Sentencia Civil 106/2024 Juzgado de Primera Instancia e Instrucción de Tomelloso nº 3, Rec. 810/2022 de 06 de junio del 2024

PR IMERO.-Ejerc ita la parte actora una acción declarativa de responsabilidad contractual de la demandada así como acción de reclamación de daños y perjuicios.

Funda su reclamación en los siguientes hechos, que se exponen de forma sucinta:

El actor es cliente de la entidad UNICAJA (antes LIBERBANK), en virtud de contrato de cuenta corriente; el demandante fue objeto de una estafa, de la denominada modalidad Phising; en concreto recibió el día 10 de agosto de 2022 correos electrónicos y sms aparentemente procedentes de UNICAJA, cuyo contenido fue atendido por el actor; a continuación se percató de que se produjeron retiradas de dinero de su cuenta con numeración NUM000, así como una transferencia; estas operaciones tuvieron lugar entre las 22,45 horas del día 10 y las 0:20 horas del día 11, ambos de agosto de 2022; que en virtud de la Ley de Servicios de pago, el Banco es responsable de restituir las cantidades, por ser su responsabilidad los sistemas de autenticación y el buen funcionamiento de los sistemas de seguridad, por lo que detenta responsabilidad por la llamada "culpa in vigilando"; que el actor ha sido extremadamente diligente a la hora de intentar evitar los efectos del fraude: presentó al día siguiente reclamación a UNICAJA, así como denuncia ante la Policía; que los defraudadores presentaron una situación de peligro o urgencia, simulando el logotipo de la demandada y otros signos que confunden a la víctima, siendo prácticamente imposible detectar la estafa, lo que exime de responsabilidad al actor; el importe reclamado es la cantidad defraudada.

La parte demandada funda su oposición en los siguientes hechos, que se exponen de forma resumida: muestra su conformidad con la relación contractual de las partes, matizando que ambas han celebrado dos contratos: tarjeta "Mastercard Classic" suscrito el 20/01/2020, así como contrato de tarjeta prepago "Mastercard E- Tarjeta" de fecha 10/08/2022; que entre las obligaciones asumidas por actor en virtud de la tarjeta se encontraba la de conservar la tarjeta y adoptar medidas para proteger la propia tarjeta, sus claves de seguridad o número de identificación personal (PIN) que permite utilizarla; que en el primer correo electrónico recibido por el actor no se infiere que tuviera que facilitar sus credenciales, siendo informativo, dándole cuenta de que una transferencia ordenada por él, de 2.000 € había sido devuelta por estar bloqueada la cuenta de destino; que el actor recibió 16 sms, dando de alta voluntariamente dos tarjetas terminadas en NUM001 y NUM002 para el pago móvil siendo autorizadas ambas operaciones por clave OTP de confirmación; que dio de alta un contrato de tarjeta de crédito prepago y la recargó con 2.000 €, transfiriéndolos a una cuenta de OPENBANK terminada en NUM003; que también realizó una serie de operaciones adicionales como una transferencia bizum de 500 euros; que todas las operaciones realizadas requirieron confirmación por medio de claves de seguridad OTP que le fueron remitidas por el banco, siendo claves de un solo uso; que el actor autorizó las operaciones o bien voluntariamente, o bien por negligencia grave, dado que autorizó hasta 8 transferencias proporcionando las claves OTP; que en su caso, el responsable civil y penal es quien haya cometido la estafa; que por la demandada se cumplieron con todas las obligaciones legales del RD Ley 19/2018.

Por todo lo expuesto, son cuestiones controvertidas si los reintegros y transferencias fueron autorizados por el demandante; si por la demandada se han adoptado las medidas de seguridad y técnicas antiphising exigibles, así como, en su caso, la responsabilidad de la entidad demandada.

No se discute la relación contractual previa entre las partes ni el importe de las operaciones realizadas.

SE GUNDO.-La protección de los consumidores y usuarios es una exigencia de base constitucional ( artículo 51), que se ha desarrollado ampliamente en el ordenamiento español a través del RD 1/2007 por el que se aprueba el Texto Refundido de la Ley General para la Defensa de Consumidores y usuarios (TRLFGDCU). El mismo estipula en sus artículos 147 y 148 que los prestadores de servicios responderán de los daños y perjuicios, salvo que prueben que han cumplido las exigencias y requisitos reglamentariamente establecidos y los demás cuidados y diligencia que exige la naturaleza del servicio. También es base para la protección de los consumidores la Ley 7/1998 de Condiciones Generales de Contratación, así como otras disposiciones más específicas, que hacen especial hincapié en la protección al consumidor en el ámbito de internet. A este respecto se pueden citar, la 34/2002 de 11 julio de Servicios de la Sociedad de la Información, en cuyos artículos 27 y 28 establece la obligación del prestador de servicios de proporcionar al destinatario una información que sea clara, comprensible e inequívoca, así como en su artículo 12 bis, que obliga al proveedor de dichos servicios a realizar una información a sus clientes permanente, fácil, directa y gratuita sobre niveles de seguridad, restricción de correos no solicitados, filtrado de servicios de Internet no deseados, etc.

Por último, el artículo 46 de la ley 7/1996, de 15 de enero de Ordenamiento del Comercio Minorista y la ley 22/2007 de 11 julio de Comercialización a Distancia de Servicios Financieros destinados a Consumidores, en su artículo 12, establecen una protección especial al consumidor frente a la incertidumbre jurídica que produce el desarrollo de Internet y las nuevas tecnologías.

Toda la normativa anterior, culmina con el Real Decreto-Ley 19/2018, de 23 de noviembre, de Servicios de Pago y otras Medidas Urgentes en Materia Financiera (en adelante LSP), que deroga la previa Ley 16/2009, de 13 de noviembre, y que resulta de aplicación imperativa en este supuesto. La relación contractual de cuenta corriente suscrita por las partes, y no discutida, se halla dentro del ámbito objetivo de aplicación de la norma, como resulta del artículo 1.1 que establece que su objeto "es la regulación de los servicios de pago, relacionados en el apartado 2, que se presten con carácter profesional en territorio español". Además, la imperatividad del Título III del Real Decreto sobre "Derechos y obligaciones en relación con la prestación y utilización de servicios de pago" resulta del artículo 34.1, que solo permite que las partes puedan excepcionar la aplicación del Título cuando el usuario de servicios de pago no sea consumidor ni microempresa. El artículo 3, apartado 8, considera consumidor a los efectos de esta ley a "la persona física que, en los contratos de servicios de pago objeto de este real decreto-ley, actúa con fines ajenos a su actividad económica, comercial o profesional".

Resulta, por tanto manifiesto, que en el supuesto que nos ocupa el demandante que contrató los servicios de pago de la entidad demandada es consumidor a los efectos de la LSP, por haber obrado en todo momento con una finalidad ajena a toda actividad comercial, y haber destinado la cuenta corriente objeto del contrato, así como las tarjetas asociadas, a fines de consumo particular.

Respecto a la cuestión material de fondo que se analiza en este fundamento, el artículo 43.1 determina que "el usuario de servicios de pago obtendrá la rectificación por parte del proveedor de servicios de pago de una operación de pago no autorizada o ejecutada incorrectamente únicamente si el usuario de servicios de pago se lo comunica sin demora injustificada, en cuanto tenga conocimiento de cualquiera de dichas operaciones que sea objeto de reclamación, incluso las cubiertas por el artículo 60, y, en todo caso, dentro de un plazo máximo de trece meses contados desde la fecha del adeudo".

Esto no obstante, el artículo 44 añade que "cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada,y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago" (ap.1) y que "corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave"(ap.3).

Por último, es relevante destacar también que "el ordenante soportará todas las pérdidas derivadas de operaciones de pago no autorizadas si el ordenante ha incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41. En esos casos, no será de aplicación el importe máximo contemplado en el párrafo primero" (46.1 párrafo 4º). Añade el apartado 2 que "si el proveedor de servicios de pago del ordenante no exige autenticación reforzada de cliente,el ordenante solo soportará las posibles consecuencias económicas en caso de haber actuado de forma fraudulenta" (artículo 46.2).

Así, se podría establecer, de forma sistemática, tal y como resulta del compendio normativo indicado, que la entidad demandada deberá probar:

1. Que la operación no autorizada le ha sido comunicada en plazo por el afectado (43.1) y en todo caso en el plazo máximo de 13 meses desde el adeudo.

2. Que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago (44.1), siendo exigible que la autenticación sea reforzada.

3. Que el operador o usuario cometió fraude o negligencia grave (44.3).

Como ha mantenido la jurisprudencia a este respecto, entre otras la SAP Ceuta, sección 4ª, 52/2022 de 22 de septiembre o la SAP Madrid, sección 9ª, de 4 de mayo de 2015 "de este modo, el Real Decreto-ley 19/18 regula un sistema de responsabilidad cuasi objetiva de la entidad proveedora del servicio, con inversión de la carga probatoria, al presumirse la falta de autorización, si el titular lo niega, como ocurre en este caso. No obstante, este sistema de responsabilidad civil cesa cuando conforme a lo establecido en el artículo 46.1 el cliente ha actuado fraudulentamente o con negligencia grave a la hora de aplicar los medios razonables de protección de seguridad personalizados de que haya sido provisto".

El artículo 3.5 LSP determina que se considerará autenticación reforzada la basada en la utilización de dos o más elementos categorizados como conocimiento (algo que solo conoce el usuario), posesión (algo que solo posee el usuario) e inherencia (algo que es el usuario), que son independientes -es decir, que la vulneración de uno no compromete la fiabilidad de los demás-, y concebida de manera que se proteja la confidencialidad de los datos de identificación.

Como primera cuestión, de la prueba practicada resulta suficientemente acreditado que las operaciones efectuadas sobre la cuenta del actor no fueron consentidas, sino resultado de una posible estafa, sin perjuicio de lo que pudiera resultar de la causa penal correspondiente, como resulta de la propia declaración del Sr. Josías, que narró en juicio como recibió un email con el logotipo de UNICAJA y posterior llamada telefónica, en el que le advertían de que se estaban intentando realizar operaciones sobre su cuenta, y requiriéndole para que aportara ciertos datos a fin de evitarlo. La defraudación sufrida se corrobora por el hecho de que el actor acudió a la Guardia Civil a denunciar los hechos como resulta del documento número 7 de la demanda, el 11 de agosto de 2022 a las 9:21 horas, es decir, al día siguiente de haber sufrido la estafa, que tuvo lugar por la noche, el día 10 de agosto. También se hace constar en la denuncia que el actor acudió a la oficina de UNICAJA a comunicar la sucedido el mismo día 11 de agosto de 2022, hecho que también ratificó en su declaración en la vista del presente procedimiento. Por último, la existencia de una estafa se pone de manifiesto en el hecho de que se realizaron extracciones de dinero (reintegros) en cajeros automáticos de la localidad de Dos Hermanas, Sevilla (como resulta del documento número 6 de la contestación).

Las indicadas comunicaciones suponen el cumplimiento por el actor del primero de los requisitos previstos en la LSP en cuanto a la comunicación de las operaciones no autorizadas (43.1).

Partiendo de lo anterior, procede, en primer lugar, y a los efectos de valorar tanto la diligencia de la demandada en la adopción de medidas de control, como la posible negligencia grave de la actora, examinar el email y SMS recibidos por el defraudado.

Se aporta como documento número 1 de la demanda copia del email recibido por el actor. Figura como fecha de recepción el 10/08/2022 a las 22:30 horas. Aparece como remitente el correo no-reply@notifica.unicaja.es ,siendo el asunto "aviso de Unicaja Banco". El cuerpo del correo indica "Estimado cliente, le informamos que su transferencia SEPA Inmediata con clave nº (...) ha sido devuelta por la entidad de destino por CUENTA BLOQUEADA, MOTIVO SIN ESPECIFICAR. En consecuencia hemos procedido a abonar el importe de la",resultando el mensaje incompleto. A continuación figura un número de teléfono sobre el que se lee "llámanos".

De igual forma, aporta la actora como documento número dos una serie de SMS recibidos por el demandante en el teléfono de su titularidad ( NUM004) en ellos se le informa de los siguientes extremos: "vas a dar de alta la tarjeta NUM001 para pago móvil"; "vas a dar de alta la tarjeta NUM002 para pago móvil"; "vas a dar de alta la tarjeta NUM005 para pago móvil"; "vas a transferir 2.000 € a una cuenta OPENBANK finalizada en NUM003"; "vas a transferir 500 € por BIZUM" con indicación del número de teléfono al que se dirige la transferencia; "vas a realizar una recarga de 2.000 euros sobre la tarjeta NUM005"; "vas a transferir 2.000 euros a una cuenta OPENBANK finalizada en NUM006"; "vas a dar de alta la tarjeta NUM002" para pago móvil; "Tarjetas prepago. Estás solicitando la contratación de una tarjeta prepago", entre otros. Todos estos SMS llevan aparejada una clave de seguridad, haciendo constar, en algunos de ellos la leyenda "NO COMPARTAS ESTA CLAVE CON NADIE", en letra mayúscula.

A la vista de lo anterior, en lo referente al cumplimiento por parte de la entidad del deber de adoptar las medidas para impedir el fraude, cabe citar la STS de 12 de mayo de 2016, que declaró que "conforme a la naturaleza y función del contrato de cuenta corriente bancaria, el cercioramiento o comprobación de la veracidad de la firma del ordenante constituye un presupuesto de la diligencia profesional exigible a la entidad bancaria con relación a sus obligaciones esenciales de gestión y custodia de los fondos depositados por el titular de la cuenta, cuyo incumplimiento da lugar a la indemnización de daños y perjuicios, conforme a lo dispuesto en los artículos 1101 y 1106 del Código Civil ".

La realidad de prácticas delictivas como el referido " phising ", hace exigible aumentar las medidas de seguridad específicas, como recuerda la SAP de Barcelona, 7 de marzo de 2013 , pues el banco no puede ofrecer un sistema on line sin adoptar las medidas de seguridad necesarias, en el mismo sentido que hizo la ya citada sentencia de la Audiencia Provincial de Alicante, de 12 de marzo de marzo, aplicando los criterios que expresaba la STS de 18 de marzo de 2016 , que imponía ponderar, en este tipo de supuestos, factores tales como la causa del evento dañoso, la concurrencia de un déficit de la seguridad que legítimamente cabía esperar y la facilidad probatoria correspondiente a cada una de las partes.

Como se afirma en dicha sentencia, no basta con medidas genéricas de protección o avisos estereotipados de cuidado, sino que "la seguridad de las operaciones bancarias precisa de soluciones tecnológicas avanzadas a los efectos de garantizar tanto la autenticidad como la integridad y confidencialidad de los datos", sin que se repute suficiente los avisos genéricos de los bancos, a través de su web, que ostentarían la calificación de " formulas predispuestas", vacías de contenido."

Se ha acreditado por la demandada que se remitieron sms, un total de 16, al actor para comunicar las operaciones que estaban siendo realizadas, y a los efectos de que las mismas pudieran ser confirmadas por medio de clave OTP (One Time Password, o contraseña de un solo uso). Así resulta tanto de la propia documental de la actora a la que la entidad se remite en su escrito de contestación, como del documento número 3 de la contestación donde se hacen constar los sms remitidos cuyo contenido coincide con los aportados de contrario. De igual forma resultan aportadas las claves OTP remitidas en dichos sms (documento número 5 de la contestación). En los mensajes se informaba al usuario tanto de la operación que iba a realizar, en mensaje claro y comprensible, como de la clave para confirmar la operación, indicando algunos de ellos que no debía ser facilitada a terceros.

A la vista de lo anterior, se ha de entender acreditado suficientemente por la demandada el cumplimiento de lo dispuesto en la normativa referida, en particular, el cumplimiento con el sistema de autenticación reforzada. Así, si bien el actor declaró no haber proporcionado sus credenciales (elemento de conocimiento) a terceros, siendo que los presuntos defraudadores pudieron efectuar transferencias e incluso contrataciones, la única explicación lógica es que accedieran a los servicios online que el banco pone a disposición del cliente empleando sus credenciales, toda vez que sólo así se explica que el cliente recibiera, subsiguientemente, los mensajes conteniendo las claves de verificación OTP, necesarias para culminar las operaciones efectuadas. De igual forma, el actor reconoció en su declaración que telefónicamente proporcionó al tercero los datos que le fueron requiriendo, llegando a manifestar que hizo que ver que no estaba cómodo con la comunicación de sus datos, si bien la premura manifestada por el interlocutor, y la posibilidad de estar sufriendo un ataque a sus cuentas, le llevó a proporcionar los datos requeridos.

Sentado lo anterior, procede examinar si, por parte del actor, existió negligencia grave en el cumplimiento de sus deberes de custodia.

En este sentido es procedente destacar, que sobre la diligencia que ha de guardar el usuario, la norma exige que ésta sea grave. Sobre la diligencia grave, se pronuncia, por todas, la SAP de Pontevedra de 23 de marzo de 2023 señala que: "a la hora de estudiar la concurrencia de negligencia grave del usuario del servicio de pago online, partiendo del admitido criterio de responsabilidad cuasi objetiva de la entidad en la prestación del servicio de banda virtual respecto a operaciones de pago como la transferencia, reiterada jurisprudencia considera que dicha negligencia debe ser grave en atención a las circunstancias demostradas del caso, atribuyéndose en todo caso la carga probatoria de la misma al proveedor del servicio con arreglo a art. 217 LEC . En interpretación de directiva 2015/2366 , la negligencia que hace responder al cliente es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional. Como parámetro del actuar negligente también cabrá acudir al art. 1.104 CC , que exige la diligencia asociada a la naturaleza de la obligación y a las circunstancias personales, de tiempo y lugar. Ello destacándose la complejidad y grado de perfección que presenta en la actualidad el método de "phishing" de difícil detección por persona de formación media, así como el deber de la proveedora del servicio de dotarse de tecnología suficiente y adecuada con exigencia de medidas implantadoras activas, sin entenderse suficientes avisos generales o en página web de mero carácter informativo o divulgativo -por todas, SS. AP Pontevedra (Secc. 6ª) 21.12.21 y Madrid (20ª) 20.5.2022 , en la línea de lo razonado en SS. AP Valencia (6ª) 13.6.2022 , Granada (5ª) 20.6.2022 y Badajoz (3ª) 21.6.2022 -".

En el caso particular que nos ocupa, como se ha puesto de relieve, el actor manifestó en juicio que recibe habitualmente comunicaciones del banco por el teléfono móvil, si bien no suele realizar operaciones por medio de la banca digital, sino personándose en la entidad. Declaró que recibió un correo electrónico con el logotipo del banco informando de una transferencia, con indicación de un número de teléfono para recibir asistencia; que se puso en contacto con él una persona identificada como " Damian", a través de un teléfono con prefijo de Málaga, que le dijo que estaban intentando acceder a sus cuentas, si bien no concretó si fue él quien realizó la llamada o se recibió por parte de terceros. También declaró que en los sms recibidos no le pidieron sus claves ni posiciones de la tarjeta de coordenadas, pero por medio de la llamada le explicaron que, con celeridad, debía mandar unas claves y que le fueron proporcionando unos mensajes en los que aparecía una numeración y él tenía que confirmarla, para que el supuesto responsable de UNICAJA pudiera bloquear las operaciones fraudulentas; por último, declaró que el interlocutor le metía prisa para que le diera esta información, reconociendo que no leyó el contenido íntegro de los mensajes.

A la vista de lo anterior, se ha de entender que el actor incurrió en negligencia grave en la conservación de sus claves, siendo un deber derivado del contrato, lo que determina la exención de la responsabilidad de la demandada, que ha acreditado suficientemente la aplicación de los debidos controles de autenticación. Así, se ha de considerar que el consumidor incurrió en una negligencia revestida de gravedad suficiente, por cuanto proporcionó claves contenidas en un total de 16 sms que fue recibiendo, en los que, de forma sencilla, podía leerse la operación que estaba siendo autorizada, hecho que debió llevar al mismo a sospechar, prolongándose dichas comunicaciones de forma suficiente en el tiempo para que el actor hubiera podido comprobar, mediante la lectura de los mensajes, que estaba proporcionando claves de seguridad que no debían ser compartidas, por cuanto indicaban los propios mensajes.

Si bien se ha de partir, como expresa la jurisprudencia indicada, que la estafa de phishing, se elabora de forma sofisticada por terceros con intención de causar engaño, en el presente caso, ha de entenderse que la conducta del demandado fue más allá de confiar en la apariencia de realidad que ofrecía el correo electrónico recibido, por cuanto no sólo aportó credenciales de seguridad, lo que podría determinar una falta de diligencia no grave, sino que esa aportación fue reiterada en múltiples ocasiones, pudiendo haber salvado el error mediante la lectura de alguno de los mensajes recibidos.

Por todo lo expuesto procede aplicar la consecuencia prevista en el artículo 46 LSP y declarar la responsabilidad exclusiva de la parte actora por las operaciones no autorizadas realizadas en su cuenta por terceros, desestimando íntegramente la demanda.

No procede entrar en la cuantificación del perjuicio sufrido, toda vez que el demandado no deber responder de dichas cantidades como era pretensión de este procedimiento.

TERCERO.- Costas

En materia de costas, en virtud del principio de vencimiento objetivo del artículo 394 LEC, dada la desestimación íntegra de la demanda, procede su imposición a la parte demandante.

Por todo lo expuesto,