Que en la tramitación de este procedimiento se han observado las prescripciones legales salvo el plazo para dictar sentencia a la vista de gran cantidad de asuntos que recibe este juzgado, y pendencia para resolución, así como gran cantidad de asuntos de trámite e interposición de recursos.
Primero.- OBJETO.- Nos hallamos en una demanda relativa a la responsabilidad contractual ilegal de la entidad bancaria en relación a los artículos 43 al 45 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera.
Por la parte demandante, cliente de UNICAJA, se alega:
El pasado día 1 de junio de 2022, sobre las 21 horas, recibió un mensaje de texto, SMS, en su número móvil, supuestamente de su entidad financiera UNICAJA, con un enlace a una página como la de UNICAJA, donde le solicitaban una serie de datos.
Al comprobar, a través de la aplicación de banca electrónica, que le estaban realizando distintos cargos no autorizados en su tarjeta y en su cuenta corriente, se puso en contacto telefónico inmediato con la entidad UNICAJA, solicitando la anulación de la tarjeta. La demora de la entidad en atender la petición (no fue sino hasta el día siguiente, por la mañana, cuando tras personarse en la oficina de Guadix, procedieron a la anulación de la tarjeta) permitió que se realizaran numerosas transacciones fraudulentas en un brevísimo periodo de tiempo, y pese a que algunas fueron anuladas por Unicaja, finalmente se mantuvieron cargos no autorizados por un importe total de 2.122,99€ (v. extracto movimientos tarjeta, doc. 9).
Es un hecho notorio, que ha aparecido en prensa y distintos medios de comunicación, habiéndose creado incluso en la red social Facebook, una Plataforma de Afectados por el Ciberataque a Unicaja Banco, que tiene documentadas las quejas y reclamaciones de todos los usuarios frente a Unicaja por este asunto, siendo cientos en toda España.
Se trata de un asunto público y notorio, bastando acceder a internet y teclear en cualquier buscador "ciberataque unicaja" para obtener abundante información sobre este asunto. Se han hecho eco distintos medios de comunicación, tanto escritos como en televisión: EuropaPress, "La hora de la 1", de TVE, episodio 16-3-2023 (enlace: Phishing: estafa a través de un mensaje (rtve.es); "Andalucía Directo", de Canal Sur TV (enlace: NUM000/) ; "Más Vale Tarde", de La Sexta TV (enlace: NUM001) etc, etc.
La explicación es sencilla: con motivo de, o aprovechando la absorción o fusión por parte de Unicaja de distintas entidades bancarias en diversas comunidades autónomas, se produjo en los primeros días de junio de 2022 una CIBERESTAFA MASIVA a los clientes tanto de las entidades absorbidas como de la propia Unicaja. Los ciberdelincuentes aprovecharon una brecha en la seguridad de Unicaja, se infiltraron en su propio canal SMS de comunicación, accedieron a los datos de cuentas corrientes, movimientos, nº tfno, etc, y bien por SMS o bien por teléfono, suplantaron la identidad del banco contactando con los clientes de la entidad. A través de estas ciberestafas, cientos de clientes de Unicaja en toda España han visto cómo les saqueaban sus cuentas corrientes, debido al gravísimo fallo de seguridad de la propia Unicaja, que ha permitido que los ciberdelincuentes se infiltraran en sus propios canales de comunicación con sus clientes, accedieran a información personal como números de teléfono, identidad, etc, para a continuación usurpar la identidad de la entidad financiera y contactar con los propios clientes, como si del banco se tratara, para obtener claves de sus cuentas corrientes, tarjetas de crédito, etc
Por la parte demandada se sostiene que las operaciones fueron autorizadas, Autenticadas y registradas sin ningún tipo de fallo técnico y que no hay negligencia ni responsabilidad alguna por parte de la entidad en cuanto que si fue un descuido, un acto involuntario o un fraude al actor, es él el que debe asumir las consecuencias.
Segundo.- LEY SERVICIOS DE PAGO.
La primera normativa aplicable a esta cuestión es el Real Decreto-ley 19/2018 de 23 de noviembre, de servicios de pago, que adaptó la normativa de servicios de pago para trasponer la Directiva 2015/2366 y el Reglamento Delegado ( UE) 2018/389 de la Comisión, de 27 de noviembre de 2017.
De acuerdo a la misma y con cita de Sentencia del Tribunal Supremo, Sala de lo Civil, nº 1671/2025, de 9 de abril de 2025, recurso de casación nº 1151/2023 , ponente Manuel Almenar Belenguer. ECLI: ES:TS:2025:1671 :
Artículo 41. Obligaciones del usuario de servicios de pago en relación con los instrumentos de pago y las credenciales de seguridad personalizadas.
El usuario de servicios de pago habilitado para utilizar un instrumento de pago:
a) utilizará el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago que deberán ser objetivas, no discriminatorias y proporcionadas y, en particular, en cuanto reciba un instrumento de pago, tomará todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas;
b) en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, lo notificará al proveedor de servicios de pago o a la entidad que este designe, sin demora indebida en cuanto tenga conocimiento de ello.
El usuario solo responde cuando haya incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones, por lo que, al no existir ningún elemento del que se deduzca la existencia de un fraude o incumplimiento deliberado, la cuestión se reconduce a dilucidar si es posible hablar de negligencia grave, cuya prueba incumbe a la demandada y que la jurisprudencia comunitaria relaciona con el incumplimiento del deber de notificación del art. 58 de la Directiva 2007/64/CE .
Obsérvese que, contra lo que mantiene por la recurrente, el que un tercero hubiera podido acceder a las claves de acceso a la banca digital del demandante no supone per se que haya incurrido en negligencia alguna, pudiendo existir múltiples explicaciones, muchas de las cuales resultan difícilmente atribuibles a título de negligencia, y menos aún, de negligencia grave.
Artículo 42. Obligaciones del proveedor de servicios de pago en relación con los instrumentos de pago.
e) Impedirá cualquier utilización del instrumento de pago una vez efectuada la notificación en virtud del artículo 41.b)
Artículo 43. Notificación y rectificación de operaciones de pago no autorizadas o ejecutadas incorrectamente.
1. El usuario de servicios de pago obtendrá la rectificación por parte del proveedor de servicios de pago de una operación de pago no autorizada o ejecutada incorrectamente únicamente si el usuario de servicios de pago se lo comunica sin demora injustificada, en cuanto tenga conocimiento de cualquiera de dichas operaciones que sea objeto de reclamación
arts. 43 y 44 Real Decreto, en relación con los arts. 71 y 72 de la Directiva
«1. Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago. [...]
2. A los efectos de lo establecido en el apartado anterior, el registro por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 41.
3. Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave. [...]»
Igualmente, los arts. 45 y 46 del Real Decreto Ley recogen lo dispuesto en los arts. 73 y 74 de la Directiva acerca de la responsabilidad del proveedor de servicios de pago y del usuario en caso de operaciones de pago no autorizadas. En este sentido, el art. 45 establece:
«1. Sin perjuicio del artículo 43 de este real decreto-ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada.»
2. Cuando la operación de pago se inicie a través de un proveedor de servicios de iniciación de pagos, el proveedor de servicios de pago gestor de cuenta devolverá inmediatamente y, en cualquier caso, a más tardar al final del día hábil siguiente, el importe de la operación de pago no autorizada y, en su caso, restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada
Y el art. 46, después de recoger en su apartado 1 la posibilidad de que el ordenante pueda quedar obligado a soportar, hasta un máximo de 50 &€ , las pérdidas derivadas de operaciones de pago no autorizadas resultantes de la utilización de un instrumento de pago extraviado, sustraído o apropiado indebidamente por un tercero, vincula la responsabilidad del ordenante a la existencia de fraude o por incumplimiento deliberado o por negligencia grave de las obligaciones que pesan sobre el mismo:
«1. No obstante lo dispuesto en el artículo 45, el ordenante podrá quedar obligado a soportar, hasta un máximo de 50 euros, las pérdidas derivadas de operaciones de pago no autorizadas resultantes de la utilización de un instrumento de pago extraviado, sustraído o apropiado indebidamente por un tercero, salvo que:
a) al ordenante no le resultara posible detectar la pérdida, la sustracción o la apropiación indebida de un instrumento de pago antes de un pago, salvo cuando el propio ordenante haya actuado fraudulentamente, o
b) la pérdida se debiera a la acción o inacción de empleados o de cualquier agente, sucursal o entidad de un proveedor de servicios de pago al que se hayan externalizado actividades.
El ordenante soportará todas las pérdidas derivadas de operaciones de pago no autorizadas si el ordenante ha incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave , una o varias de las obligaciones que establece el artículo 41. En esos casos, no será de aplicación el importe máximo contemplado en el párrafo primero.
En todo caso, el ordenante quedará exento de toda responsabilidad en caso de sustracción, extravío o apropiación indebida de un instrumento de pago cuando las operaciones se hayan efectuado de forma no presencial utilizando únicamente los datos de pago impresos en el propio instrumento, siempre que no se haya producido fraude o negligencia grave por su parte en el cumplimiento de sus obligaciones de custodia del instrumento de pago y las credenciales de seguridad y haya notificado dicha circunstancia sin demora.
De este modo, con cita STJUE sentencia del Tribunal de Justicia de 2 de septiembre de 2021 (C-337/20 ), el legislador de la Unión ha establecido un régimen de responsabilidad basado en tres elementos esenciales y vinculados entre sí , a saber: una obligación de notificación que recae sobre el usuario del servicio de pago, establecida en el artículo 58 de la Directiva 2007/64 ; la atribución de la carga de la prueba al proveedor de esos servicios, que figura en el artículo 59 de dicha Directiva, y, por último, en caso de falta de prueba, la responsabilidad de ese proveedor, de conformidad con los artículos 60 y 75 de dicha Directiva, en función de que la operación no haya sido autorizada, no haya sido ejecutada o haya sido ejecutada incorrectamente.
Por consiguiente, arreglo a la normativa comunitaria y nacional aplicable y a la jurisprudencia comunitaria recaída en interpretación de la regulación de la que trae causa la primera, podemos concluir:
1.º El usuario de servicios de pago debe adoptar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas y, en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, ha de notificarlo al proveedor de servicios de pago de manera inmediata, tan pronto tenga conocimiento de ello.
2.º En caso de que se produzca una operación de pago no autorizada o ejecutada incorrectamente, si el usuario de servicios de pago se lo comunica sin demora injustificada, el proveedor debe proceder a su rectificación y reintegrar el importe de inmediato, salvo que tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España.
3.º Cuando un usuario niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, incumbe al proveedor la carga de demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago.
4.º El mero hecho del registro por el proveedor de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones, correspondiendo al proveedor la prueba de que el usuario del servicio de pago cometió fraude o negligencia grave.
En suma, la responsabilidad del proveedor de los servicios de pago, en los casos de operaciones no autorizadas o ejecutadas incorrectamente, tiene carácter cuasi objetivo, en el doble sentido de que, primero, notificada la existencia de una operación no autorizada o ejecutada incorrectamente, el proveedor debe responder salvo que acredite la existencia de fraude; y, segundo, cuando el usuario niegue haber autorizado la operación o alegue que ésta se ejecutó incorrectamente, corresponde al proveedor acreditar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio, sin que el simple registro de la operación baste para demostrar que fue autorizada ni que el usuario ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave.
TERCERO.- OBLIGACIONES LEGALES EN MATERIA DE CIBERSEGURIDAD.
La Directiva (UE) 2022/2555, adoptada el 14 de diciembre de 2022, establece medidas para garantizar un nivel elevado de ciberseguridad en toda la Unión Europea, modificando el Reglamento (UE) n.º 910/2014 y la Directiva (UE) 2018/1972, y derogando la Directiva (UE) 2016/1148. Los países de la UE tienen hasta octubre de 2024 para transponer esta directiva a su legislación nacional. Conocida como NIS2, esta normativa busca establecer un estándar de resiliencia en ciberseguridad para el entorno europeo, enfocándose en sectores esenciales de alta criticidad como energía, transporte y banca. Entre los requisitos clave se incluyen la adopción de medidas robustas de ciberseguridad, la notificación de incidentes de seguridad y la protección de infraestructuras críticas.
La directiva también enfatiza la importancia de la gestión del riesgo y la monitorización de la cadena de suministro, estableciendo un enfoque integral que incluye políticas de seguridad de sistemas de información, gestión de incidentes, continuidad de actividades y seguridad en la cadena de suministro. Además, se requiere que los Estados miembros aseguren que las entidades esenciales e importantes utilicen productos y servicios de tecnologías de la información y la comunicación (TIC) que estén certificados bajo esquemas europeos de ciberseguridad. Asimismo, se establece que los órganos de dirección de estas entidades deben aprobar y supervisar las medidas de gestión de riesgos de ciberseguridad, asegurando así el cumplimiento de las normativas establecidas.
A este respecto, hay que subrayar la exigencia conforme a esta normativa de (Art. 1)
a) las políticas de seguridad de los sistemas de información y análisis de riesgos;
b) la gestión de incidentes;
f) las políticas y los procedimientos para evaluar la eficacia de las medidas para la gestión de riesgos de ciberseguridad;
g) las prácticas básicas de ciberhigiene y formación en ciberseguridad;
h) las políticas y procedimientos relativos a la utilización de criptografía y, en su caso, de cifrado;
i) la seguridad de los recursos humanos, las políticas de control de acceso y la gestión de activos;
j) el uso de soluciones de autenticación multifactorial o de autenticación continua, comunicaciones de voz, vídeo y texto seguras y sistemas seguros de comunicaciones de emergencia en la entidad, cuando proceda.
De tal manera que conforme el artículo 20 de dicha directiva los Estados miembros velarán por que los órganos de dirección de las entidades esenciales e importantes aprueben las medidas para la gestión de riesgos de ciberseguridad adoptadas por dichas entidades.
Que el 30 de enero de este año se ha presentado por el Gobierno el anteproyecto de Ley de Coordinación y Gobernanza de la Seguridad con la finalidad de trasposición de la misma.
Que asimismo debemos citar como normativa aplicable, el REGLAMENTO (UE) 2022/2554 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 y (UE) 2016/1011
El Reglamento de la UE entró en vigor el 16 de enero de 2023 y se aplicará directamente a partir del 17 de enero de 2025. Su objetivo es reforzar la seguridad informática de entidades financieras como bancos, compañías de seguros y empresas de inversión y garantizar que el sector financiero en Europa pueda mantener su resiliencia en caso de perturbaciones operativas graves.
Armoniza las normas relativas a la resiliencia operativa del sector financiero aplicables a veinte tipos diferentes de entidades financieras y proveedores terceros de servicios de TIC.
Con la implementación de DORA, las entidades financieras deben establecer requisitos para la gestión de incidentes de ciberseguridad con el fin de proteger, detectar, contener, recuperar y reparar incidentes relacionados con las TIC.
DORA establece unos requisitos y obligaciones específicos para la gestión del riesgo de las TIC, la notificación de incidentes, la realización de pruebas de resiliencia operativa, el establecimiento de acuerdos de intercambio de ciberamenazas y la monitorización del riesgo de la cadena de suministro de las entidades financieras.
Este reglamento reconoce que los incidentes de ciberseguridad y la falta de resiliencia operativa tienen la posibilidad de poner en peligro la solidez de todo el sistema financiero.
DORA establece requisitos específicos en cuatro dominios principales:
1. G estión y gobernanza del riesgo de TIC: las entidades financieras deben desarrollar marcos integrales de gestión del riesgo de las TIC, identificando y clasificando activos críticos, realizando evaluaciones continuas de riesgos y estableciendo medidas de ciberseguridad adecuadas. El órgano de dirección de las entidades financieras será el responsable de definir las estrategias de gestión del riesgo, las políticas, gobernanza, gestión, revisión y supervisión y podrá ser responsable personalmente por el incumplimiento de la regulación
2. Notificación de incidentes: las entidades financieras deben establecer sistemas para monitorear, administrar, registrar, clasificar e informar incidentes relacionados con las TIC. Deben presentar informes a las autoridades competentes y a los clientes y socios afectados sobre incidentes graves, proporcionando informes iniciales, intermedios y finales, y, con carácter voluntario, incidentes importantes.
3. Pruebas de resiliencia operativa digital, e intercambio de amenazas: las instituciones financieras deben probar regularmente sus sistemas de TIC para evaluar su fortaleza y detectar vulnerabilidades. Las pruebas incluyen evaluaciones de vulnerabilidades y pruebas basadas en escenarios, así como pruebas de penetración con amenazas especificas dirigías a entidades financieras. Igualmente, se deben establecer acuerdos de intercambio de información e inteligencia en relación con las ciberamenazas y las vulnerabilidades de ciberseguridad entre las entidades financieras.
4. Gestión de riesgos de terceros: las instituciones financieras deben asumir un papel activo en la gestión del riesgo de terceros de TIC, estableciendo acuerdos contractuales específicos y mapeando dependencias de la cadena de suministro. Los proveedores de servicios de TIC críticos también estarán sujetos a supervisión directa y deberán cumplir con los requisitos de DORA.
Las entidades financieras, que no sean microempresas, deben:
disponer de medidas internas de gobernanza y control que garanticen una gestión eficaz y prudente del riesgo de las TIC;
asegurarse de que su órgano de dirección define, aprueba, supervisa y es responsable de todas las disposiciones pertinentes;
contar con un marco de gestión de riesgos en TIC sólido, completo y bien documentado con las estrategias, políticas, procedimientos, protocolos y herramientas necesarios para responder con rapidez y eficacia;
utilizar y mantener sistemas, protocolos y herramientas actualizados en el ámbito de las TIC que sean adecuados, fiables, tecnológicamente resistentes y tengan capacidad suficiente;
identificar, clasificar y documentar adecuadamente todas las funciones, roles y responsabilidades empresariales apoyadas por las TIC, y revisar los escenarios de riesgo;
supervisar de forma continua la seguridad y el funcionamiento de los sistemas y herramientas de TIC para minimizar las repercusiones de cualquier riesgo de TIC;
detectar rápidamente las anomalías e identificar posibles puntos de fallo;
establecer una política global de continuidad empresarial de las actividades de TIC con planes, procedimientos y mecanismos adecuados;
desarrollar y documentar políticas de copias de seguridad y procedimientos de restauración y recuperación;
desplegar recursos y personal para evaluar las vulnerabilidades y las ciberamenazas, los incidentes relacionados con las TIC, especialmente los ciberataques, y analizar su posible impacto en la resiliencia operativa digital de la entidad;
diseñar planes de comunicación de crisis para divulgar al menos los incidentes o vulnerabilidades más importantes relacionados con las TIC a clientes, homólogos y ciudadanos.
Art. 6
2. El marco de gestión del riesgo relacionado con las TIC incluirá al menos las estrategias, las políticas, los procedimientos, y los protocolos y herramientas de TIC que sean necesarios para proteger debida y adecuadamente todos los activos de información y activos de TIC
5. El marco de gestión del riesgo relacionado con las TIC se documentará y revisará al menos una vez al año, o periódicamente en el caso de las microempresas, así como cuando se produzcan incidentes graves relacionados con las TIC, y siguiendo las instrucciones de supervisión o conclusiones derivadas de los procesos pertinentes de prueba o auditoría de la resiliencia operativa digital.
6. El marco de gestión del riesgo relacionado con las TIC de las entidades financieras que no sean microempresas será objeto de auditoría interna llevada a cabo por auditores con carácter periódico en consonancia con el plan de auditoría de las entidades financieras
8. El marco de gestión del riesgo relacionado con las TIC incluirá una estrategia de resiliencia operativa digital que establezca cómo se aplicará el marco. A tal fin, la estrategia de resiliencia operativa digital incluirá métodos para hacer frente al riesgo relacionado con las TIC y alcanzar los objetivos específicos en materia de TIC, para lo cual:
b) establecerá el nivel de tolerancia al riesgo relacionado con las TIC, de acuerdo con la propensión al riesgo de la entidad financiera, y analizará la tolerancia al impacto de las perturbaciones de las TIC;
c) establecerá objetivos claros en materia de seguridad de la información, incluidos indicadores clave de rendimiento y parámetros clave de medición del riesgo;
e) esbozará los diferentes mecanismos establecidos para detectar incidentes relacionados con las TIC, prevenir su impacto y protegerse de sus efectos;
f) hará constar la situación actual de la resiliencia operativa digital sobre la base del número de incidentes graves relacionados con las TIC notificados y la eficacia de las medidas preventivas;
g) efectuará pruebas de resiliencia operativa digital, de conformidad con el capítulo IV del presente Reglamento;
h) esbozará una estrategia de comunicación en caso de aquellos incidentes relacionados con las TIC que sea obligatorio divulgar conformidad con el artículo 14.
Art. 9
Las entidades financieras diseñarán, adquirirán y aplicarán políticas, procedimientos, protocolos y herramientas en materia de seguridad de las TIC que tengan por objeto asegurar la resiliencia, la continuidad y la disponibilidad de los sistemas de TIC,
Como parte del marco de gestión del riesgo relacionado con las TIC a que se refiere el artículo 6, apartado 1, las entidades financieras deberán:
c) aplicar políticas que limiten el acceso físico o lógico a los activos de información y activos de TIC a lo que sea necesario únicamente para funciones y actividades legítimas y aprobadas, y establecer a tal fin un conjunto de políticas, procedimientos y controles que se centren en los derechos de acceso y garanticen una buena administración de estos;
d) aplicar políticas y protocolos para mecanismos de autenticación fuerte, basados en estándares pertinentes y sistemas de control específicos, y medidas de protección de las claves criptográficas mediante las que se cifran los datos en función de los resultados de los procesos aprobados de clasificación de datos y evaluación de riesgos relacionados con las TIC;
Artículo 10
Detección
1. Las entidades financieras dispondrán de mecanismos para detectar rápidamente las actividades anómalas, de conformidad con el artículo 17, incluidos los problemas de rendimiento de las redes de TIC y los incidentes relacionados con las TIC, y para identificar los posibles puntos únicos de fallo significativos.
CUARTO.- APLICACIÓN AL CASO CONCRETO. VALORACIÓN DE LA PRUEBA.
En el interrogatorio de la parte actora Urbano describió que recibió en el móvil un mensaje presuntamente de una caja con un enlace (DOC 7 que reconoce de la demanda) y que estaba distraído con los niños y pinchó y le dirigió una página a lo que después se dio cuenta que le estaban quitando dinero. Que no sabe bien si llegó a poner las claves o se las facilitaron ellos. Que menos mal que la empleada del banco le ayudó porque por teléfono no le ayudaron nada, no le bloquearon la cuenta, y solo le mandaron a la Guardia Civil. Que tuvo que ir esencialmente la oficina.
Cuenta asimismo que parte del dinero lo recuperó en el día, como puede verse en el extracto de movimientos del documento 8 donde le reembolsaron 2.500 € de una recarga de prepago de 2000 € y de una compra de 500 Euros, pero que el resto del dinero que reclama no sabe por qué no se lo pudieron devolver y no se lo han devuelto.
De la documentación aportada por el banco en su contestación a la demanda el 1 de junio de 2022 lo que recibió en realidad el demandante no era un sms de la propia Unicaja y que por motivos de seguridad su cuenta sería inhabilitada sino que era un mensaje defraudatorio con la finalidad de vincular otros dispositivos a la cuenta bancaria.
Así puede comprobarse como las 21:56h se vincula el dispositivo "e1M4n9j0Waw" el cual a continuación intenta hacer tres transferencias que son bloqueadas. Y un minuto después se vincula un nuevo dispositivo, el "ddJbAdFrwgw" que a las 21:58h da de alta una tarjeta virtual de 3.000 € y realiza una solicitud de compra realizando a su vez más compras y que a las 22:07h el que se entiende como dispositivo fraudulento se le da de baja y se bloquea una transferencia de 1500 €. Sin embargo, mediante otro dispositivo, "f1Il_MMAcmI", se vuelve a dar de alta otra tarjeta virtual con 3.000 € y 10 minutos después otra tarjeta virtual con 2000 € apareciendo a su vez otro dispositivo, 335819D7-5415-4293-83AD- 34B3A6D5B3A4 que intervienen solicitudes de alta de tarjetas de prepago así como en compras, en transferencias e incluso en pago en efectivo en cajeros en menos de 40 minutos se envían 10 notificaciones de solicitudes de autorización de compras con tarjeta y otras 14 notificaciones de solicitudes de autorizaciones desde las 21:32 hasta las 00:19h.
Ante la ausencia de explicabilidad de manera concreta, clara y por un profesional informático perteneciente a la entidad bancaria, se entiende que lo que se produjo a la parte demandante fue una estafa de smishing, utilizando la técnica de spoofing, y con una conexión de varios dispositivos fraudulentos a su cuenta bancaria para realizar compras, cargos e incluso retiradas de efectivo de manera fraudulenta, llegando incluso a solicitar una tarjeta virtual para dificultar el seguimiento y disminuir las notificaciones en la tarjeta de la víctima de la estafa.
De acuerdo al curso de Ciberseguridad para jueces y fiscales de INCIBE junto a Formación Continua de CGPJ, el smishing Se trata de una técnica que utiliza el atacante que consiste en el envío de un SMS simulando ser una entidad legítima con el objetivo de robar datos personales y/o confidenciales, realizar un cargo económico o incluso instalar malware. Por lo general, en el mensaje se invita al usuario víctima a acceder a un enlace de una web fraudulenta, en apariencia legítima, bajo un pretexto.
Generalmente,los SMS pretenden que visitemos, bajo alguna excusa, una página web fraudulenta aprovechándose de las funcionalidades de navegación web que incorporan los móviles o smartphones, con el objetivo final de obtener claves de usuario o información personal, aunque también puede tener otros propósitos, como la venta de productos o servicios falsos o inexistentes, la infección del dispositivo móvil (smartphone),etc.
Actualmente, están en auge las fusiones entre entidades bancarias y con ellas, las campañas de SMS spoofing. Estas campañas son mensajes de texto, enviados por los ciberdelincuentes, haciéndose pasar por el banco para obtener las credenciales de acceso al mismo. El SMS no solo te pide que hagas una acción con tu banco, sino que se agrupa en la cadena de SMS con el resto de las notificaciones de autorizaciones de pago legítimas del banco
Lo que en definitiva se pretende es a través de la suplantación de la entidad bancaria, haciéndose pasar por ella, introduciendo un mensaje dentro del mismo hilo de los mensajes legítimos y verdaderos de la entidad, con un tono de urgencia, que la víctima pinche en el enlace y autorice los dispositivos del atacante para de esta manera tomar el control de la aplicación y las credenciales bancarias.
De la aplicación de la normativa al caso concreto, por parte del usuario bancario se notificó la utilización no autorizada de sus claves sin demora en cuanto que tuvo conocimiento. Llegando incluso a acudir físicamente a la oficina bancaria puesto que no recibía un trato eficaz o adecuado a su reclamación de manera telefónica. Y por lo tanto el usuario tiene derecho a la rectificación de los cargos realizados de manera indebida e ilegítima.
A este respecto, la carga de la prueba le corresponde a la entidad bancaria y no basta, que las operaciones fueron autorizadas por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones, sino que corresponderá al proveedor de servicios de pago, probar que el usuario del servicio de pago cometió fraude o negligencia grave.
Por consiguiente, nada se ha probado de que el demandante cometió fraude o negligencia grave en el uso de la aplicación bancaria. Pero es más, la trazabilidad de las operaciones que aporta la demandada puede considerarse probado que las mismas no fueron autorizadas por el ordenante, así, a pesar de que no se ha propuesto testifical por la demandada de manera concreta, clara y por un profesional informático perteneciente a la entidad bancaria sobre la documentación aportada, no obstante, de su examen se concluye que se vincularon hasta 4 dispositivos distintos en poco tiempo y que además se realizaron 24 operaciones de compras u otras órdenes bancarias como solicitudes de alta de tarjetas de prepago así como en compras, en transferencias e incluso en pago en efectivo en cajeros.
Que por lo tanto, en caso de operación de pago no autorizada, el proveedor de servicios de pago devolverá a éste el importe de la operación no autorizada de inmediato, Y lo cierto, es que el banco no explica por qué llegó poder bloquear 2.500 € de dos operaciones adeudadas En la cuenta bancaria los días uno y 2 de junio de 2022, sin embargo los cargos realizados a través de la tarjeta de crédito los mismos días, no se ha devuelto que suman la cantidad reclamada de 2.122,99 €.
Pero es más, aunque la Directiva NIS2 no haya sido traspuesta en España, el Reglamento europeo DORA ya resulta de pertinente aplicación por las entidades bancarias. Y en este sentido no se ha aportado por la entidad bancaria sus políticas de gobernanza y control de ciberseguridad, su gestión de riesgos, sus medidas de supervisión continua, medidas de detección rápida de anomalías, las comunicaciones a los clientes en caso de incidente es de ciberseguridad, y sobretodo las políticas de la entidad bancaria que limiten el acceso físico o lógico a los activos de información y activos de TIC a lo que sea necesario únicamente para funciones y actividades legítimas y aprobadas, o las políticas y protocolos para mecanismos de autenticación fuerte, basados en estándares pertinentes y sistemas de control específicos, y medidas de protección de las claves criptográficas mediante las que se cifran los datos en función de los resultados de los procesos aprobados de clasificación de datos y evaluación de riesgos relacionados con las TIC.
Tampoco nada se ha dicho ni probado sobre los mecanismos de la entidad bancaria para detectar rápidamente las actividades anómalas.
Como ya dijo, la más que reseñable e importante sentencia nº 1671/2025, de 9 de abril de 2025 de la Sala Primera del Tribunal Supremo:
Por último, en materia de ciberseguridad bancaria las buenas prácticas pasan por adoptar las medidas de seguridad necesarias para garantizar el correcto funcionamiento del sistema de servicios de pago, entre las cuales destacan las orientadas a detectar de forma automática la concurrencia de indicios de que puede tratarse de una operación anómala y generar una alerta o un bloqueo temporal (v.gr. reiteración de transferencias sin solución de continuidad, horario en que se producen, importe de las mismas, destinatarios, antecedentes en el uso de la cuenta...), o las dirigidas a incrementar el control y vigilancia cuando se han recibido noticias o alertas de un posible aumento del riesgo.
Así por ejemplo, . A este respecto, sería suficiente un control automático de determinados factores, como el número y sucesión de operaciones, el intervalo en que se ejecutan, la hora del día, su importe, entidades de destino..., para generar un aviso que reforzara los requisitos de confirmación y minimizara los posibles riesgos. No puede considerarse como normal e irrelevante que una persona que jamás efectúa operaciones de madrugada, de repente, proceda a llevar a cabo hasta diecisiete operaciones seguidas y por un importe tan elevado. Del mismo modo que el sistema rechazó dos de Bizum por exceder del máximo diario, el proveedor de servicios de pago ha de adoptar las medidas de seguridad que garanticen su correcto funcionamiento y minimicen los riesgos y los efectos nocivos de su materialización.
Llegado este punto, nos encontramos, de un lado, ante una conducta diligente del titular de la cuenta, que informó, inmediata y reiteradamente, al personal de entidad de lo que estaba sucediendo, cumpliendo la obligación que expresamente le imponía la normativa comunitaria y nacional; y, de otro lado, ante un servicio que se presta defectuosamente por el proveedor, tanto por no tomar en consideración la información recibida pese a su gravedad, como por omitir la adopción de medidas que posibilitaran la detección de eventuales maniobras fraudulentas.
Es decir, nada se ha alegado ni probado de por qué no saltaron ningún tipo de medidas técnicas de ciberseguridad, las políticas de detección rápida de anomalías o por qué cuando si llegaron a asociar hasta 4 dispositivos distintos en poco tiempo, de los cuales se desconoce su IP y origen, que no pertenecerían al usuario y que además se realizaron 24 operaciones de compras u otras órdenes bancarias como solicitudes de alta de tarjetas de prepago así como en compras, en transferencias e incluso en pago en efectivo en cajeros, en pocas horas, cuando no parece habitual ni ordinario, ni usual por parte del cliente legítimo, y se pudieron bloquear operaciones de la cuenta bancaria y reintegrarse pero no se ha hecho lo mismo de la tarjeta de crédito.
Tampoco nada se ha negado ni se ha probado en una campaña masiva o estafas consumadas que sufrieron los clientes de Unicaja, cuando se llegó a usurpar la identidad de la propia entidad y por ejemplo no consta la comunicación del ciber incidente a las entidades competentes (CERT) o la comunicación a los clientes, así como las posibles medidas que haya podido adoptar la entidad bancaria con la finalidad de reforzar las políticas y protocolos para mecanismos de autenticación fuerte, basados en estándares pertinentes y sistemas de control específicos, y medidas de protección de las claves criptográficas mediante, de tal manera que en el futuro puedan no repetirse este tipo de incidentes.
QUINTO.- COSTAS.
En materia de costas, atendiendo al principio de vencimiento objetivo del artículo 394 LEC, procede imponerlas a la parte demandada al haber visto desestimadas sus pretensiones.
VISTOS los preceptos citados y demás de general y pertinente aplicación.
