Última revisión
25/05/2026

Texto

Sentencia Civil 95/2026 Audiencia Provincial Civil-penal Única de Zamora, Rec. 252/2025 de 06 de marzo del 2026

Texto

Relacionados:

Voces

Jurisprudencia

Prácticos

Formularios

Resoluciones

Temas

Legislación

Tiempo de lectura: 96 min

Orden: Civil

Fecha: 06 de Marzo de 2026

Tribunal: Audiencia Provincial Civil-penal Única de Zamora

Ponente: ANA DESCALZO PINO

Nº de sentencia: 95/2026

Núm. Cendoj: 49275370012026100099

Núm. Ecli: ES:APZA:2026:99

Núm. Roj: SAP ZA 99:2026

Resumen:

CUMPLIMIENTO CONTRATOS

Encabezamiento

AUD.PROVINCIAL SECCION N. 1

ZAMORA

SENTENCIA: 00095/2026

Modelo: N10250 SENTENCIA

C/ SAN TORCUATO 7

Teléfono:0034980559411 Fax:0034980530949

Correo electrónico:sct.ap.zamora@justicia.es

Equipo/usuario: RDR

N.I.G.49021 41 1 2024 0000120

ROLLO: RPL RECURSO DE APELACION (LECN) 0000252 /2025

Juzgado de procedencia:PLAZA Nº 1 DE LA SECCION CIVIL Y DE INSTRUCCION DEL TRIBUNAL DE INSTANCIA de BENAVENTE

Procedimiento de origen:ORD PROCEDIMIENTO ORDINARIO 0000072 /2024

Recurrente: CAIXABANK PAYMENTS & CONSUMER, E.F .C., E. P., S.A.

Procurador: MARIA VICTORIA VAZQUEZ NEGRO

Abogado: JESUS RIESCO MILLA

Recurrido: Baltasar

Procurador: LUIS DOMINGO FERNANDEZ ESPESO

Abogado: ANA SAN ROMAN GARCIA

Este Tribunal compuesto por los Señores/as Magistrados/as que se expresan al margen, han pronunciado

E N N O M B R E D E L R E Y

la siguiente

S E N T E N C I A

Ilustrísimos/as Sres/as.:

Presidenta Dª. ESTHER GONZÁLEZ GONZÁLEZ.

Magistrada Dª.ANA DESCALZO PINO, Ponente.

Magistrado D. JOSÉ MANUEL GARCÍA GARROTE

--------------------------------------------------------------

En la ciudad de ZAMORA, a 6 de marzo de 2026.

Vistos ante la Sección Común de Tramitación de la Audiencia Provincial de Zamora Sección 001 en grado de apelación los autos de ORDINARIO 72/2024, seguidos en el PLAZA 1 DE LA SECCIÓN CIVIL Y DE INSTRUCCIÓN DEL TRIBUNAL DE INSTANCIA DE BENAVENTE, RECURSO DE APELACIÓN (LECN) Nº 252/25;seguidos entre partes, de una como apelante CAIXABANK PAYMENTS AND CONSUMER E.F.C. E.P. SAU, representado/a por el/la Procurador/a D./Dª. MARIA VICTORIA VAZQUEZ NEGRO, y dirigido por el/la Letrado/a D./Dª. JESUS RIESCO MILLA, y de otra como apelado/a D./Dª. Baltasar, representado/a por el/la Procurador/a D./Dª. LUIS DOMINGO FERNANDEZ ESPESO, y dirigido por el/la Letrado/a D./Dª. ANA SAN ROMÁN GARCIA.

Actúa como Ponente, el/la Ilmo/a. Sr./a. Magistrado/a D./Dª. ANA DESCALZO PINO.

PRIMERO.- Por la Plaza 1 de la Sección Civil y de Instrucción del Tribunal de Instancia de Benavente, se dictó sentencia nº 76/2025, en fecha 10-3-2025, cuyo fallo se recoge literalmente en el fundamento jurídico primero de esta resolución judicial.

SEGUNDO.- Contra mencionada resolución interpuso la parte demandada, el presente recurso de apelación que fue sustanciado en la instancia de conformidad con lo establecido en el art. 458 y siguientes de la Ley de Enjuiciamiento Civil; se elevaron los autos, correspondiendo a este Tribunal su resolución, dando lugar a la formación del presente rollo y, no habiéndose celebrado vista pública ni solicitado práctica de prueba, quedó el procedimiento para votación y fallo, señalándose el día 5-3-2026.

TERCERO.- En la tramitación del recurso se han observado y cumplido todas las prescripciones de carácter legal.

PRIMERO.-Se recurre por la parte que ha visto rechazada su posición en el pleito, CaixaBank Payments & Consumer, la sentencia dictada por el Juzgado de Primera Instancia nº 1 de Benavente, Zamora, sentencia de fecha 10 de marzo de 2025, cuya parte dispositiva declara: "ESTIMO la demanda presentada por D. Baltasar contra CaixaBank Payments & Consumer, EFC, EP, S.A.U. y, en consecuencia:

1º) Declaro el incumplimiento del contrato de tarjeta visa negocios crédito número NUM000, junto con sus anexos de servicios de pago y contrato de Banca a Distancia, declarando la responsabilidad de la entidad CaixaBank Payments & Consumer en la incorrecta ejecución de las operaciones realizadas contra la cuenta del demandante y que se corresponden con las siguientes operaciones: 20/01/2023, importe: 1.188,54 €, en el comercio mego.travel. 20/01/2023, importe 7.157,64 €, en el comercio mego.travel.

2º) Declaro que se han producido al demandante daños y perjuicios por importe de 8.346,18 € correspondientes a los cargos en cuenta por las operaciones ejecutadas.

3º) Condeno a CaixaBank Payments & Consumer abonar a D. Baltasar el importe de los daños y perjuicios causados, valorados en la cantidad de 8.346,18 €, junto con los intereses legales de dicha cantidad desde la fecha de su cargo en cuenta.

Con imposición de las costas causadas a la parte demandada".

Recurre la entidad demandada dicha resolución,al entender que la misma es contraria a derecho, pues CaixaBank ha cumplido todas sus obligaciones legales y contractuales como proveedora de servicios de pago y como depositaria, aplicando en las operaciones cuestionadas el procedimiento de autenticación reforzada según los requerimientos técnicos establecidos en la normativa aplicable, registrando con exactitud y contabilizando dichas operaciones, que no se han visto afectadas por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable CaixaBank. Entiende que aun cuando la carga de la prueba de la autenticación y ejecución de la operación y de la concurrencia, en su caso, de alguna causa de exoneración de su responsabilidad le corresponde a CaixaBank, la prueba practicada en las actuaciones revela que la apelante ha cumplido con todas sus obligaciones, resultando que el demandante ninguna prueba ha practicado tendente a la acreditación de haber sido víctima de un fraude y de un engaño pues ninguna explicación ni justificación existe a que un usurario no autorizado haya obtenido sus credenciales de seguridad personalizadas para realizar la operación, tanto los datos de su tarjeta, como el código de validación o verificación de la operación y su identificador y contraseña para acceder a CaixaBank Now (canal por el que CaixaBank presta sus servicios de banca digital vía web o mediante una aplicación instalada en dispositivos móviles) y autorizarla con el código recibido, lo cual resulta imposible de no haber actuado aquel de forma gravemente negligente y sin adoptar ninguna medida para proteger sus credenciales de seguridad personalizadas, lo cual ha de llevar a la revocación de la sentencia de instancia y, en su lugar, dictar otra en la que se proceda a la íntegra desestimación de la demanda.

Por parte del apelado, actor en el procedimiento, se comparece y se opone al recurso presentado de adverso, al entender que la resolución recurrida es totalmente conforme a derecho, siendo la entidad demandada la que ha de responder por las dos operaciones realizadas y no consentidas por el usuario de los servicios y ello, al no haber acreditado que aquel haya cometido fraude ni negligencia grave en el uso de la tarjeta con el que se llevaron a cabo las operaciones de compra on line. Solicita por ello, la desestimación íntegra del recurso interpuesto y la total confirmación de la sentencia de instancia.

SEGUNDO.-DE LA SEGUNDA INSTANCIA.-

Expuestos que han sido los motivos del recurso y siendo que todos ellos se fundamentan en el error en la valoración de la prueba en la que incurre el Juez en la instancia, ha de señalarse que la impugnación por una de las partes de la apreciación de la prueba que razona el Juez de Instancia ante el que se practicó mediante su valoración en su conjunto, no puede prosperar sin más mediante el simple procedimiento de interpretar las pruebas ya examinadas y tenidas en cuenta en la Sentencia, con el fin de obtener conclusiones mas favorables a los intereses de la parte que recurre. Solamente cabe dicha revisión de la valoración probatoria de la sentencia si queda patente un error en la misma, o una apreciación de la prueba de forma ilógica, arbitraria o contradictoria, o bien se produce la omisión de la consideración de alguna prueba esencial que arroje un resultado incontrovertible. Por el contrario, no puede producirse tal revisión si se funda en la mera discrepancia personal con la valoración que de la prueba ha dado el órgano judicial, intentando sustituir el criterio objetivo del Juez por las interpretaciones subjetivas e interesadas de la parte.

Y a propósito de la valoración de los documentos no impugnados, la sentencia del Tribunal Supremo de 14 de diciembre de 2015, Nº de Recurso: 2833/2013, Nº de Resolución: 715/2015 señala que "También constituye criterio jurisprudencial consolidado que la valoración de los documentos privados no impugnados, así como de los públicos, debe hacerse en relación con el conjunto de los restantes medios de prueba, y que una cosa es el valor probatorio de los documentos en cuanto a la autenticidad, fecha o personas que intervinieron y otra distinta la interpretación por la sentencia recurrida del contenido de los documentos, puesto que la expresión "prueba plena" del artículo 326.1 LEC no significa que el tribunal de instancia no deba valorar el contenido de los mismos de acuerdo con las reglas de la sana crítica y con el conjunto de las pruebas aportadas ( SSTS 47/2012, de 17 de julio , con cita de las STSS 458/2009, de 30 de junio , 403/2009, de 15 de junio , y 785/2011, de 27 de octubre )."

TERCERO.-DEL CASO DE AUTOS.-

En el caso que nos ocupa, resulta acreditado que:

-D. Baltasar es cliente de la entidad CaixaBank Payments & Consumer, EFC, EP, S.A.U. donde tiene aperturada una cuenta corriente con numeración NUM001. La relación contractual de la que trae causa el presente procedimiento es la relacionada con el contrato de tarjeta visa negocios crédito número NUM000, suscrito entre las partes en fecha 5 de noviembre de 2018.

En fecha 20 de enero de 2023, se cargaron en la cuenta de la tarjeta las siguientes operaciones: - 20/01/2023, importe: 1.188,54 €, en el comercio mego.travel. - 20/01/2023, importe 7.157,64 €, en el comercio mego.travel.

El demándate afirma que ese día únicamente recibió dos SMS, mensajes de texto (SMS), a su teléfono móvil de la demandada, donde le informaban de dos cargos realizados en la tarjeta. Que él no autorizó ni autenticó operación alguna pues nada había recibido de la entidad respecto a dichas operaciones, Que él ni realiza esas compras, ni ha estado nunca en Hungría, ni autoriza esas compras, ni da la contraseña a nadie, y a pesar de todo ello, se ha utilizado de forma impune la tarjeta.

-El demandante, cuando se percata de los cargos, se pone inmediatamente en contacto con la Caixa para comunicarle tal incidencia, y pone una denuncia ante la Guardia Civil el día 24 de enero de 2023. Así mismo realiza reclamación al Banco desde la propia oficina, a través de atención al cliente, reclamación que no es aceptada por la entidad al entender aquellas que las operaciones han sido autenticadas, registradas y contabilizadas con exactitud y no se han visto afectadas por ninguna incidencia operativa ni de seguridad.

Partiendo de lo anterior, mantiene la apelante que el actor no acredita los hechos relatados y que no haya autorizado y autenticado dichas operaciones mediante el factor de doble autenticación con el que opera la entidad demandada, ni tampoco que haya sido objeto de un supuesto fraude, por lo que no se acreditando los hechos en los que basa su demanda y habiendo probado por el contrario la entidad financiera el cumplimiento de todas las obligaciones que le resultan exigibles, la misma no ha de responder por las operaciones reclamadas.

CUARTO.-DE LA NORMATIVA APLICABLE.-

Tal y como establece la resolución que se recurre, es el Real Decreto Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, el que regula las obligaciones de entidad bancaria y cliente, así:

El artículo 44 del Real Decreto Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera regula la prueba de la autenticación y ejecución de las operaciones de pago, en los términos siguientes:

1. Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago.

Si el usuario de servicios de pago inicia la operación de pago a través de un proveedor de servicios de iniciación de pagos, corresponderá a éste demostrar que, dentro de su ámbito de competencia, la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable.

2. A los efectos de lo establecido en el apartado anterior, el registro por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 41.

3. Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave.

4. El proveedor de servicios de pago conservará la documentación y los registros que le permitan acreditar el cumplimiento de las obligaciones establecidas en este Título y sus disposiciones de desarrollo y las facilitará al usuario en el caso de que así le sea solicitado, durante, al menos, seis años. No obstante, el proveedor de servicios de pago conservará la documentación relativa al nacimiento, modificación y extinción de la relación jurídica que le une con cada usuario de servicios de pago al menos durante el periodo en que, a tenor de las normas sobre prescripción puedan resultarles conveniente para promover el ejercicio de sus derechos contractuales o sea posible que les llegue a ser exigido el cumplimiento de sus obligaciones contractuales.

Lo dispuesto en este apartado se entiende sin perjuicio de lo establecido en la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, así como en otras disposiciones nacionales o de la Unión Europea aplicables.

Por lo tanto, corresponde al proveedor de servicios de pagos demostrar que la operación de pago fue autenticada, registrada con exactitud, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado y le corresponde también probar que el usuario del servicio de pago cometido fraude o negligencia grave.

Es cierto, que de conformidad con lo previsto en el artículo 36 del RDL 19/2018, de 23 de noviembre; "Las operaciones de pago se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución. ..." y que "el ordenante y su proveedor de servicios de pago acordarán la forma en que se dará el consentimiento, así como el procedimiento de notificación del mismo". También es cierto que, puesto que las dos operaciones se realizaron, alguien la debió autorizar.

Pero insistimos, dicho precepto debe ponerse en relación con el artículo 44, ya trascrito, cuyo apartado 1 presume la falta de autorización del ordenante si este la niega, como ocurre en el presente supuesto.

A tenor de dicho precepto, "Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago."

Y postreramente señala en el apartado 2 que ", el registro por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 41." Y en apartado 3 añade que " Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave."

Igualmente, no está de más recordar, tal y como expone la resolución que se recurre, que de conformidad con el ya aludido art. 44 del RDL 19/2018, de 23 de noviembre, corresponde al banco probar que el usuario del servicio de pago cometió fraude o negligencia grave; es decir, que si el banco estima que en la reclamación puede existir fraude o engaño del ordenante para beneficiarse de la operación de pago, es el propio banco quien debe de probarlo.

Y, siendo todo ello así, esta Sala comparte la conclusión a la que llega el Juez a quo, de que en este caso no hay indicio alguno de fraude o negligencia grave por parte del usuario, no pudiendo presumirse lo anterior de ninguno de los documentos que a tal efecto aporta la entidad bancaria con su contestación a la demanda, pues el que la entidad bancaria tenga establecido un doble factor de autenticación, tanto el material como el personal, no resulta obstáculo alguno para que no solo la tarjeta con la que se realizaron las operaciones haya sido clonada, sino, que igualmente, lo hubiera sido el terminal móvil al que se remitieron las comunicaciones para la autenticación y autorización de dichas operaciones,

Arguye la parte recurrente, en segundo lugar, infracción de las normas de interpretación de los artículos 44 y 45 del Real Decreto Ley 19/2018 , de servicios de pago.

Mantiene que no puede considerarse suficiente la manifestación de la actora, para entender operación como no autorizada, ya que a su juicio todas las evidencias acreditan que la operación se realiza mediante la identificación correcta del usuario, y con todas las acreditaciones debidas.

Insiste en que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago, motivos por los que entiende no debe responder al trasladar toda la responsabilidad al usuario del servicio.

Sin embargo, entendemos que la apelante no otorga la relevancia que debiera al hecho de que el RDL 19/2018, de 23 de noviembre establece un sistema de responsabilidad cuasi objetiva de la entidad proveedora del servicio de pago. Así, en caso de ejecutarse una operación de pago no autorizada, el artículo 45 señala que , "el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación,..."

Este sistema de responsabilidad civil tan solo cesa cuando, conforme a lo establecido en el artículo 46, el ordenante ha actuado de manera fraudulenta o ha "incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41. ...", precepto este que impone al usuario la obligación de utilizar el instrumento de pago de conformidad con las condiciones que regulen la emisión y de tomar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas, y en caso de extravío, sustracción o apropiación indebida, notificarlos al proveedor de servicios de pago sin demora.

De lo anterior resulta que, tratándose de operaciones no autorizadas como es el caso, salvo actuación fraudulenta, incumplimiento deliberado o negligencia grave del ordenante, la responsabilidad será del proveedor del servicio de pago, lo que supone que a él le corresponde la carga de la prueba de que la orden de pago " no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago "

Esta conclusión es lógica. Ha sido la Banca la que principalmente se ha beneficiado de las nuevas tecnologías: su uso le ha permitido abaratar costes mediante el sistema de que sean los clientes los que realicen materialmente las operaciones que antes llevaban a cabo sus empleados en las oficinas o sucursales bancarias, lo cual ha permitido a las entidades financieras despedir a muchos de aquellos y cerrar muchas de estas.

En esa situación, resulta justo que sea el banco el que se haga cargo de ese margen de riesgo que ha introducido el uso de las nuevas tecnologías y que antes, cuando las operaciones se hacían presencialmente, era inexistente.

En este punto, debe hacerse especial mención de que el banco es perfectamente consciente que en esta dinámica de contratación, es el dispositivo de telefonía móvil el que habitualmente más se utiliza por los clientes para la realización de estas operaciones on line; no en vano, los bancos facilitan e incentivan su uso mediante la creación de sus propias apps, cuyo uso preconizan y publicitan de forma insistente entre sus clientes. Por eso resulta inadmisible que el banco, para exonerarse de responsabilidad, arguya que no es responsable de la seguridad de esos dispositivos, cuando resulta que es el propio banco quien, mediante la creación apps, facilita cuando no incentiva su utilización de los teléfonos móviles por los clientes para realizar este tipo de operaciones, sin que conste que el banco, cuando facilita o difunde esta utilización, se preocupe de cual es concretamente el rango o nivel de seguridad que presenta cada uno de los dispositivos de sus clientes a través de los cuales se realizan las operaciones.

Y queremos destacar que, para quedar exento de responsabilidad, el Banco deberá acreditar no sólo que la orden de pago no se vio afectada por un fallo técnico, sino tampoco por "otra deficiencia del servicio prestado por el proveedor de servicios de pago."

Esto quiere decir que el banco debe actuar con la diligencia exigible, que no es sólo la reglamentariamente prevista sino la adecuada a las circunstancias de personas, lugar y tiempo y, entre estas cobran especial relevancia datos tales como, el perfil del cliente, los movimientos inusuales, los importes dispuestos, la hora en que se hace la operación, etc.

Pues bien, teniendo en cuenta lo anterior y, siendo cierto que la entidad remitió sendos SMS al demandante en el que le advertía de las dos operaciones realizadas con su tarjeta, no lo es menos que nada más consta haya realizado la entidad financiera para asegurarse de que era el actor el que estaba detrás de las mismas, pues como bien señala el Juez a quo el perfil del demandante y lo extraño de las operaciones realizadas con dicha tarjeta, prácticamente no utilizada para compras on line y en aquellas operaciones realizadas por aquel eran transacciones domésticas y de muy poca cantidad, tal y como se desprende del extracto de los movimientos de la tarjeta aportados por el apelado. La comunicación temprana de dicho hecho a la entidad financiera, la existencia de la denuncia ante la Guardia civil (no parece lógico deducir que el demandante interpusiera una denuncia falsa), poco tiempo después de que se produjeran las transferencias indebidas, que el titular de la tarjeta de entrada nada tenía que ver con el cliente, "Verificamos la información y vemos que la cuenta personal del sistema de pago indica el titular de la tarjeta de entrada KANSENKOU CAMERA", llevan a esta Sala a entender que la ahora apelante pudo y debió cerciorarse debidamente de dichas circunstancias, circunstancias que evidencian que el demandante estaba siendo víctima de un fraude con anterioridad a dar y anotar dicha operación de forma que no hubiera posibilidad de retrotraer la misma, consumando con ello el fraude y estafa del que el cliente estaba siendo objeto.

Compartimos todas las conclusiones que se establecen en la sentencia que se recurre, en cuanto que el llamado "informe pericial" emitido por Evidentia el 23 de marzo de 2022 (documento 6 de la contestación) no ha sido ratificado por su autor en el acto de la vista. Tiene un carácter genérico y no estudia las particularidades del caso concreto que estamos enjuiciando. Por su fecha de elaboración se puede comprobar que es anterior a la fecha en que se cometieron los fraudes (20 de enero de 2023). Podemos extrapolar a este informe las mismas conclusiones que extraíamos en el punto anterior respecto de las informaciones y divulgaciones genéricas en páginas webs..... En el caso analizado en esta resolución, tampoco el informe pericial presentado por la demandada analiza el caso concreto objeto de estos autos no se ha acreditado por la entidad la concurrencia en la actuación de la actora de un comportamiento que pueda ser calificado de negligente y cuando menos con una negligencia grave". 4º) El resto de la prueba documental que aporta la demandada es insuficiente para acreditar su diligencia o, a sensu contrario, la negligencia grave del cliente. Los documentos nº 2 y 3 (denominados "transferencia") nada aportan. El documento nº 4 (push validación) es un simple pantallazo elaborado unilateralmente por la entidad financiera que, en todo caso, únicamente vendría a acreditar que se alertó al cliente de los cargos (hecho no controvertido), pero que no acredita que tras esa alerta se adoptasen por la entidad financiera las medidas de seguridad necesarias para evitar la irreversibilidad de esos cargos o se comprobase de cualquier otro modo que las órdenes de cargo procedían del cliente. Hubiese bastado una simple llamada telefónica al cliente para comprobar ese extremo. Finalmente, el documento nº 5 (diario electrónico de operaciones) es ilegible y se compone de una serie de algoritmos técnicos que precisarían de mayor explicación (incluso pericial) que la proporcionada por la entidad financiera en su escrito de contestación. 5º) Como colofón de todo lo desarrollado, no cabe sino entender que la entidad carecía de medidas de seguridad exigibles razonablemente. En este caso, D. Baltasar manifestó que no hizo absolutamente nada, que no entró en ninguna página web, que no extravió su tarjeta ni la cedió a nadie, que no facilitó sus claves a terceras personas, y que las operaciones siguientes se realizaron sin su consentimiento ni conocimiento. Y aun admitiendo a efectos meramente dialécticos que hubiese proporcionado sus claves, a ello debiera responderse por la entidad bancaria también con mecanismos de protección cada vez mayores y mejores. Debió, cuanto menos, resultar extraño a la entidad financiera que los cargos en la tarjeta se hicieran desde un comercio de Hungría cuando no constaban antecedentes de este tipo de operaciones por parte del cliente.".

En palabras de la S.A.P de Barcelona de 12 de septiembre de 2024 "Pese a todo ello, no consta que a CAIXABANK le extrañara que (doc 7 de contestación "registros electrónicos") consten extracciones de dinero u operaciones localizadas en Lituania y Reino Unido en la misma madrugada, no constando (no se indica por la demandada) que en su historial la actora hubiera hecho más transacciones desde dichos lugares, ni consta que por tales motivos saltara ninguna alerta en CAIXABANK, ni menos aun que bloqueara las transferencias en todo o en parte".

Insistimos, la carga de la prueba de que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado, le corresponde a la demandada, así como probar que el usuario del servicio cometió fraude o negligencia grave. La demandada no ha practicado ni una sola prueba que demuestre que el demandante esté incurriendo en un fraude o que utilizara sus claves para acceder a su propia cuenta con finalidad fraudulenta, al contrario, aceptan la versión del demandante para imputarle negligencia grave al haber facilitado sus claves y su número de tarjeta de crédito o por no haber custodiado debidamente las mismas permitiendo que un tercero hiciera uso de ello, máxime cuando en la actualidad es sabido, y el banco lo conoce perfectamente- que este tipo de disposiciones espurias se pueden lograr por muy diversos medios, habitualmente utilizados por la ciberdelincuencia: "pharming", " phishing ", "hijacking" o secuestro de conexión TCP/IP, por medio de determinadas App que captan por medio de un malware todos los datos que obran en el dispositivo en el que se instalan, incluyendo claves, números de usuario, firma, números de teléfono, entre otros, etc. El "SIM swapping", que consiste en duplicar de forma fraudulenta la tarjeta SIM del teléfono móvil de una persona suplantando su identidad, y después, una vez que la víctima se queda sin servicio telefónico, accede a su información personal y toma el control de su banca digital utilizando los SMS de verificación que llegan al número de teléfon, y todo ello a través de los sms que la entidad bancaria envía al número de teléfono del titular, sin verificar si se trata de un dispositivo de confianza. Como se puede suponer, se trata de ataques que poco tienen que ver con el comportamiento del usuario y pueden y suelen pasar desapercibidas.

Igualmente ha de señalarse que es el banco quien ofrece este producto, siendo en principio seguro, y es cierto que remite avisos y advertencias genéricas sobre su utilización; pero conociendo los distintos riesgos de los que avisa, le corresponde adoptar las medidas de seguridad o control necesarias, que en este caso no consta que se adoptaran. Y no basta con medidas genéricas de protección o avisos estereotipados de cuidado, pues tales avisos ostentarían la calificación de "formulas predispuestas", vacías de contenido. No son los clientes los que deben prevenir ni averiguar las modalidades de riesgos que el sistema conlleva, o estar al tanto de lo mismos, ni prevenir con su asesoramiento experto dichos riesgos, correspondiendo estas funciones a las entidades financieras, quienes igualmente, una vez detectado que la operación puede deberse a un posible fraude debe bloquear la tarjeta e imposibilitar que la operación fraudulenta se consume, siendo la entidad bancaria la única que puede proceder en tal sentido.

Por todo ello y pese a que según la pericial CaixaBank tiene una trazabilidad completa de todas las operaciones que realizan sus clientes en el sistema, pudiéndose saber cuándo se conectan, desde dónde, con qué dispositivo, qué métodos de autenticación se utilizaron, el tipo de operaciones realizadas, la identificación de las cuentas o comercios de destino. Y que informan los peritos que "Se ha podido comprobar que existen varios sistemas informáticos que guardan completo el tracto operativo de las transacciones conservando un histórico de muchos parámetros técnicos de todas las conexiones y operaciones realizadas por los clientes y sus dispositivos: Se guarda un diario de operaciones que registra una gran variedad de eventos y actividad, como autorizaciones, operaciones bancarias, cambios de dispositivo, conexiones a internet desde donde se realizan, etc.

Se guarda un registro de todos los mensajes SMS y notificaciones a la aplicación CaixaBankSign para cada cliente y cada operación.

Se guarda un registro de la actividad relevante relacionada con el identificador de un cliente (alta, baja, cambio de contraseña, entrada al sistema, cambio de dispositivo, etc.)". Decimos, que pese a todo ello, no consta que a CAIXABANK le extrañara que estas dos transacciones con Hugría de un cliente que prácticamente no utilizaba la tarjeta y si lo hacía era para operaciones de muy pequeño importe y de carácter domésticos, tal y como resulta de los extractos, y que a pesar de ello no saltara ninguna alerta y no se procediera a bloquear las transferencias con carácter inmediato.

Por lo que tanto, resulta que tanto desde la perspectiva contractual según las obligaciones y responsabilidades ya reseñadas asumidas por CAIXABANK, como desde la condición legal de proveedora de los servicios igualmente acreditada, como desde la regulación general de los preceptos mercantiles y civiles igualmente indicados del contrato de depósito, resulta clara la responsabilidad de la demandada y su deber de abonar al demandante la cantidad reclamada, lo que ha de llevar a la desestimación total del recurso interpuesto.

QUINTO.- DE LAS COSTAS.-

Las costas serán impuestas a la parte cuyas pretensiones son totalmente rechazadas, art 398 de la LEC.

Vistos los artículos citados y demás normas de general y pertinente aplicación, por la autoridad que nos confiere la Constitución Española y en nombre de SM. el Rey,

Por todo lo expuesto, la Sala dicta el siguiente

DESESTIMARel recurso de apelación interpuesto por CAIXABNAK PAYMENTS AND CONSUMER E.F.C. E.P. S.A.U contra la sentencia dictada en fecha 10 de marzo de 2025, por el Juzgado de Primera Instancia nº 1 de Benavente, Zamora, confirmando la misma en todas sus partes.

Las costas se imponen a la parte apelante.

Al desestimarse el recurso, se decreta en su caso, la pérdida del depósito constituido para recurrir, al que se dará el destino legal.

MODO DE IMPUGNACION DE ESTA RESOLUCIÓN:Contra esta sentencia cabe interponer de casación, si concurre alguno de los supuestos previstos en los artículos 469 y 477 de la Ley de Enjuiciamiento Civil ,en el plazo de 20 días y ante esta misma Sala, contados desde el siguiente a la notificación de esta sentencia, el recurso deberá presentarse con los requisitos y forma establecidos legalmente y los acordados por la Sala de Gobierno del TS (carátula, letra, espacios, certificación nº de págs y caracteres, etc...).

Así, por esta nuestra sentencia, lo pronunciamos mandamos y firmamos.

P U B L I C A C I Ó N

Leída y publicada que fue la anterior sentencia por el Ilmo. Sr. Magistrado-Ponente de la misma, estando el Tribunal celebrando audiencia pública en el día de la fecha, de lo que doy fe

La difusión del texto de esta resolución a partes no interesadas en el proceso en el que ha sido dictada sólo podrá llevarse a cabo previa disociación de los datos de carácter personal que los mismos contuvieran y con pleno respeto al derecho a la intimidad, a los derechos de las personas que requieran un especial deber de tutelar o a la garantía del anonimato de las víctimas o perjudicados, cuando proceda.

Los datos personales incluidos en esta resolución no podrán ser cedidos, ni comunicados con fines contrarios a las leyes.

Antecedentes

TERCERO.- En la tramitación del recurso se han observado y cumplido todas las prescripciones de carácter legal.

2º) Declaro que se han producido al demandante daños y perjuicios por importe de 8.346,18 € correspondientes a los cargos en cuenta por las operaciones ejecutadas.

Con imposición de las costas causadas a la parte demandada".

SEGUNDO.-DE LA SEGUNDA INSTANCIA.-

TERCERO.-DEL CASO DE AUTOS.-

En el caso que nos ocupa, resulta acreditado que:

CUARTO.-DE LA NORMATIVA APLICABLE.-

Arguye la parte recurrente, en segundo lugar, infracción de las normas de interpretación de los artículos 44 y 45 del Real Decreto Ley 19/2018 , de servicios de pago.

Se guarda un registro de todos los mensajes SMS y notificaciones a la aplicación CaixaBankSign para cada cliente y cada operación.

QUINTO.- DE LAS COSTAS.-

Las costas serán impuestas a la parte cuyas pretensiones son totalmente rechazadas, art 398 de la LEC.

Vistos los artículos citados y demás normas de general y pertinente aplicación, por la autoridad que nos confiere la Constitución Española y en nombre de SM. el Rey,

Por todo lo expuesto, la Sala dicta el siguiente

Las costas se imponen a la parte apelante.

Al desestimarse el recurso, se decreta en su caso, la pérdida del depósito constituido para recurrir, al que se dará el destino legal.

Así, por esta nuestra sentencia, lo pronunciamos mandamos y firmamos.

P U B L I C A C I Ó N

Leída y publicada que fue la anterior sentencia por el Ilmo. Sr. Magistrado-Ponente de la misma, estando el Tribunal celebrando audiencia pública en el día de la fecha, de lo que doy fe

Los datos personales incluidos en esta resolución no podrán ser cedidos, ni comunicados con fines contrarios a las leyes.

Fundamentos

2º) Declaro que se han producido al demandante daños y perjuicios por importe de 8.346,18 € correspondientes a los cargos en cuenta por las operaciones ejecutadas.

Con imposición de las costas causadas a la parte demandada".

SEGUNDO.-DE LA SEGUNDA INSTANCIA.-

TERCERO.-DEL CASO DE AUTOS.-

En el caso que nos ocupa, resulta acreditado que:

CUARTO.-DE LA NORMATIVA APLICABLE.-

Arguye la parte recurrente, en segundo lugar, infracción de las normas de interpretación de los artículos 44 y 45 del Real Decreto Ley 19/2018 , de servicios de pago.

Se guarda un registro de todos los mensajes SMS y notificaciones a la aplicación CaixaBankSign para cada cliente y cada operación.

QUINTO.- DE LAS COSTAS.-

Las costas serán impuestas a la parte cuyas pretensiones son totalmente rechazadas, art 398 de la LEC.

Vistos los artículos citados y demás normas de general y pertinente aplicación, por la autoridad que nos confiere la Constitución Española y en nombre de SM. el Rey,

Por todo lo expuesto, la Sala dicta el siguiente

DESESTIMARel recurso de apelación interpuesto por CAIXABNAK PAYMENTS AND CONSUMER E.F .C. E. P. S.A.U contra la sentencia dictada en fecha 10 de marzo de 2025, por el Juzgado de Primera Instancia nº 1 de Benavente, Zamora, confirmando la misma en todas sus partes.

Las costas se imponen a la parte apelante.

Al desestimarse el recurso, se decreta en su caso, la pérdida del depósito constituido para recurrir, al que se dará el destino legal.

Así, por esta nuestra sentencia, lo pronunciamos mandamos y firmamos.

P U B L I C A C I Ó N

Leída y publicada que fue la anterior sentencia por el Ilmo. Sr. Magistrado-Ponente de la misma, estando el Tribunal celebrando audiencia pública en el día de la fecha, de lo que doy fe

Los datos personales incluidos en esta resolución no podrán ser cedidos, ni comunicados con fines contrarios a las leyes.

Fallo

DESESTIMARel recurso de apelación interpuesto por CAIXABNAK PAYMENTS AND CONSUMER E.F .C. E. P. S.A.U contra la sentencia dictada en fecha 10 de marzo de 2025, por el Juzgado de Primera Instancia nº 1 de Benavente, Zamora, confirmando la misma en todas sus partes.

Las costas se imponen a la parte apelante.

Al desestimarse el recurso, se decreta en su caso, la pérdida del depósito constituido para recurrir, al que se dará el destino legal.

Así, por esta nuestra sentencia, lo pronunciamos mandamos y firmamos.

P U B L I C A C I Ó N

Leída y publicada que fue la anterior sentencia por el Ilmo. Sr. Magistrado-Ponente de la misma, estando el Tribunal celebrando audiencia pública en el día de la fecha, de lo que doy fe

Los datos personales incluidos en esta resolución no podrán ser cedidos, ni comunicados con fines contrarios a las leyes.

Sentencia Civil 95/2026 Audiencia Provincial Civil-penal Única de Zamora, Rec. 252/2025 de 06 de marzo del 2026

Encabezamiento

Antecedentes

Fundamentos

Fallo

Fórmate con Colex en esta materia. Ver libros relacionados.