas al banco. Como así ha ocurrido en el presente caso, de conformidad a lo expresado en la denuncia presentada por el actor.

Tal y como se desprende los fundamentos jurídicos precedentes, no podemos apreciar incumplimiento alguno por parte de la demandante respecto de las cláusulas 1ª, 4ª y 5ª que la recurrente considera incumplidas, pues, como ha quedado acreditado ya en la sentencia recurrida y no ha podido rebatirse en el recurso, no fue la cliente quien realizó las operaciones sino unos delincuentes que duplicaron la tarjeta SIM.

Respecto a la cláusula 8ª de exoneración de responsabilidad, la misma no puede ser válida al contradecir lo señalado en la normativa específica y de carácter imperativo sobre la responsabilidad del proveedor de servicios de pago, que concreta las causas de exoneración de la misma, entre las que no se encuentra ninguna del tenor de la invocada por la recurrente, debiendo señalarse que de conformidad con el artículo 34 de la LSP, las normas precitadas son irrenunciables para los consumidores y las microempresas.

CUARTO.- Por último, mantiene el recurrente que la sentencia recurrida no entra a considerar con la debida exhaustividad y congruencia la totalidad de los hechos controvertidos determinados en la demanda y la contestación.

En relación a la incongruencia omisiva, de conformidad con lo dispuesto en el artículo 215 LEC y la jurisprudencia que lo interpreta, las partes deben instar la subsanación de la incongruencia de la sentencia, por omisión de pronunciamiento, ante el mismo juez o tribunal que la dictó, como requisito para poder denunciar dicha incongruencia en apelación ( STS 411/2010 y 5307/2010).

En cuanto a la falta de motivación, no se requiere que la sentencia de respuesta a cada uno de los argumentos invocados por las partes, sino solo respuesta a las pretensiones formuladas por ellas, de manera que como indican las Sentencias del Tribunal Constitucional, (entre otras 13/2001 y la 9/2015 ), desde la perspectiva del derecho a la tutela judicial efectiva: "no es exigible un razonamiento judicial exhaustivo y pormenorizado de todos los aspectos y perspectivas que las partes puedan tener de la cuestión que se debate, sino que basta con que el Juzgador exprese las razones jurídicas en las que se apoya para tomar su decisión, de modo que deben considerarse suficientemente motivadas aquellas resoluciones judiciales que vengan apoyadas en razones que permitan conocer cuáles han sido los criterios jurídicos esenciales fundamentadores de la decisión, esto es, la ratio decidendi que determina aquélla. No existe, por lo tanto, un derecho fundamental del justiciable a una determinada extensión de la motivación, puesto que su función se limita a comprobar si existe fundamentación jurídica y, en su caso, si el razonamiento que contiene constituye, lógica y jurídicamente, suficiente motivación de la decisión adoptada, cualquiera que sea su brevedad y concisión, incluso en supuestos de motivación por remisión."

En este sentido, la sentencia de instancia contiene una motivación suficiente, sin que se aprecie que la misma sea arbitraria, irracional o carente de fundamento, exponiendo las razones por las que llega a la estimación de la demanda, basadas en la valoración de las pruebas practicadas y la correcta aplicación e interpretación de las normas.

Procede, en consecuencia, la desestimación del recurso de apelación y la confirmación de la resolución recurrida.

QUINTO. - En cuanto a las costas de la segunda instancia, al desestimarse el recurso, deberán imponerse a la parte apelante, de conformidad con el artículo 398.1 y 394 LEC.

VISTOS los preceptos legales citados y demás de general y pertinente aplicación., por lo expuesto, en nombre de S. M el Rey