Sentencia CIVIL Nº 254/2022, Audiencia Provincial de Valencia, Sección 6, Rec 932/2021 de 13 de Junio de 2022

Encabezamiento

AUDIENCIA PROVINCIAL DE VALENCIA SECCIÓN SEXTA

ROLLO nº 932/21

SENTENCIA N.º 254

En la ciudad de Valencia, a trece de junio de 2022.

La Sección sexta de la Audiencia Provincial de Valencia, integrada por Don José Francisco Lara Romero, ha visto el presente recurso de apelación, interpuesto contra la sentencia de fecha 23 de julio de 2021 recaída en autos de juicio Verbal número 436/2021 tramitados por el Juzgado de Primera Instancia nº DOCE de los de Valencia, sobre reclamación de cantidad.

Han sido partes en el recurso, como apelante, la parte demandada BANCO DE SANTANDER S.A.,representada por Doña Isabel Domingo Boluda, Procuradora de los Tribunales, y defendido por D. Adrián Nogal Hidalgo, Letrado,

y, como apelada, la parte demandante Doña Marisa, , representada por Don José Antonio Ros López, Procurador de los Tribunales, y defendida por Doña María Ángeles Reyes Bernal, Letrado.

Antecedentes

PRIMERO.-La parte dispositiva de la sentencia apelada dice:

" 1. CONDENO a BANCO SANTANDER a abonar a Marisa la cantidad de 4.988,05 €.

2. CONDENO a BANCO SANTANDER a pagar intereses conforme al fundamento jurídico Cuarto.

3. CONDENO en costas al BANCO SANTANDER.."

SEGUNDO.- La parte demandada Banco de Santander S.a. interpuso recurso de apelación, alegando: ' PREVIA. - POSICIÓN DE LAS PARTES, PRUEBA PRACTICADA Y PRONUNCIAMIENTO DE LA SENTENCIA IMPUGNADA.

1. Pretensiones ejercitadas en el escrito de demanda

1. En el escrito de demanda interpuesto por la parte actora se interpuso demanda de juicio verbal por la que se solicitaba que se condenase a BANCO SANTANDER al abono de la cantidad de 4.988,05€ euros como consecuencia de un supuesto incumplimiento del contrato de cuenta corriente, así como de medios de pagoy banca a distancia, todo ello derivado de una serie de disposiciones fraudulentas sufridas por la Sra. Marisa.

2. Las anteriores pretensiones vienen sustentadas en el hecho de que, el pasado 26 de abril de 2020, la hija de la demandante, Doña Reyes, quien es autorizada en la cuenta de su madre, recibió un correo electrónico presuntamente remitido por parte de BANCO SANTANDER.

1

3. Además, tal y como se reconoce en la propia demanda, por parte de la hija de la demandante, se siguió el enlace de correo electrónico recibido, facilitándose en una web de apariencia similar a la de BANCO SANTANDER las claves de acceso a la Banca a distancia de manera voluntaria.

4. Así, se consumó el fraude por parte de un tercero, quien una vez que la demandante le entregó las claves, pudo realizar la operativa, cuestión pacífica entre las partes y que, de hecho, fue ratificada por la propia testigo (hija de la demandante) en el acto del Juicio.

2. Motivos por los que BANCO SANTANDER se opuso a dicha pretensión.

5. Por su parte, mi representada se ha opuesto a dicha pretensión, al entenderse que, en esencia, ha sido la parte demandante quien ha incumplido los deberes de custodia de sus claves personales y secretas y, además, en el ejercicio y uso de dichas claves, ha actuado de manera negligente facilitando de esta manera que se consume el daño. Además, se ha acreditado que las operaciones fueron registradas y contabilizadas de manera correcta, evidenciándose ello mediante la aportación de los certificados emitidos por la entidad REDSYS verificadora de dicha operativa.

6. Además, en el caso de autos, se trató también de realizar una transferencia por parte de los estafadores, pero, los mecanismos pasivos de seguridad de BANCO SANTANDER paralizaron la operativa a expensas de verificarlo con la clienta.

3. En cuanto a la prueba practicada en la instancia

7. La prueba practicada en la instancia ha consistido en; (i) la documental aportada con los escritos de demanda y contestación a la demanda; (ii) la testifical de la hija de la demandante, quien sufrió el fraude. MOTIVOS DE APELACIÓN-

PRIMERA. - ERROR EN LA VALORACIÓN DE LA PRUEBA. CUMPLIMIENTO DE LAS OBLIGACIONES LEGALES Y CONTRACTUALES DE BANCO SANTANDER. CONCURRENCIA DE NEGLIGENCIA DE LA PARTE ACTORA. INCUMPLIMIENTO CONTRACTUAL PREVIO DE LA SRA. Marisa.

1. En cuanto al error de la valoración de la prueba

8. El presente apartado se desarrolla conforme la propia Ley de Servicios de Pago establece los requisitos que deben operar en este tipo de supuestos para que la entidad bancaria sea responsable de operaciones fraudulentas como las descritas en la demanda rectora de autos. En este sentido, y siempre desde el máximo respeto al criterio de SS, la sentencia concluye sin ambages que no concurre negligencia en la figura de la hija de la demandante (que no ya de la demandante) y achaca una presunta falta de diligencia a Banco Santander, pero se prescinde de elementos probatorios tan elementales como los certificados emitidos por REDSYS, las resoluciones del Banco de España o, lo que resulta más evidente a juicio de esta parte, el contenido del correo electrónico recibido por la demandante junto con su propio testimonio en el acto de la vista. Además, si se parte de una premisa de un supuesto incumplimiento contractual, debe analizarse el contrato celebrado entre las partes, aportado como Documento Número 3 de la contestación a la demanda, y que detalla el supuesto acontecido, siendo una evidencia de que quien en sede de demanda pretende imputar un incumplimiento, es responsable de un incumplimiento previo. Por lo tanto, esta parte, y como se ha anticipado, siempre bajo el máximo respeto al criterio de SS, entiende que concurre un grave error en la valoración de la prueba por los siguientes motivos:

a) Del origen del fraude. Contenido del correo electrónico. Incumplimiento del deber de custodia de las claves de la demandante. Supuesto de Negligencia.

b) Correcto funcionamiento de los sistemas de Banco Santander.Operaciones registradas y contabilizadas correctamente. Existencia de autenticación de doble factor.

c) Cumplimiento de los deberes que impone la Ley de Servicios de Pago. Incumplimiento contractualprevio de la parte demandante.

a) Del origen del fraude.Contenido del correo electrónico. Incumplimiento del deber de custodia de las claves de la demandante. Supuesto de negligencia.

9. Como puede apreciarse en sede de sentencia, ningún tipo de análisis o valoración se realiza sobre el documento que es la base del presente procedimiento, esto es, el correo electrónico que recibió la demandante y que, a la postre, fue el causante de todos los perjuicios reclamados.Partiendo de la base de que BANCO SANTANDER jamás solicita claves, ni remite correos similares a sus clientes, con una mera lectura sin apenas atención, se evidencia que el correo ni se asemeja a ningún tipo de comunicación de BANCO SANTANDER.

10. Tampoco se valora que, antes de que se produjeran los cargos, la demandante recibió en su teléfono móvil los SMS de autenticación reforzada previos realizar cada una de las compras, algo que se desprende

2

de los Anexos I y II del Documento Número 1 de la contestación a la demanda, valoración que resulta vital para evidenciar que, todas las operaciones reclamadas, fueron autenticadas mediante SPA, es decir, mediante las claves de seguridad de BANCO SANTANDER, por lo que, necesariamente, el estafador debía conocerlas.

11. Sobre el correo electrónico remitido por el estafador, a pesar de que esta parte no va a negar que la apariencia, aunque sea 'remota', es asimilada a la de BANCO SANTANDER, resulta especialmente relevante analizar su contenido y su redacción, por no hablar, como se evidenciará a continuación, de que con carácter previo a que se produjera el quebranto económico, fue la demandante la que facilitó las claves a un tercero, vulnerando su deber de custodia.

12. Sin entrar a valorar la absurda redacción del correo electrónico, lo primero que llama poderosamente la atención es el remitente. El remitente es una dirección de correo electrónico de un dominio que nada tiene que ver con Banco Santander.

-Sin embargo, lejos de omitir cualquier tipo de actuación sobre dicho correo electrónico, o, en su caso, ponerse en contacto con el Servicio de Atención al Cliente de Banco Santander, se siguieron las indicaciones de dicho correo electrónico.

-Una vez que los estafadores se hicieron con sus claves, se produjo la operativa que se describe en la demanda, que de no haberse facilitado estas claves, jamás se habría producido.

-Naturalmente, si la demandante hubiera llevado a cabo una diligencia media en la custodia de sus claves personales e intransferibles, jamás se hubiera producido la operativa descrita. Sobre este extremo, y como se analiza en sede de sentencia, debe remitirse esta parte al artículo 46 de la Ley de Servicios de Pago :

'En todo caso, el ordenante quedará exento de toda responsabilidad en caso de sustracción, extravío o apropiación indebida de un instrumento de pago cuando las operaciones se hayan efectuado de forma no presencial utilizando únicamente los datos de pago impresos en el propio instrumento, siempre que no se haya producido fraude o negligencia grave por su parte en el cumplimiento de sus obligaciones de custodia del instrumento de pago y las credenciales de seguridad y haya notificado dicha circunstancia sin demora'.

13. Por todo lo anterior, esta parte entiende que, desde el máximo respeto al criterio de SS, se incurre en un error en la valoración de la prueba o, en su caso, en una omisión valorativa, toda vez que ningún tipo de relevancia se le da ni al correo electrónico recibido, ni a las actuaciones posteriores llevadas a cabo por la hija de la demandante, refrendadas en el acto de la vista. De todo lo anterior, se infiere indubitadamente que la demandante, sin perjuicio de los demás elementos probatorios que se examinarán a continuación, incumplió necesariamente los deberes de custodia de sus claves personales, cuestión que ha sido reconocida por la propia hija de la demandante in voce en el acto del juicio.

14. Por lo tanto, resulta más que evidente que la actora ha incumplido no solo las obligaciones contractuales asumidas con mi representada, sino que, además, se incumple la propia normativa que se pretende hacer valer a su favor (Ley de Servicios de Pago):

(...)Artículo 41. Obligaciones del usuario de servicios de pago en relación con los instrumentos de pago y las credenciales de seguridad personalizadas.

El usuario de servicios de pago habilitado para utilizar un instrumento de pago: a) utilizará el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumentode pagoque deberán ser objetivas, no discriminatorias y proporcionadas y, en particular, en cuanto reciba un instrumento de pago, tomará todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas (...)

15. Ante esta situación, mediando tanto incumplimiento de las medidas razonables que deban adoptarse sobre la custodia, como negligencia por la actuación anterior, debe desestimarse íntegramente la demanda.

b) Correcto funcionamiento de los sistemas de Banco Santander. Operaciones registradas y contabilizadas correctamente.

16. Por otra parte, entiende esta parte que nuevamente se incurre en un error en la valoración de la prueba al no dotar de valor alguno a los certificados emitidos por la entidad verificadora REDSYS y que fueron oportunamente incorporados a las actuaciones como Documento Número 1 y Anexos I y II de la contestación junto con sus anexos, que evidencian lo siguiente:

Que según los datos que obran en nuestros registros, la información sobre la operativa relativa a la tarjeta con numeración NUM000 emitida por Banco Santander realizó las operaciones que figuran en el Anexo

Que, según figura en los registros, las citadas operaciones fueron autorizadas, registradas con exactitud y contabilizadas y no se vieron afectadas por un fallo técnico o cualquier otra deficiencia

3

Que así mismo las operaciones fueron de comercio electrónico y autenticadas mediante el método de seguridad de la marca

17. Es decir, que las operaciones fueron registradas y contabilizadas correctamente, que no existió fallo técnico ni nada similar (como se ha dicho, el fallo no es en los sistemas de Banco Santander sino en la propia demandante) y que, además, han sido autenticadas mediante el método de seguridad de la marca

18. Lo anterior evidencia que BANCO SANTANDER cumple con el contenido del artículo 44 de la Ley de Servicios de Pago :

Artículo 44. Prueba de la autenticación y ejecución de las operaciones de pago.

1. Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pagodemostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago. Si el usuario de servicios de pago inicia la operación de pago a través de un proveedor de servicios de iniciación de pagos, corresponderá a éste demostrar que, dentro de su ámbito de competencia, la operación de pagofue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable.

19. De todos estos documentos, el más revelador es el Documento Número 7 que analiza un supuesto prácticamente idéntico, en el que un cliente recibe un email similar al de autos, y en el que se desestima la reclamación del cliente por los siguientes motivos, plenamente aplicables al presente caso:

(..) Pues bien, de las manifestaciones de las partes y del examen de toda la documentación aportada al expediente se deduce que las operaciones discutidas se realizaron como consecuencia de la técnica de phishing de la que parece haber sido víctima la parte reclamante, tras recibir un mensaje electrónico, bajo la apariencia de ser del Banco Santander S.A., indicándole que debía activar una clave para evitar el bloqueo de su cuenta bancaria, accediendo a un enlace donde le solicitaron determinados datos que proporcionó tal y como señala en la denuncia policial (...)

(..) En relación con los hechos que motivan esta reclamación, este Departamento no aprecia en la actuación de la entidad reclamada quebrantamiento de las normas de transparencia y protección a la clientela nide las buenas prácticas bancarias al acreditar documentalmente la autenticación, contabilización y registro de las operaciones reclamadas en los términos exigidos por la normativa de servicios de pago, quedandoelresto de la reclamación planteada, como una cuestión que sólo podrían resolver los órganos judiciales que resultaren competentes para ello. (..)

20. Claro que se somete a los Tribunales la cuestión, como se deduce de las presentes actuaciones, pero no debe dejarse de lado que no puede concluirse de manera arbitraria que, como se produjo un fraude en la figura de la demandante, BANCO SANTANDER deba ser 'automáticamente' responsable de dicha operativa, máxime cuando se parte de la premisa del incumplimiento de los deberes de custodia inherentes a la propia demandante.

21. Además, si se pusiera en tela de juicio que el certificado de REDSYS sólo acredita que se hanregistrado y autenticado las operaciones analizando el sistema interno de la entidad, basta con remitirse a las resoluciones del Banco de España, que, analizando este sistema interno, concluyen que ningún tipo de incumplimiento de la normativa bancaria debe reputarse a BANCO SANTANDER.

22. Por lo tanto, el origen de este procedimiento no es cualquier tipo de incumplimiento de BANCO SANTANDER de sus obligaciones tanto legales como contractuales, sino que, simple y llanamente, la demandante, en una actitud que, siempre desde el debido respeto, es cuanto menos negligente, fue objeto de una actividad ilícita tendente a provocar ese quebranto económico, pero del que, como se ha dicho, ningún tipo de responsabilidad tiene BANCO SANTANDER.

c) Cumplimiento de los deberes que impone la Ley de Servicios de Pago. Incumplimiento contractual de la demandante y/o de su hija. Incongruencia de la sentencia.

23. El presente procedimiento tiene una particularidad que en sede de sentencia no ha sido tenida en consideración. Por la parte actora se ejercitan acciones de incumplimiento contractual, cuestión que, sibien puede debatirse la concurrencia o no de tal supuesto, no puede abordarse sin examinar que la parte actora también tiene obligaciones contractuales, y que, de hecho, las ha incumplido.

24. La sentencia concluye que, como la demandante informó rápidamente de los fraudes no puede reputarse negligencia o incumplimiento, algo que esta parte puede llegar a compartir parcialmente, pero que sin ningún lugar a dudas genera una incongruencia omisiva en la sentencia ya que no se analizan los hechos descritos en las páginas 2 a 5 de la contestación a la demanda.

4

25. La hija de la demandante, quien es autorizada en su cuenta, fue la primera de las partes que incumplió sus deberes contractuales y legales, y fruto de dicho incumplimiento, ocurrieron los hechos objeto de litis. A este respecto, conviene revisar el contenido del contrato aportado como Documento Número 3 de la contestación a la demanda, en concreto, el apartado referente a los deberes de custodia que debe cumplir el cliente:

26. Esta cláusula la incumple flagrantemente la parte actora, y es el origen de todo este procedimiento, por lo que como resulta lógico y coherente, no puede imputarse un incumplimiento contractual a BANCO SANTANDER que despliegue cualquier indemnización sin haber ponderado las circunstancias de cadacaso.

27. Evidentemente, SS debería haber valorado que si la demandante entrega voluntariamente sus claves, las compras se registran y contabilizan adecuadamente y es la demandante quien entrega voluntariamente sus claves, no puede imputarse falta de diligencia a BANCO SANTANDER que provoque una indemnización a favor del cliente.

28. Por último, conviene destacar que la base de la tesis de la Juzgadora es que, como BANCO SANTANDER detectó la transferencia fraudulenta, y la demandante avisó de los hechos a la entidad, esta debe arrostrar con las consecuencias de los actos de la Sra. Marisa. Con el debido respeto a SS, ese argumento carece de validez jurídica, ya que en ningún precepto de la normativa se indica que la entidad deba asumir las responsabilidades del uso indebido de las claves de seguridad por parte del cliente cuando, precisamente, empleando mecanismos de seguridad pasivos, se haya detectado una transferencia sospechosa. SEGUNDA. - INDEBIDA APLICACIÓN DE LA LEY y LA DOCTRINA JURISPRUDENCIAL EXISTENTE AL PRESENTE SUPUESTO.

29. A pesar de que este tipo de supuestos de 'phishing' son, a priori, novedosos, ya existen múltiples resoluciones judiciales en el ámbito nacional que han tenido ocasión de examinar supuestos prácticamente idénticos al de autos. Además, conviene destacar que el régimen de responsabilidad 'cuasi-objetiva' que pretende la parte actora no concurre en los citados términos. A este respecto, conviene destacar dos pronunciamientos muy recientes que resultan absolutamente

Página 10 de 17

clarificadores al respecto, ya que, de hecho, guardan una intrínseca relación con el presente procedimiento:

30. La SAP Zaragoza (Sec. 4ª) nº 179/2021 de 27 de mayo de 2021 , que confirma la Sentencia nº 277/2020 de 28 de diciembre de 2020 dictada por el Juzgado de Primera Instancia nº 19 de Zaragoza , determina la ausencia de responsabilidad de la entidad Bancaria en un caso prácticamente idéntico:

QUINTO. - Pues bien, las circunstancias del caso han sido adecuadamente ponderadas en la instancia. Aunque resultan algunas incertidumbres que el perito judicial detalló, es lo cierto y seguro que facilitar todos los datos que permitían la verificación y claves de la cuenta al defraudador, aunque fuera mediante la simulación que realizó el tercero, fue un comportamiento descuidado que causalmente fue determinante que los defraudadores pudieran acceder a mecanismos de suplantación, ahora de la identidad del usuario titular y ordenante, y hacer efectiva la orden de pago. En esos términos, por más que al prestador del servicio se le haga responsable casi de una obligación de resultado, la distribución del riesgo del fraude nose puede hacer recaer sobre el mismo.

Y en este punto, conviene destacar el FD II de la Sentencia 277/2020 de 28 de diciembre de 2020 del Juzgado de Primera Instancia Nº 19 de Zaragoza confirmada por la que se acaba de reflejar, que establece lo siguiente:

Así, existiendo motivos razonables para sospechar la existencia de fraude, decae la obligación de la entidad demandada de reintegrar la suma objeto de la defraudación al usuario, por cuanto la conducta fraudulenta hubo de contar, para su perfeccionamiento y consumación, con la negligencia de quien, obligadoa preservar los datos y a tomar todas las medidas razonables a fin de proteger los elementos de seguridadpersonalizados de la tarjeta, ofreció dichos datos sensibles a un desconocido a lo largo de casi tres horas, lapso temporal que permitió la culminación de la estafa.

31. Naturalmente, estos pronunciamientos evidencian que no puede reputarse una suerte de responsabilidad automática sin analizar el caso de manera que se ponderen todos los elementos, como ha ocurrido en este caso.

32. La Audiencia Provincial de Cáceres en su Sentencia N.º 707/2019, de fecha 12 de diciembre de 2019 (Sec. 1ª, rec. 933/2019 ) sobre la valoración de la prueba y la correcta diligencia de la entidad bancaria: '(...) ha quedado cumplidamente acreditado por el banco demandado que los reintegros se efectuaron con la tarjeta original y marcación de número secreto, aportándose a tal fin no solo el certificado expedido por la sociedad de sistemas de tarjetas y medios de pago, al que se incorporaba la información registrada por la

5

entidad procesadora de la tarjeta REDSYS SERVICIOS DE PROCESAMIENTO, sino también el testimonio de D. Avelino, a la sazón responsable del Área Jurídica y Recursos Humanos y miembro del Consejo de Administración de SISTEMAS DE TARJETAS Y MEDIOS DE PAGO SA, quien aseguró que no es posible la falsificación del chip, que viene encriptado de principio a fin y es imposible la falsificación del mismo. Manifestación y aseveración esta que devino corroborada por el testigo de la Unidad Central de Fraudes de Banco Santander, D. Bernardo. (...) Por otro lado, el PIN o número secreto no se puede obtener de la propia tarjeta originaria y, como ha quedado documentalmente acreditado, dicho PIN -siempre necesario para extracciones en cajero automático- fue correctamente tecleado. Desde lo dicho, y como veníamos a colegir en la sentencia de esta Sala invocada por el recurrente, sentencia de fecha de fecha 4 de octubre de 2012 , es obvio que las disposiciones las ha efectuado (el actor) o alguien de su entorno, lo que es indiferente, porque en uno y otro caso, siempre responde (el) titular del contrato de la tarjeta.

Por último, no cabe apreciar falta de diligencia en el banco demandado por la no adopción de medidas complementarias de control y/o vigilancia cuando la entidad cumplió con todas las establecidas y no consta que las extracciones superaran, en su caso, el límite convenido. En estas circunstancias resulta de aplicación

-ciertamente- lo declarado por la sentencia de la Audiencia Provincial de Madrid (sección 19ª), de fecha 20 de noviembre de 2009 , citada por la apelante y reiterada en sentencias posteriores como la de la sección 8ª de la misma Audiencia Provincial de Madrid, de fecha 15 de diciembre de 2011 , en el sentido de que 'La responsabilidad de la entidad bancaria, incluso en el marco de la legislación de protección de consumidores y usuarios, tiene que situarse dentro de la razonabilidad y de la incursión en culpa o negligencia, pormínima que sea; pues de faltar este aporte causal de la entidad bancaria, como ocurre en nuestro caso, no será posible dar el salto hacia una responsabilidad objetiva que no quiso el legislador en el supuesto que se estudia'.

33. En el mismo sentido se ha pronunciado la Audiencia Provincial de Pontevedra en Sentencia N.º 512/2020 de 1 diciembre (Sección 6 ª):

'La relevancia de la cuestión atinente al dispositivo desde el que se habría realizado la operación de transferencia se evidencia si consideramos que en la demanda únicamente se refería el acceso fraudulento de un tercero al ordenador del demandante para realizar una limpieza de virus, sin referencia alguna a la utilización indebida del teléfono móvil del demandante, y que, como resulta de las explicaciones dadas en el acto de juicio por don Camilo, autor del informe de fraude aportado, para la realización de la transferencia era necesario disponer físicamente del dispositivo móvil, acceder a la aplicación de banca electrónica, introducir el PIN y teclear la operación. Tampoco en el recurso se llega siquiera alegar que el teléfono móvil del demandante hubiera sido indebidamente utilizado por un tercero para realizar la transferencia En tales circunstancias fácticas de realización de la transferencia desde el teléfono móvil del demandante del que ni siquiera se alega uso indebido por un tercero necesariamente habrá de considerarse que la operación se realizó encontrándose en su poder tanto el dispositivo desde el que se accedió a la aplicación usada para la operación como las credenciales personales de seguridad que permitieron autenticarla, por lo que carecían ya de relevancia las alegaciones del recurso sobre las operaciones de comprobación de la legitimidad de la orden de pago que se dice debía haber realizado la entidad bancaria en atención al destino o importe de la transferencia.

En el desarrollo de la segunda de las razones por las que en el recurso se estima que debía haberse apreciado la responsabilidad de la entidad bancaria ( no revertir la orden realizada fraudulentamente por los estafadores cuando toma conocimiento de una situación operativa anormal ) se comienza con la cita del artículo 43 del RDL 19/2018 (RCL 2018 , 1579) por lo que importa considerar que la citada norma regula el derecho del usuario de servicios de pago de obtener del proveedor de tales servicios la rectificación de aquellas operaciones no autorizadas o ejecutadas incorrectamente siempre que la petición se comunique sin demora injustificada . La rectificación o anulación de la orden de pago supone que el banco deberá proceder, de forma inmediata a recibir la petición del usuario, a realizar las labores oportunas para dejarla sin efecto lo que supondrá, en el caso de que la petición del usuario se hubiese realizado cuando todavía el dinero se encontrara en la cuenta bancaria a la ausencia de realización del movimiento solicitado en su día, o, en el caso en que la comunicación del usuario fuese realizada cuando los fondos ya se hubiesen transferido a la cuenta bancaria del beneficiario, a iniciar el procedimiento de retrocesión, solicitando, también sin demora, de la entidad bancaria en la que ésta se encuentre abierta la devolución de la cantidad transferida.'

34. Además, la Audiencia Provincial de Madrid en Sentencia N.º 370/2020 de 16 noviembre (Sección 11 ª), expone lo siguiente sobre la valoración de la prueba en los casos de phishing:

6

'Y en cuanto al motivo de recurso que refiere error en la valoración de la prueba igualmente se revela de la revisión de lo actuado que ninguna razón asiste a la recurrente en tanto, de la documentación aportada, consistente en las propias denuncias, la reclamación al Banco de España y el expediente generado con la misma, se desprende con claridad que no podía adoptarse otra solución distinta que considerar la propia falta de diligencia de la demandante en relación con la custodia y reserva de los distintos elementos de pago que han servido para realizar las disposiciones de efectivo que se consideran indebidamente autorizadas, tanto por medio de tarjeta de crédito o débito, cuando se trata de un elemento que lleva chip y para cuya utilización se requiere la introducción de un pin secreto que únicamente está a disposición del usuario y requiere la reserva y custodia por parte de éste, o las necesarias autorizaciones por el sistema HALCASH, ello sin necesidad de abundar en las revelaciones que se detectan en cuanto al destinatario de determinadas disposiciones, por lo que en definitiva y en correcta aplicación del artículo 32 de la Ley 16/2009 de 13 de noviembre (RCL 2009, 2193y RCL 2010, 1119) , de Servicios de Pago, en cuanto dispone 'El ordenante soportará el total de las pérdidas que afronte como consecuencia de operaciones de pago no autorizadas que sean fruto de su actuación fraudulenta o del incumplimiento, deliberado o por negligencia grave, de una o varias de sus obligaciones con arreglo al artículo 27', recogiéndose en ese artículo 27 que 'Obligaciones del usuario de servicios de pago en relación con los instrumentos de pago. El usuario de servicios de pago habilitado para utilizar un instrumento de pago deberá cumplir las obligaciones siguientes: a) utilizar el instrumento de pago de conformidad con las condiciones que regulen su emisión y utilización, en particular, en cuanto reciba el instrumento de pago, el usuario deberá tomar todas las medidas razonables a fin de proteger los elementos de seguridad personalizados de que vaya provisto...' para entenderque en el presente caso la demandante había de soportar el total de las disposiciones efectuadas, precisamente por no adoptar ninguna medida de protección de los elementos de seguridad que, en principio y salvo actuaciones fraudulentas que aquí no se han detectado, imposibilitan a terceros no autorizados a realizar operaciones por los medios de pago referidos y, en consecuencia necesariamente había de desestimarse la demanda, decisión que debe confirmarse en su integridad con desestimación del recurso.'

35. La Sentencia de la Audiencia Provincial de las Palmas, Sección Quinta, de fecha 20/12/2012 , establece: 'SEGUNDO.- Habida cuenta de que la demandante admite en su escrito de interposición del recurso de apelación (página 4) que fue víctima del phishing actividad enmarcada dentro de las estafas informáticas y consistente, entre otras, del envío de un correo electrónico que suplanta la imagen oficial de la entidad financiera Y QUE SOLICITA AL RECEPTOR QUE INTRODUZCA LOS DATOS DE IDENTIFICACIÓN, CLAVE Y NUMERO DE TARJETA DE CRÉDITO, y no siendo controvertido que en la fecha del suceso las exigencias de la banca telemática en general conforme al contemporáneo estado de la técnica bastaba al cliente para operar con su cuenta a través de Internet que introdujera su clave y numero de usuario, Y QUE ESTAS ERAN LAS REGLAS DEL SERVICIO ACEPTADAS POR EL CLIENTE, SI ESTE INCURRIÓ EN ERROR PROVOCADO POR UN TERCERO AJENO AL BANCO Y LE FACILITÓ, ENGAÑADO, LAS CLAVES A ESE DELINCUENTE, Y LO CONVENIDO ENTRE AL DEMANDANTE Y EL BANCO ERA QUE ÉSTE EJECUTARA LAS ÓRDENES QUE RECIBÍA UTILIZANDO ESE MECANISMO, NO SE ATISBA INCUMPLIMIENTO CONTRACTUAL ALGUNO IMPUTABLE A LA ENTIDAD BANCARIA y , por lo tanto, fue correcta su absolución, por no haber incurrido en el comportamiento proscrito por el artículo 1.101 del Código Civil . Por otro lado ha de observarse que EN TODOS LO MEDIOS DE COMUNICACIÓN Y ENLA MISMA RED SIEMPRE SE HAN DIFUNDIDO Y DIVULGADO LOS PELIGROS de toda índole que acechaban a estos novedosos y prácticos sistemas de banca electrónica, y que a base de experiencias desagradables, como la que es objeto del caso aquí reexaminado, se ha ido progresando e implementando medidas de seguridad más eficaces como las tarjetas de coordenadas O LOS MENSAJESSMS AL CELULAR DE CLIENTE PARA OBTENER SU RESPUESTA CONFIRMATORIA'.

36. Además, la Audiencia Provincial de Sevilla, Sección Quinta de fecha 26/05/2014, con la ponencia de JUAN MARQUEZ ROMERO, que determina:

'CUARTO. - En cambio, la Sra. Eulalia ACTUÓ CON GRAVE NEGLIGENCIA, AL UTILIZAR LA

BANCA ELECTRÓNICA de la demandada sin atenerse a las condiciones que regulaban su uso, YA QUE NO ADOPTÓ LAS MEDIDAS RAZONABLES PARA PROTEGER LOS ELEMENTOS DE SEGURIDAD DE LA

MISMA, propiciando que el fraude se cometiera. Pese a que hacía ocho años que ella y su marido venían operando en su cuenta corriente con el sistema de banca electrónica de la demandada, con el que puede decirse que estaban familiarizados, no observaron, sin embargo, con ocasión de los hechos de autos, la más mínima diligencia que les era exigible, dando lugar, con grave negligencia, a que se produjera el fraude del que fueron víctimas.

7

QUINTO.-Ante todo, en la pantalla de inicio de la página web de BarclaysNet, constaba una pestaña que llevaba a otra con normas de seguridad que deben observar los usuarios de tal sistema de banca, en la que, precisamente, se informaba ampliamente de la posibilidad de sufrir fraudes por internet, los llamados ataques 'phishing', como el que ha tenido lugar en este caso, en los que terceras personas suplantan la identidad de la entidad de crédito para conseguir apropiarse de datos confidenciales de los usuarios con los que poder disponer, después, de sus cuentas.

Aparte de ello, se da la circunstancia de que, en esa misma pantalla de inicio, con la rúbrica en mayúsculas de 'aviso importante' y justo debajo de las casillas reservadas para que el cliente introdujera sus datos de usuario y contraseña, como se aprecia en la última página del documento número 5 de los acompañadosa la demanda, figuraba claramente la advertencia de que 'Barclays nunca le pedirá más de una coordenada de seguridad, ni por correo, ni en la web', refiriéndose a la tarjeta individualizada de coordenadas de seguridad que la entidad entrega a sus clientes para poder operar con sus cuentas a través de Internet y que obliga a que, para cualquier operación que no sea la mera consulta de saldo, tengan que introducir una de esas coordenadas, que de forma aleatoria le es requerida.'

37. Además, de manera reciente, se ha dictado Sentencia por el Juzgado de Primera Instancia Nº 1 de Barakaldo Nº 188/2021 de 28 de junio de 2021 (Sentencia firme) en cuyo FD III, se determina lo siguiente en un caso en el que el Banco sí detectó parte de la operativa fraudulenta:

De la prueba practicada, por tanto, se desprende que no cabe apreciar falta de diligencia en el banco demandado por la no adopción de medidas complementarias de control y/o vigilancia cuando la entidad cumplió con todas las establecidas, incluso bloqueando la tarjeta al detectar movimientos u operaciones poco habituales y facilitando a la actora el teléfono de contacto de la entidad para verificar si las operaciones eran correctas; debiendo traer a colación la SAP de Madrid, sección 8ª, de 15 de diciembre de 2011 , en el sentido de que 'la responsabilidad de la entidad bancaria, incluso en el marco de la legislación de protección de consumidores y usuarios, tiene que situarse dentro de la razonabilidad y de la incursión de culpa o negligencia, por mínima que sea; pues de faltar este aporte causal de la entidad bancaria, como ocurre en nuestro caso, no será posible dar el salto hacia una responsabilidad objetiva que no quiso el legislador en el supuesto que se estudia'.

38. Es decir, el trato que le han dado las distintas Audiencias Provinciales al supuesto como el de autos es similar, y es que, mediando los requisitos de autenticación,

registro y contabilización, e incumpliendo los deberes de custodia en casos de recepción de comunicaciones electrónicas, no es imputable responsabilidad alguna a la entidad bancaria demandada.

TERCERA. - CONSIDERACIONES FINALES-COROLARIO.

39. En conclusión, a las manifestaciones y motivos descritos en el presente escrito, esta parte considera necesario realizar un breve corolario de los hechos probados en el presente procedimiento y que conducen, a juicio de esta parte, a la estimación del presente recurso y, en consecuencia, desestimación íntegra de la demanda:

La demandante recibe un email el 26 de abril de 2020, cuyo remitente es un dominio s_acuenta_h_elenaag@bancosantander.co , solicitándole que siguiera un enlace para verificar su identidad de la cuenta. Este remitente, como resulta evidente, nada tiene que ver con BANCO SANTANDER.

Seguidamente, accede a una web de apariencia similar a la de Banco Santander e introduce sus claves personales de acceso a la Banca Online y su DNI.

Una vez se adueña el tercero de esas claves, se realizan una serie de pagos a través de internet utilizando las credenciales de la demandante, algo que como se ha acreditado, se hizo sin incidencias en el sistema de BANCO SANTANDER ya que las operaciones fueron registradas y contabilizadas correctamente cuestión acreditada con los certificados acompañados como 'Documento Número 1'.

La demandante (o su hija) incumplió los deberes de custodia de sus claves personales, en una clara actitud negligente ya que, con una simple lectura del correo, se hubiera podido comprobar la falsedad de este, todo ello sin perjuicio de que, lejos de llamar al Servicio de Atención al Cliente, se siguieron los pasos de dicho correo.

BANCO SANTANDER no ha incumplido el contrato en ningún momento, es más, como se ha acreditado, es la parte actora quien incumplió la cláusula 9ª del contrato.

En consecuencia, BANCO SANTANDER no es responsable de las operaciones reclamadas ya que no ha incumplido ni una sola norma de las citadas en el escrito de demanda y que resultan de aplicación al supuesto.

8

40. Es decir, estando las operaciones sometidas a autenticación reforzada, y habiéndose evidenciado documental y testificalmente que la demandante incumplió los deberes de custodia de sus claves personales, así como su actuación negligente, procede desestimar íntegramente la demanda.

Terminaba solicitando que, previos los trámites legales, se dicte sentencia por la que se estime el recurso de apelación y se acuerde la revocación de la sentencia recurrida por los motivos de infracción que se aducen y, en su lugar, dicte otra por la que se desestime la demanda rectora de autos con expresa imposición de costas.

TERCERO.- La defensa de la parte apelada presentó escrito de oposición al recurso

argumentando:PREVIO.- RELACIÓN DE HECHOS Y PARTES

Que Marisa, de 82 años de edad, es titular de la cuenta bancaria en la entidad SANTANDER acabada en NUM001 y de la tarjeta de débito acabada en NUM000. Que su hija Reyes, debido a la avanzada edad de su madre, es la que ayuda y gestiona la cuenta de su madre, constando ésta como autorizada en la cuenta.

El 26 de abril de 2020, Reyes recibe un correo electrónico bajo el dominio de

@bancosantander.com, por lo que accede al enlace de la supuesta entidad bancaria y que redirigió a una página similar a la oficial, solicitándole su clave, con motivo de verificación de la cuenta. Nada sorprendió dicho hecho a Dª Reyes, ya que días atrás había cometido errores en la identificación de acceso a la cuenta. Pero para sorpresa de la misma estaba siendo engañada por un acto de Phishing, un problema actual, conocido, y que más adelante explicaremos con detalle.

Es al día siguiente, 27 de abril de 2020 cuando SANTANDER S.A. se pone en contacto con Reyes para verificar y confirmar una transferencia de 5.460 euros a Sonsoles. A lo que Reyes hace constar su disconformidad e indica que ni siquiera recibió SMS alguno con el código de autorización, con lo que no fue realizada ni por la titular ni por los autorizados. Al tratarse de una víctima de Phishing, se le comunica desde la entidad que se va a activar el protocolo antifraude, el cual supone la anulación de dicha transferencia y el bloqueo de la cuenta. Y se les informa de que debe interponer denuncia por Phishing y presentar copia en la entidad, para su completa efectividad.

El 28 de abril, es decir, al próximo día, Dª Reyes se persona en la entidad bancaria con todos los documentos necesarios (entre ellos la denuncia ante la Policía) y firma así el bloqueo de la cuenta, que se haría efectiva desde ese momento.

Pero nada más lejos de la realidad, pues ese mismo día (28 de abril) a partir de las 23:00, mi representada comenzó a recibir un aluvión de SMS informando de diversos cargos por compras que ascendían a una cantidad de 4.988,05 euros y cuyo origen provenía de los Países Bajos, Francia y Lituania. Datos más que suficientes como para que la entidad bancaria reaccionase ante tales operaciones cuanto menos sospechosas de fraude, y más si tenemos en cuenta que ellos mismos activaron el protocolo antifraude por unas operaciones idénticas el día anterior, y dicha cuenta debía estar bloqueada, según informaron.

Aun así, la contraparte se opone a la sentencia, y se declara totalmente exonerado de su responsabilidad por un claro incumplimiento de contrato en la gestión de transferencias fraudulentas, intentando ahora confundir a este Tribunal, culpando a mi representada de no tomar las medidas necesarias de custodia de sus claves, cuando en todo momento hablamos de una víctima de Phishing, y que es el propio sistema de seguridad del banco SANTANDER el que no cumple con su objetivo, que es tener la cuenta totalmente bloqueada en aras protección de la misma y así evitar nuevos ataques. Pero ello no resulta, dado que a mi representada le vuelven a extraer de su cuenta dicho cargo de 4.988 euros.

Teniendo en cuenta la correcta actuación de mi representada, conforme a la obligación como usuario del art. 41.b, que implica ponerse en contacto con la entidad en cuanto se tenga conocimiento de ello. Y que en el caso en cuestión, es apreciable que dicha actuación de mi

9

representada no transcurre ni un plazo de 24 horas. Pero no hay que olvidar que el Banco SANTANDER también tiene una serie de obligaciones para proteger la cuenta, las cuales vulnera de manera clara, y, entre las que destacan:

Se cerciorará que las claves de seguridad sólo sean accesibles para el usuario (art. 42.1.

a).

Impedirá cualquier utilización del instrumento de pago una vez efectuada la notificación

en virtud del artículo 41.b. (art. 42.1.e).

Soportará los riesgos derivados del envío de un instrumento de pago al usuario de servicios de pago o del envío de cualesquiera elementos de seguridad personalizados del mismo. (art. 42.2).

Devolverá el importe de la operación no autorizada de inmediato, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación. Restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en

el que se habría encontrado deño haberse efectuado la operación no autorizada (art.45.1).

Pero como observamos, la pasividad y el desentendimiento de la entidad bancaria por su incorrecta actuación es más que clara, pues aun siendo capaces de detectar la fraudulenta y no autorizada transferencia de 5.460euros del 26 de abril, activando protocolo antifraude el 27 de abril y

confirmando el 28 de abril el bloqueo de la cuenta y restitución de la operación, no son capaces de detectar el cargo de compra de esa misma noche (el cual cuadriplica el límite diario, y cuyos destinos son a países como Lituania y Países Bajos) y que se realiza con la cuenta que debería de estar bloqueada, de una clienta de 82 años de edad.

Lo que se debe aclarar es que la pretensión de la demanda es por los hechos acaecidos a partir del 28 de abril, que es cuando estando bloqueada la cuenta, se vuelve a realizar un cargo de compra de casi 5.000euros, de forma injustificada por parte del Banco.

La contraparte pretende achacar el problema a la custodia de claves del día 26 de abril cuando mi representada fue víctima de engaño Phishing, que ellos mismos detectan y activan el protocolo antifraude. El 28 de abril cuando queda totalmente bloqueada la cuenta, mi representada no hizo uso de sus claves ni las facilitó a ningún tercero, pero aun así el actor del ilícito de Phishing sí pudo acceder de nuevo y realizar las transacciones pertinentes. Es en este momento cuando cantidad bancaria no quiere hacerse responsable de su error en la protección de la cuenta y cancelar la transferencia de 4.988 euros, llegando a hacerse efectiva por la inactividad del Banco SANTANDER,

a pesar de que mi representada acudiese la mañana siguiente (habiendo tiempo para cancelar la orden de pago, que no resultaría efectiva en las cuentas de destino hasta el 30 de abril) a los cargos que se le comunicaron por SMS a partir de las 23:0 de la noche.

MOTIVOS DEL APEANTE A LOS QUE NOS OPONEMOS:PRIMERA.- VALORACION DE LA PRUEBAI. EN RELACION AL FRAUDE O NEGLIGENCIA GRAVE:

El Banco Santander pretende hacer creer a este Tribunal que existe una negligencia grave en relación al deber de custodia de claves, y que por ello pretenden exonerar su responsabilidad en atención al art. 46Ley de Servicios de Pago. Es decir, según la contraparte existe error de valoración en relación con el correo electrónico ya que asegura ser el causante de TODOS los perjuicios económicos. Pero dicha afirmación es del todo incorrecta, ya que acusar a Dª Reyes una negligencia grave por facilitar a terceros sus claves es un supuesto que no se da, dado que:

El Art. 45 de la LSP dice que cuando se ejecute una orden de pago no autorizada el banco debe devolver al cliente el importe de la operación.

Y es que el cliente no facilita las credenciales de seguridad de forma libre y consciente, pues es víctima de una estafa cibernética(tipificada en el C.P en su art.248.2.) sin saber que ese

10

tercero (phisher) va a ordenar un pago, sino que lo hace de forma viciada, movido por un engaño. Por ese motivo, hay un vicio en la voluntad del cliente que anula su consentimiento. Pues el cliente facilita a 'su banco' las credenciales de seguridad sin saber que detrás hay un phisher que ordenará los pagos que se reclaman. Con lo que, más que anular, no existe consentimiento, porque no sabía que le facilitaba las claves a un tercero (pensaba que lo hacía al banco), con lo que no hay consentimiento del cliente para ordenar esos pagos y mucho menos una negligencia por su parte.

El supuesto de una negligencia grave 'consiste en no proceder ni siquiera con la más elemental diligencia' o en 'la más grave falta de diligencia, no hacer lo que todos hacen, no prever lo que todos prevén', y en la mayoría de las ocasiones el usuario es objeto de un fraude con capacidad para engañar a una generalidad de personas por tanto no se considera que actúe con grave negligencia. Y así es el caso que nos atañe, en el que mi representada, siendo víctima de Phishing es engañada y estafada, aunque es sabida y comprobadas rápida actuación.

Debemos indicar de nuevo, que mi representada ha guardado todas las medidas razonables y necesarias para salvaguardar la operativa de la banca a distancia o trámites online con la entidad.

Ya que mi representada nunca ha hecho copia, ni fotos, ni ha reproducido por ningún medio la tarjeta de coordenadas. En ningún momento ha realizado uso fraudulento de sus códigos de

autorización, ni ha realizado otras operaciones que las que se han detallado anteriormente y que en nada coinciden con aquellas sobre las que se reclama la responsabilidad de la entidad. Es más, ha mantenido informada a la entidad, en todo momento y de forma inmediata, de los acontecimientos puestos en conocimiento de la policía, así como de las investigaciones realizadas. Juicio

Hay que tener en cuenta que las cláusulas de exoneración de responsabilidad de las entidades bancarias por uso fraudulento delas claves y contraseñas del cliente fueron consideradas abusivas por el Tribunal Supremo( Sala Primera de lo Civil) en sentencia de fecha 16 de diciembre de 2009 con el argumento principal de que 'son las entidades de crédito las que deben ser diligentes para detectar los usos indebidos de las claves de los clientes de conformidad a la experiencia y medios técnicos disponibles'.

Como con claridad expresaba la sentencia del Juzgado de Primera Instancia número 2 de Castellón de fecha 25 de junio de 2008 ( FJ6), con apoyo en la dictada en la sentencia de la Audiencia Provincial de Madrid, Sección 13, de 11 de febrero de 2005:'no es dado imponer al consumidor la renuncia indiscriminada al derecho que le pueda asistir para reclamar, frente a la entidad que le proporciona los medios técnicos necesarios para una mejor o más cómoda prestación de sus servicios, en aquellos supuestos en los que, no mereciendo la consideración de caso fortuito o fuerza mayor, así como los efectivamente imputables a la entidad bancaria, le ocasionen daños y/o perjuicios'-.

Tampoco hay que olvidar que debe ser la Entidad Bancaria quien debe demostrar, teniendo en su tejado la carga de la prueba, la negligencia grave del usuario. Pues viene expuesto en el Real Decreto-Ley 19/2018, de 23 de noviembre, de Servicios de Pago y otras medidas urgentes en materia financiera, en su art. 31. Por otro lado, el 26 de abril mi representada sufrió un acto de Phishing, pero una vez el banco conoce de éste, es su malfuncionamiento el causante de ese segundo desfalco de dinero que se reclama, acaecido el 28 de abril (cargos de compras de 4.988euros a las 23:00).Ya que confirman haber activado el protocolo antifraude y bloqueo de la cuenta al detectar ellos mismos y cancelado la primera transferencia fraudulenta de 5.460 euros del27 de abril.

Con lo que, obviamente, poco valor se le dio al correo electrónico en la sentencia, puesto que las cantidades que se reclaman son las que se producen el día 28 de abril, momento en el que ya había detectado el banco movimientos sospechosos el 26 de abril y activa su protocolo de seguridad, el cual parece no ser ejecutado, ya que el Banco confirma a mi representada y cliente de la contraparte que su cuenta estaba bloqueada.

11

Con lo cual, no cabe duda que la irresponsabilidad y falta de diligencia del Banco Santander en la protección de la cuenta de mi representada, tal y como se le vino comunicando que estaba bloqueada, es la única causa del perjuicio económico producido...Que de todos modos, explicaremos en el siguiente apartado.

I. EN RELACIÓN AL FUNCIONAMIENTO DE LOS SISTEMAS DEL BANCO SANTANDER

Pretende respaldar su exoneración en referencia a la valoración de los certificados de REDSYS, que lo único que confirman es que las operaciones fraudulentas que se realizaron, fueron registradas y contabilizadas en el sistema del Banco.

Como se extrae literalmente de la Sentencia de la Audiencia Provincial de Alicante no 107/2018: 'El proveedor de los servicios de pago (la Entidad Bancaria) 'debe implementar las medidas necesarias para asegurar la autenticación e identidad del ordenante a la horade prestar su consentimiento. Por ello y para su ejecución, el banco debe comprobar en todo caso la autenticidad de la orden'; 'la responsabilidad en estos supuestos no puede atribuirse directamente al supuesto ordenante de la transferencia por entenderse ésta autorizada al haberse realizado de acuerdo con los sistemas de autenticación del banco.

Los sistemas de autenticación se establecen por los proveedores de servicios de pago y si un banco no ha sido capaz de limitar el acceso al canal de banca electrónica no puede pretender que el presunto ordenante víctima de esta práctica fraudulenta sea el único responsable, pues es el banco quien tiene responsabilidad respecto del buen funcionamiento y la seguridad del mismo'. Y es que en el caso que nos atañe, no se llevan a cabo medidas de autenticación como son los SMS con un código para confirmar la titularidad de la cuenta

Es por ello que en el Recurso presentado nada comenta sobre el hecho de que mi representada en ningún momento recibió en su teléfono móvil ningún tipo de SMS con código secreto para autorizar los cargos en cuestión, pues directamente le llegaron SMS de los cargos ya realizados.

En cualquier caso de 'phishing' resulta incuestionable que los cibercriminales han conseguido burlar los sofisticados controles informáticos implantados por las entidades bancarias, y han suplantando la identidad de sus clientes utilizando los datos confidenciales que solo el cliente de la entidad de crédito conoce. Por estos motivos las entidades prestadoras del servicio de banca online deben dotarse de medidas suficientes que garanticen al usuario la seguridad de las operaciones por lo que, en el supuesto de insuficiencia o mal funcionamiento de las adoptadas, deben ser las entidades bancarias las que asuman las consecuencias derivadas de los fallos de seguridad del sistema.

Y volvemos a hacer hincapié en el mal funcionamiento del sistema del Banco, ya que una vez el propio sistema de seguridad del Banco avisa de movimientos fraudulentos y se activa el protocolo antifraude con su consecuente bloqueo de cuenta, es cuando se sufre el perjuicio económico reclamado de 4.988 euros, el 28 de abril.

De la Sentencia de Audiencia Provincial de Alicante nº 107/2018seextrae que: Las medidas de seguridad no solamente están destinadas a proteger la seguridad de las órdenes de pago emitidas por los clientes sino que su eficacia exonera a las entidades de crédito de sus responsabilidades frente a las órdenes de pago no emitidas por sus clientes de tal forma que el incumplimiento de este específico deber de vigilancia daría lugar a una responsabilidad por ' culpa in vigilando' o responsabilidad objetiva por el mal funcionamiento de los servicios de banca electrónica. Lo cual resulta de aplicación sobre los hechos acontecidos el pasado 28 de abril a las 23:00 horas, cuando estándola cuenta bloqueada, mi representada recibe los SMS de los cargos en su cuenta de manera fraudulenta. Este mismo hecho, considerado una infracción de los deberes de vigilancia del banco, fue la causa por la que el Banco de Santander ya ha sido condenado anteriormente por sentencia dictada por la Audiencia Provincial de Valencia, Sección 9 de fecha 23

12

de abril Juicio Verbal núm. 436/2021de 2013 a restituir a su cliente la cantidad de 42.500 €. Supuesto de hecho idéntico al que queda ahora en manos de este tribunal

. En base a este fundamento la Sentencia de la Audiencia Provincial de Barcelona, Sección 11, de fecha 23 de julio 2015, declaró la responsabilidad de Barclays Bank, S.A a pagar a una clienta la cantidad de 9.979 € por cargos y extracciones de efectivo no autorizados que tuvieron su origen en la introducción por los delincuentes de un mensaje fraudulento en la página oficial del banco a través del cual se canalizó la operación.

En relación a la RESPONSABILIDADCONTRACTUAL del Banco SANTANDER. La responsabilidad contractual nace cuando el banco incumple los términos del contrato,

entre ellas.

Al no enviar un SMS de aviso por cada operación que se reciba (no es el SM con la clave de autenticación reforzada, sino un SMS en el que se avisa al usuario que se ha ejecutado una compra), con lo que el usuario no se percata que están haciendo varias compras y no puede cancelar la tarjeta para limitar las pérdidas. Lo cual ocurre el 26 de abril, en el quemí representada no conoce del hecho fraudulento hasta que el propio Banco se pone en contacto por teléfono al detectar un acto sospechoso de Phishing.

Al permitir que se realicen compras por encima del límite dela tarjeta. En el contrato se limitan las compras o disposiciones a 1.200 € diarios. Si el banco permite que se efectúen compras, que en este caso cuadriplican ese importe está incumpliendo el límite que él mismo ha estipulado en el contrato.

Permitiendo que un tercero realice compras en lugar del titular. Aunque esto enlaza con la responsabilidad legal, que continuación se analiza.

En atención a la RESPONSABILIDAD LEGAL del Banco SANTANDER: Las obligaciones legales del banco están reguladas en la Directiva (UE) 2015/2366 de Servicios de Pago (DSP2) y en el Real Decreto-Ley 19/2018, de 23 de noviembre, de Servicios de Pago (LSP). Se trata de una obligación de carácter cuasi-objetivo, lo que quiere decir que se presume que el titular de la tarjeta no ha autorizado la operación, de forma que es el banco el que debe probar su correcto funcionamiento, como por ejemplo:

o Que ha implementado las medidas técnicas de seguridad necesarias establecidas en la DSP2 y desarrolladas por el Reglamento 2018/389.

o Que remitió al titular la clave dinámica aleatoria de un solo uso y que fue él quien la recibió en su dispositivo y usó para validar la operación.

o Que el demandante ha incurrido en negligencia grave.

Nada de ello ocurre, ni se establece de manera efectiva el protocolo antifraude, una vez el propio Banco detecta y ordena el bloqueo de la cuenta, ni se le hacen llegar a mi representada los SMS con el código den solo uso para la confirmación de compras, y como ya se ha analizado, no existe negligencia alguna por parte de la cliente del banco en cuestión. Por lo que, repetimos: las entidades prestadoras del servicio de banca online deben dotarse de medidas suficientes que garanticen al usarla seguridad de las operaciones por lo que, en el supuesto de insuficiencia o mal funcionamiento de las adoptadas, deben ser las entidades bancarias las que asuman las consecuencias derivadas de los fallos de seguridad del sistema.

II. EN RELACIÓN AL CUMPLIMIENTO DE DEBERES QUE IMPONE LA LEY DE SERVICIOS DE PAGO.

El objeto de esta litis, es el incumplimiento contractual y legal del Banco Santander el 28 de abril, ya que es incapaz de proteger y bloquear la cuenta, tal y como ellos mismos dispusieron. Con lo que su incumplimiento legal, y falta de diligencia a la hora de activar un protocolo de seguridad, tras detectar el propio sistema actos fraudulentos en la cuenta, deja en total desamparo y desprotección a su cliente. Pero esta parte vuelve a incidir en el incumplimiento del deber de custodia acaecido el 26 de abril, insistiendo en la valoración del Documento Nº 3 (cláusula novena en la que se informa al cliente que hade tomar la diligencia debida y no revelar códigos de

13

seguridad a un tercero), pero como ya se ha explicado en el apartado anterior...no concurre ni falta de diligencia ni se ha difundido en ningún momento las claves de la cuenta, sino que la intención de mi cliente era revelar su clave al propio Banco y no a un tercero.

De todos modos, y en aras de aclarar a SS el despropósito del Banco para evitar sus responsabilidades, es que mi representada cuando se le bloquea la cuenta, no hace uso de ninguna clave, es más, directamente no HACE NINGÚN USO de su cuenta, porque suponía que se encontraba bloqueada.

Y es que la parte apelante parece ser que no comprenda la relación de los hechos que se pretenden enjuiciar, concluyendo que 'la entidad no debe asumir las responsabilidades del uso indebido de las claves de seguridad por parte del cliente.'

Está entidad bancaria incurre en responsabilidad por ser el propio banco Santander el único culpable de ese extracto que se pretende reclamar, pues la misma ley de Servicios de Pago en la que se pretende amparar, es ignorada por los mismos, como son los artículos siguientes:

En su art. 45 se establece una responsabilidad cuasi objetiva cuando la víctima no haya dado autorización real a la transferencia del dinero. Local significa que la responsabilidad se imputa de forma directa al banco, independientemente de la culpa o dolo.

Lo mismo ocurre respecto de lo establecido en el art. 43 LSP, en el que se determina que en todo momento es el proveedor de servicios de pago el que debe rectificar toda operación no autorizada, cuando el usuario lo comunique en cuanto tenga conocimiento, a más tardar, dentro de un plazo máximo de 13 meses. Pero en nuestro caso, la usuaria tiene conocimiento de los SMS que efectúan a su teléfono móvil a las 23:00, y se persona en la entidad la mañana siguiente. Pues la entidad bancaria ya había bloqueado su cuenta, por lo que se creía imposible que se hubiesen realizado nuevas operaciones fraudulentas.

SEGUNDA.- APLICACIÓN DE LA LEY Y DOCTRINAJURISPRUDENCIAL.

Parece ser que el apelante en cuestión no comprende el principio de igualdad ante la ley, por lo que se limita a anexar jurisprudencia en elación a supuestos que nada tienen que ver con el que nos atañe. A continuación, analizaremos cada una de ellas, brevemente:1. La SAP Zaragoza (Sec. 4ª) nº 179/2021 de 27 de mayo de 2021, que confirma la Sentencia nº 277/2020 de 28 de diciembre de 2020dictada por el Juzgado de Primera Instancia nº 19 de Zaragoza: Pues dicha sentencia entró a valorar un caso en el que la parte ofreció datos sensibles a un desconocido a lo largo de casi tres horas. Está más que claro que nada tiene que ver con la estafa digital sufrida por mi representada que fue en cuestión de segundos, ya que confiada en la imagen que simulaba ser su banco no un desconocido, como se apunta en tal sentencia de Zaragoza.2. La Audiencia Provincial de Cáceres en su Sentencia N.º 707/2019,de fecha 12 de diciembre de 2019 (Sec. 1ª, rec. 933/2019). En este caso, se hacen valer los certificados REDSYS en relación a los hechos en los que un supuesto desconocido extrae efectivo de un cajero automático tecleando el PIN. Con lo que nada tiene que ver con los hechos probados que aquí se vienen a valorar ante este tribunal, que se refiere a la realización de cargos online por un ilícito de Phishing y se realiza por compras en destinos como Lituania y Países Bajos. Además en la sentencia de Cáceres, el banco en cuestión sí que activa de manera efectiva su protocolo una vez comunica su clientela sustracción no autorizada, y de todos modos, en la sentencia ni tan si quiera se supera el límite diario, establecido en el contrato. Por contra, en nuestro caso se cuadriplica ese límite de 1200 euros .

3. En la sentencia nº 512/2020 de la Audiencia Provincial de Pontevedra, a la que hacen referencia, el caso gira en torno a un tercero con disponibilidad y manipulación física del ordenador y teléfono móvil de la víctima, y así consigue realizar el movimiento Juicio Verbal núm. 436/2021bancario fraudulento. Con lo que el deber de custodia de claves no se ve ni tan siquiera por una estafa como el Phishing, que es el delito que se comete en esta ocasión. Además, como se desprende del mismo extracto de la Audiencia, el usuario de la cuenta no comunica a tiempo la orden de pago no autorizada. Por el contrario, Dª Reyes, no deja pasar ni 12 horas desde que tiene conocimiento de los cargos no autorizados que se le aplican la noche anterior sobre las

14

23:00 de la noche en la cuenta, la cual tenía que estar supuestamente bloqueada en ese momento. Pues es la parte apelante la que detecta el primer intento de sustracción indebida, y por la que se activa el protocolo antifraude el 27 de abril. En definitiva, mi representada sí que comunica su conocimiento de las órdenes de pago no autorizadas por la misma en tiempo suficiente como para cancelarlas.

4. Respecto de la citada sentencia de la Audiencia Provincial de Madrid nº 370/2020 se aprecia una falta de diligencia en cuanto a los elementos de pago, es decir, de la propia tarjeta de crédito que acaba en manos de un tercero y con la que se realizan disposiciones de efectivo en cajeros automáticos. No como en el caso que nos atañe, que mi representada sí que conserva consigo en todo momento y de la manera más diligente posible sus elementos de pago. Ahora bien, mi representada cae en el engaño digital en el que su supuesto banco le solicita los datos para autenticar su cuenta, y confiando en la imagen de Santander es presa de indito de Phishing, por el que se consigue suplantar la identidad de mi representada y realizar desde cualquier otro lugar las órdenes de pago que mi representada no autoriza ni conoce. En conclusión, no es de aplicación en este caso, lo que se determina en el art.27 dela LSP, puesto que va dirigido al usuario en cuanto recibe su instrumento de pago. Pues como es de común conocimiento, que las tarjetas de crédito van provistas del número de cuenta y código secreto, con el que se pueden realizar infinidad de operaciones. Y mi representada sí que cumple con su deber de custodia de instrumentos de pago.

5. Sentencia de la Audiencia Provincial de las Palmas, aparentemente más apreciable, pues se pone en tela de juicio el hecho de si no era de extrañar por parte del usuario que en este caso se le estaban solicitando la clave de la tarjeta en vez de la clave de la banca. Pero en el caso que nos atañe, ya se dijo que la usuaria anteriormente había cometido errores a la hora intentar acceder a su cuenta online. Con lo que creyó razonable, a modo de refuerzo de seguridad por parte del banco, que se autenticara y por ende pidiese otros datos confirmatorios de identidad. Pero lejos de la realidad, SANTANDER S.A. no desplegó en ningún momento su protocolo antifraude, a pesar de su alerta de sistema contra las transferencias fraudulentas, y por ello se volvieron a cometer extractos en la cuenta de mi representada, a pesar de confirmar la entidad que ya estaba bloqueada la cuenta.

6. Lo mismo ocurre en la sentencia nº 188/2021 del Juzgado de Primera Instancia de Barakaldo, en el que el banco sí que despliega medidas de control y vigilancia, incluso bloqueado la tarjeta al detectar movimientos u operaciones poco habituales. Local no parece ocurrir en

nuestro caso, ya que el banco SANTANDER detecta movimientos fraudulentos y poco habituales(cargos de 5.460) y se pone en contacto con la usuaria para su comprobación, tras confirmar el ilícito no autorizado, cancela la operación y activa protocolo antifraude, bloqueado la cuenta. Pero dicho protocolo no sirvió de nada, pues se volvieron a realizar cargos de 4.899 euros, los cuales ahora pretende desentenderse.

Además, el apelante quiere hacer valer esta jurisprudencia, en relación a la valoración que se le da a las pruebas practicadas en cada caso, pero al ser fácticamente distinta la relación de los hechos y los delitos que se cometen, ni tan siquiera tendrán el mismo peso las pruebas aportadas, sin olvidar que tiene la carga de la prueba el propio banco.

Por todo ello, los motivos expuestos, consideramos que debe ser desestimado el recurso de apelación planteado de contrario.

Terminaba solicitando que, previos los trámites legales, se desestimara íntegramente el Recurso de Apelación interpuesto de contrario, confirmando íntegramente la Sentencia recurrida , ytodo ello, con expresa imposición de las costas de esta alzada a la parte recurrente, de conformidad con lo dispuesto por los artículos 394 y 397 de la LEC .

15

CUARTO.-Recibidos los autos por este Tribunal, se señaló para deliberación y votación el día 11 de abril de 2022, en el que tuvo lugar.

Fundamentos

Se aceptan los de la resolución impugnada, sólo en cuanto no se opongan a los de ésta.

PRIMERO.-La sentencia de instancia fijó en los siguientes términos los hechos sostenidos por una y otra parte en los antecedentes de hecho de la sentencia y en su fundamento preliminar:

'PRELIMINAR.- Objeto de la controversia. Nos hallamos ante un juicio verbal en el que se reclama indemnización por daños y perjuicios como consecuencia de responsabilidad contractual. Asimismo, se reclama por la actora indemnización mediante el ejercicio de la acción de responsabilidad contractual.

Las cuestiones que resultan controvertidas en el presente procedimiento son las siguientes: 1.- Falta de diligencia.

2.- Daños y perjuicios 3.- Responsabilidad.

La actora sostiene que Marisa, que en la actualidad cuenta con 82 años de edad, es titular de la cuenta bancaria en la entidad SANTANDER, número NUM001. Vinculada a la cuenta se encuentra la tarjeta de débito número NUM000 siendo que a través de la misma se han cargado en la cuenta las operaciones objeto del presente litigio.

Debido a la avanzada edad de la Sra. Marisa quienes se encargan de ayudar o gestionar el día a día son sus hijos, en este caso concreto quien ha gestionado y ha ayudado ha sido la hija, Reyes.

La cuenta NUM000 en cuestión es básicamente una cuenta de ahorros, con escasos movimientos donde nunca se han realizado transferencias a Italia, Países Bajos, Francia y Lituania. Los recibos domiciliados son de los servicios contratados por la propia Marisa (DOC. 1).

El día 26 de abril de 2020, la Reyes recibió en su correo personal DIRECCION000 un correo electrónico de Santander DIRECCION001.

La Sra. Reyes entendió que dicho correo electrónico fue enviado por la entidad bancaria Santander, puesto que el remitente era aparentemente dicha entidad, por lo que entró en el enlace donde dirigía a una página similar a la de Santander, y había que indicar su clave y contraseña, dándole ok, señalando que la operación ha sido realizada con éxito, quedando así la cuenta verificada.

Al día siguiente, el día 27 de abril de 2020, Reyes autorizada en la cuenta de su madre, recibió una llamada de la entidad bancaria Santander para verificar y confirmar una transferencia por un importe de 5.460,00 € a favor de Sonsoles, rechazando dicha operación, ya que no fue realizada ni por la titular ni por los autorizados.

En dicha llamada la Sra. Reyes hace constar su disconformidad e indica que no recibieron el SMS con el código de autorización de dicha operación.

En ese momento la entidad bancaria le indicó que iban a 'activar el protocolo antifraude 'e ibana registrar dicha operación como fraudulenta, anulando la transferencia en ese mismo momento, y le informó de que para bloquear todos los productos contratados por la Sra. Marisa debía personarse en la entidad y realizar una serie de gestiones.

Asimismo, se les informó que deberían denunciar tal hecho y presentar una copia de la denuncia en la entidad (DOC. 2).

El día 28 de abril de 2020, la Sra. Reyes se aproximó a la entidad bancaria Santander situada en la Avenida Gregorio Gea nº 26, Mislata (Valencia), a fin de realizar todos las gestiones necesarias para bloquear de forma efectiva todos los productos contratados por su madre, por sospechas de unposible fraude informático y obtener un informe sobre el intento de transferencia de 5.460,00 euros, para adjuntar con la denuncia que iba a realizar a continuación.

16

Aportaron y firmaron todos los documentos que la entidad bancaria creía necesaria para bloquear la cuenta, según se les informó.

La propia entidad informo a la Sra. Reyes que todos los trámites eran correctos, y a partir de ese día 28 de abril estaban bloqueados todos los productos contratados por la Sra. Marisa, haciéndoles entrega de un documento que detalla el intento de transferencia (DOC. 3).

Una vez realizada la denuncia se aproximó a la oficina nº 0049/5237 de la entidad bancaria para entregar la copia e informarse y confirmar el bloqueo de toda la operativa en todos los productos contratados. En dicha oficina confirmaron su bloqueo, y le facilitaron por SMS al telf. NUM002, unanueva clave para activar la firma electrónica, clave que no se utilizó para preservar la inactividad de la cuenta bloqueada por la incertidumbre de la Sra. Marisa y sus familiares, al temer que su cuenta había sido jaqueada.

La Sra. Marisa confiaba en la seguridad de su entidad bancaria para preservar sus ahorros. Ese mismo día 28 de abril de 2020 sobre las 23:00 horas, comenzó a recibir un aluvión de SMS en su móvil, avisándole de los diversos cargos por compras (DOC. 4) realizadas con su tarjeta de débito operaciones no realizadas por ella ni ningún autorizado, estando siempre la tarjeta en posesión de la Sra. Marisa.

No deberían de haberse realizado ninguna operación ya que supuestamente la operativa de todos los productos contratados con la entidad debería de estar bloqueados, según la información verbal facilitada por dicha entidad.

Al día siguiente 29 de abril de 2020, la Sra. Reyes se personó en la entidad bancaria para obtener información de que había pasado, por qué había obtenido una serie de cargos la cuenta de su madre, cuando supuestamente estaba bloqueada, así como los detalles de las 10 operaciones para adjuntar con la denuncia, no obteniendo respuesta a sus dudas, sabiendo que la entidad tenía el conocimiento previo de que la cuenta, tarjeta etc., de la Sra. Marisa podían estar jaqueados, y no utilizaron todos los medios a su disposición para impedir que le sustrajeran 4.988,05 euros de su cuenta, entendieron que el último responsable era la entidad, al no existir una negligencia grave por parte de la titular ni los autorizados por lo que presentaron un escrito donde se resumía el incidente, anteriormente expuesto, solicitándoles la devolución de la cuantía sustraída, en el mismo escrito adjuntaron la denuncia del primer intento de transferencia.

Destaca la actora, para valorar la falta de diligencia de la entidad, que las transferencias no autorizadas por la demandante se realizaron a otras entidades el día 28 de abril, pero no se hicieron efectivas hasta el día 30 abril, lo que daba a la entidad un margen de tiempo para retrotraerlas.

La actora estima evidente que la entidad bancaria, cuando cursó las órdenes debió constatar las irregularidades que estas conllevaban, máxime teniendo en cuenta que mediante dichas transferencias se descapitalizó totalmente la cuenta. (DOC. 5).

Se procedió a ampliar la primera denuncia en el atestado NUM003 para que se incluyeran los 10 cargos realizados el día 28 de abril de 2020 (DOC. 6).

Continuando sin obtener ninguna respuesta, la Sra. Marisa y su hija la Sra. Reyes acudieron a las oficinas de consumidores y usuarios (OCU) para intentar llegar a un acuerdo extrajudicial. Obtuvieron como respuesta que no había existido fallo alguno en los sistemas informáticos del Banco, y que este ha actuado con toda la diligencia exigible. Indicando que es la titular quien tiene que custodiar su tarjeta, los elementos de seguridad de esta y sus claves para operar en Banca online (DOC. 7).

La demandada pone de relieve que la propia entidad anule o cancele la primera transferencia de 5.460,00 euros, al tener sospechas de ser fraudulenta, pero no los 10 cargos posteriores.

Se intentó nueva reclamación pero resultó infructuosa (DOC. 8)

La actora considera que los daños y perjuicios ascienden a la cantidad transferida, 4.988,05 €, a la que debe añadirse los intereses legales desde el momento en que se produjo el cargo en cuenta, de conformidad con la indemnización adicional que legalmente se contempla en el Artículo 62 de la Ley de Servicios de Pago .

La parte demandada alega prejudicialidad penal con base en que se interpuso una denuncia (DOC.

3) en la comisaria de la Dirección General de la Policía de Mislata, con el fin de que se procediese a la investigación de hechos que indudablemente integran la causa de pedir de las acciones civiles que se están ejercitando en la demanda.

Considera la demandada la concurrencia de los requisitos legalmente establecidos para acordar la suspensión del presente procedimiento por prejudicialidad penal, y en caso de no acordarse, podrían llegar a dictarse resoluciones totalmente contradictorias que supondrían una clara vulneración de derechos fundamentales en detrimento de los intervinientes en el pleito.

17

La demandada admite la relación contractual.

Entiende la demandada que la actora fue víctima de un caso de 'phishing' que, en esencia, consiste en una actividad delictiva cuyo objeto es dar la apariencia frente a la víctima de ser un tercero, valiéndose incluso de emblemas y/o marcas comerciales similares, con ánimo de obtener datos personales y de seguridad provocando en la víctima un perjuicio patrimonial.

Se invoca que ningún incumplimiento puede reputarse a BANCO SANTANDER sobre este supuesto, ya que media negligencia y/o incumplimiento de sus obligaciones por parte de la demandante. La demandada indica que la propia actora reconoce que es quien ha facilitado sus claves de seguridad, incumpliendo así con su deber de guardia y custodia. En ningún momento fallaron los sistemas de seguridad del Banco Santander, pues, en todo momento, desde la entidad se entendió que las operaciones fueron realizadas con total consentimiento del titular, a ser aceptadas con el código de seguridad de su tarjeta. No es posible que estas operaciones se realicen por terceras personas si no es con el uso de las claves de seguridad y, por tanto, con el consentimiento del titular de la cuenta.

Como consecuencia de esta cesión de sus claves, el día 27 de abril de 2020, los delincuentes trataron de realizar una transferencia por un total de 5.460 euros a favor de D. Sonsoles. No obstante, los sistemas internos de la entidad reconocieron como sospechosa dicha transferencia y la sucursal del cliente llamó para solicitar confirmación de esta. Tras conversaciones con la ahora demandante, la oficina cancela la transferencia y bloquea la cuenta tras considerar como fraudulenta la operación.

Tras la interposición de denuncia, el día 28 de abril de 2020, la actora acudió a la oficina para presentar la denuncia y el banco, desbloqueo la cuenta y le facilitó por SMS una nueva clave para activar la firma electrónica y recuperar la cuenta. Sin embargo, por razones inexplicables la demandante no utilizó la clave y dejó la cuenta de nuevo en poder de los delincuentes.

Las operaciones comerciales fueron realizadas el mismo día 28 de abril de 2020 sobre las 20:30 horas por un total de 4.988,05 euros, a través de comercio electrónico, por lo que contaron en todo momento con el consentimiento de titular pues autorizo las mismas por medio de sus claves de seguridad.

La pérdida patrimonial sufrida por la parte actora se debe a la injerencia de un tercero.

A los efectos de acreditar que las compras se realizaron habiendo sido necesario que previamente la demandante incumpliera los deberes de custodia, la demandada refiere que BANCO SANTANDER S.A. emplea a una entidad de comercio electrónico 'REDSYS', quien se asegura que las operaciones realizadas por clientes de la entidad sean siempre en comercios reconocidos como 'seguros'.

En este sentido, sostiene la demandada que el relato fáctico de la demanda incurre en un grave error, y es que BANCO SANTANDER, junto con las medidas de seguridad oportunas e inherentes a toda entidad bancaria, para que un cliente realice un pago 'on-line' con su tarjeta de crédito se requiere, como se ha dicho, de un código enviado por SMS al móvil del cliente.

Así, BANCO SANTANDER ha actuado en todo momento de manera diligente, respetando la normativa de aplicación y la lex artis del sector. Se ha dotado de medios materiales a la propia entidad para evitar en la mayor medida posible intrusismos como el acontecido. Además, se advierte expresamente a todos los clientes la imposibilidad de que la entidad, a través de correo electrónico, pueda solicitar claves de acceso o similares, y que nunca se debe confiar en correos electrónicos o comunicaciones en las que se requiera el acceso con claves a la web de la entidad (DOC. 2, 3, 4, 5 y 6).

Indica la demandada que el Banco de España en casos como el que nos ocupa tras reclamaciones interpuestas por clientes afectados por estas prácticas se ha pronunciada (DOCs. 7, 8, 9 y 10). Manifiesta que las conclusiones del regulador son claras sobre los protocolos de seguridad que aplica BANCO SANTANDER y el respeto a la normativa de servicios de pago de aplicación. Como conclusión el organismo regulador, en todos estos supuestos en los que la acción ilícita del estafador que ha empleado el mecanismo de 'phishing' descrito en todos estos expedientes, entiende que la entidad bancaria ha cumplido en todo momento con la normativa de aplicación, resultando que, en los cuatro casos, el daño se ha producido mediante un acto ilícito al que se le añade una conducta negligente que permite que la consumación del delito. .'

Y consideró acreditados los siguientes hechos:

PRIMERO.- /.../ A la vista de todo lo expuesto y de la documental obrante en autos y la prueba practicada en juicio esta juzgadora considera acreditado que se produjeron una serie de cargos en la tarjeta de la actora como consecuencia de la técnica phishing (DOC. 4). Se acredita esta circunstancia en virtud de la declaración de la testigo y de la documento cuatro y seis aportado por la actora y el documento sobre

18

movimientos bancarios aportado por la demandada.

Por otro lado, ha quedado acreditada la notificación por la actora a la demandada de las operaciones no autorizadas de las que había sido víctima por una actuación fraudulenta de tercero. Este hecho ha quedado acreditado tanto por el relato de la testigo que ha referido que la entidad se puso en contacto con ella ante la sospecha de transferencia fraudulenta corroborando la testigo la indicada sospecha como posteriormente al acudir a la oficina de la entidad. La transferencia fraudulenta se intentó el 27 de abril de 2020 y los cargos en tarjeta el día 28, es decir, cuando la entidad ya tenía conocimiento del fraude y había bloqueado la cuenta tras comunicar la situación la cliente. El hecho de la comunicación a la entidad bancaria también se pone de manifiesto en la denuncia que interpone la actora (DOC. 3). A la vista de los hechos y de la prueba obrante se considera que la entidad incurrió en una doble falta de diligencia:

En primer lugar, la entidad no detectó el carácter fraudulento de las operaciones de cargo que se realizaron el día 28 de abril y, ello, pese a que ya había detectado el día anterior una transferencia fraudulenta, circunstancia que corroboró la cliente. Este hecho dio lugar al bloqueo de la cuenta.

En segundo lugar, pese a ponerse en conocimiento de la demandada las nuevas operaciones fraudulentas del día 28 de abril no las evitó siendo que en el extracto de movimiento se refleja que la fecha de proceso de los cargos es el día 28 de abril de 2020 y la fecha contable el día 30.

La cliente cumplió conforme al art. 41 del Real Decreto su obligación de comunicación sin demora a la entidad la existencia de las operaciones fraudulentas. Por lo tanto se encontraría amparada por lo dispuesto en el último inciso del art. 46.1 del Real Decreto.

Así, la Sentencia de la Audiencia Provincial de Zaragoza de fecha 14 de mayo de 2013 condenó a BARCLAYS BANK a reintegrar 20.947 € al cliente víctima de phising. La Sentencia señala: 'La Ley de Servicios de Pago expresa con claridad que, salvo una tardanza injustificada del usuario del servicio de banca electrónica en comunicar la irregularidad de las operaciones, será el banco quien deberá devolverle de inmediato el importe de la operación no autorizada y, en su caso, restablecerá la cuenta de pago en que haya adeudado dicho importe al estado que habría existido de no haberse efectuado la operación de pagono autorizada. Por ello y salvo actuación fraudulenta o negligencia grave del titular de la cuenta, la responsabilidad de la operación es del banco al que corresponde además probar el correcto funcionamiento del sistema informático'.

La SAP de Alicante 622/2017, de 12 de marzo de 2018 , señala: La decisión de este motivo trae causa casi completa en lo ya resuelto con ocasión de los tres motivos anteriores a saber, en primer lugar, que la responsabilidad de Barclays, en tanto prestadora de los servicios de banca online y respecto de los perjuicios que con ocasión de su uso pueden padecer los usuarios de la misma, tiene naturaleza cuasi- objetiva o de riesgo por razón legal y, en segundo lugar, que Barclays si infringió sus obligaciones, tanto contractuales de implementación del sistema de las medidas de seguridad exigibles para un uso seguro por su cliente, como extracontractuales, al no haber actuado con diligencia tras la denuncia del fraude informático padecido en la cuenta de la cliente al acceder al sistema online terceros no autorizados para operar con aquella, todo lo cual deriva no solo en lo ya expuesto con ocasión del primero de los motivos sobre el alcance de la presunción iuris tantum en materia de carga de la prueba, sino en el alcance de dicha presunción que en caso de concurrencia de la conducta descrita se extiende tanto al dolo o culpa grave como a su incidencia causal en la provocación o agravamiento de la insolvencia, siendo así que en todo caso, y como ha quedado explicitado a lo largo de esta Sentencia, la no acreditación de las necesarias medidas de seguridad, la acreditación de la diligencia de la usuaria, y la inacreditación de la conducta posterior a la denuncia del fraude por el banco, omitiendo las medidas necesarias para evitar, en su caso, la pérdida definitiva del dinero, constituyen los presupuestos que permiten apreciar la realidad de una causalidad adecuada entre la conducta omisiva de la entidad y el resultado dañoso.

A mayor abundamiento, debe tenerse en cuenta que el Real Decreto tan solo impone a los clientes la obligación de soportar los perjuicios económicos derivados de operaciones no autorizadas en los casos en que se haya incurrido en negligencia grave. Debe destacarse que no se habla de simple negligencia sino de negligencia grave. Dada la forma en que se sucedieron los hechos esta juzgadora no estima que nos encontremos ante un supuesto de negligencia grave que implicaría una cesión deliberada e injustificada de las credenciales a un tercero. La autorizada en la cuenta actuó movida por error al recibir un correo electrónico que si identificaba visualmente como perteneciente al Banco Santander. El hecho de que la entidad haya dirigido alguna información a los clientes sobre operaciones de fraude no puede implicar per se la negligencia grave de la usuaria. La información de Incibe aportada por la demandada no se estima suficiente.

19

En todo caso con base en el art. 44.1 Real Decreto corresponde a la demandada probar la autorización de la operación por el cliente. Conforme al art. 44.2 del Real Decreto, el certificado de Redsys, no se estima prueba suficiente para acreditar la autorización de la operación. Asimismo, con base en el art. 217 LEC le corresponde la carga de probar la negligencia grave en la cesión de credenciales. A juicio de esta juzgadora estas circunstancias no han resultado acreditadas.'

SEGUNDO.-Consecuencia de lo anterior es que se estimara la pretensión indemnizatoria contenida en la demanda argumentando que:

'En conclusión, ha quedado acreditada la falta de diligencia de la demandada al no detectar el carácter fraudulento de las operaciones del 28 de abril pese a tener conocimiento de las actuaciones fraudulentas. Asimismo, se aprecia falta de diligencia por no adoptar medidas oportunas para evitar la pérdida definitiva del dinero antes de quedar completamente consolidada la operación. Lo anterior, se considera que deriva de una previa actuación negligente de la entidad que el mismo día 28 de abril al conocer la primera operación negligente debería haber informado al cliente de que lo procedente era el bloqueo de la cuenta y de la tarjeta, vinculada a la misma, teniendo en cuenta que se habían obtenido fraudulentamente las credenciales de la banca por un tercero. No se puede imponer al cliente la obligación de decidir sobre las medidas a adoptar para remediar una actuación fraudulenta o impedir su reiteración. Es el banco el que ostenta los medios y el control de aplicaciones y mecanismo de control y prevención.

Así, se declara la falta de diligencia de la entidad en el cumplimiento de sus obligaciones así como la responsabilidad a resarcir los daños y perjuicios causados.'.'

TECERO.- Frente a la decisión del Juzgado, recurre la parte demandada Banco de Santander S.a., , sosteniendo, en esencia, que habría cumplido con sus obligaciones y que las disposiciones fraudulentas se habían producido por la indebida custodia de las contraseñas por parte la actora y de su hija, que era la que efectuaba las gestiones debido a la edad de la titular, y a su escaso dominio de las operaciones telemáticas e informáticas.

Por el contrario, la parte apelada comparte los sostiene no solamente que fue objeto de un engaño por un tercero, sino que reprocha que, contactada por los servicios de la entidad Bancaria por sospecha de Phishing, hizo por su parte todo lo indicado, para denunciar los hechos, y efectuar una denuncia, sin que llegase a recibir otros SMS en su teléfono, pidiéndole confirmación de las operaciones que se realizaron con posterioridad, a el día 28 de abril, salvo aquellas que le comunicaban los cargos ya efectuados en la cuenta.La cuestión radica en si puede considerarse que la sentencia de instancia ha incurrido o no en un error en la valoración de la .prueba. Por ello, debemos recordar que la facultad revisora del tribunal de apelación es total y no está limitada por las valoraciones efectuadas en la primera instancia, porque se trata de una segunda instancia, con plenas competencias para ello, de acuerdo con lo establecido en el art. 465 LEC [ STS, Civil sección 1 del 27 de Junio del 2012 ( ROJ: STS 4473/2012) Recurso: 748/2011 ].

Pero la valoración probatoria es facultad de los Tribunales sustraída a los litigantes, que sí pueden aportar las pruebas que la normativa legal autoriza -principio dispositivo y de rogación- pero en forma alguna tratar de imponerlas a los juzgadores ( STS. 23-9-96 ) pues no puede sustituirse la valoración que hizo el Juzgador de toda la prueba practicada por la que realiza la parte recurrente, función que corresponde única y exclusivamente al Juzgador 'a quo' y no a las partes ( STS. 7- 10-97) y aún dictadas las anteriores prevenciones a efectos de casación, también serían predicables del recurso de apelación , porque el

20

Juzgador que recibe la prueba puede valorar la misma de forma libre, aunque nunca de manera arbitraria, transfiriendo la apelación al tribunal de la segunda instancia el pleno conocimiento de la cuestión, pudiéndose en la alzada verificar si en la valoración conjunta del material probatorio se ha comportado el Juez 'a quo' de forma ilógica, arbitraria, contraria a las máximas de experiencia o a las normas de la sana crítica o si, por el contrario, la apreciación de la prueba es la procedente por su adecuación a los resultados obtenidos en el proceso.

En esta dirección, la jurisprudencia es constante en señalar como la especial naturaleza del recurso de apelación permite al Tribunal conocer 'íntegramente' la cuestión resuelta en primera instancia, pudiendo no sólo revocar, adicionar, suplir y enmendar las sentencias de los inferiores, sino dictar, respecto de todas las cuestiones debatidas, el pronunciamiento que proceda, por lo que es factible en esta alzada examinar de nuevo todo el material probatorio y la actividad jurídico- procesal desarrollada en primera instancia y, en definitiva, resolver si el pronunciamiento de la resolución impugnada ha sido o no correcto en atención a las diligencias de hecho y resultados probatorios de la causa ( STS. 19-2 y 19-11-91 y 4-2- 93 ). Y, como hemos dicho reiteradamente -por todas, SAP, Civil sección 6 del 09 de mayo de 2011 ( ROJ: SAP V 3741/2011 - ECLI:ES:APV:2011:3741)-:

'las facultades del Tribunal de apelación se asientan en el artículo 456 LEC que fija el sentido de la apelación y del principio de libre valoración de la prueba; así el recurso de apelación confiere plenas facultades al órgano 'ad quem', permitiendo un 'novum iudicium', da lugar a un nuevo examen completo de la cuestión litigiosa y una revisión de la sentencia dictada en primera instancia, extendiéndose a todo el objeto de ésta y es un recurso devolutivo utilizado contra sentencias con la finalidad de su sustitución por entender la parte apelante que ha mediado un error en el juicio, ( sentencias del Tribunal Constitucional 152/1998, de 13 de julio y 212/2000, de 18 de septiembre y del Tribunal Supremo de 28 de marzo de 2000 y 30 de noviembre de 2000 , entre otras muchas). Así, la amplia facultad revisora que corresponde a los Tribunales de apelación al conocer de los recursos ante ellos interpuestos sólo está limitada por el principio prohibitivo de la

'reformatio in peius', quedando vinculados por los pronunciamientos de la sentencia apelada que hayan sido consentidos por las partes [ Sentencia Tribunal Supremo núm. 550/1999 (Sala de lo Civil), de 19 junio, Recurso de Casación núm. 3129/1994 ]. De modo que es doctrina reiterada la de que los tribunales de alzada tienen competencia no sólo para revocar, adicionar, suplir o enmendar las sentencias de los inferiores, sino también para dictar respecto de todas las cuestiones debatidas el pronunciamiento que proceda, como resulta del artículo 456, 1 LEC ( SS 13 de mayo de 1992 , 21de abril y 4 de mayo de 1993 , 14 de marzo de 1995 y 28 de julio de 1998 , entre otras). Por ello, y de acuerdo con los límites fijados por las peticiones de las partes litigantes en sus escritos de alegaciones, la valoración de las pruebas practicadas se halla dentro de las facultades que como tribunal de segunda instancia le corresponden al tribunal de apelación, que por serlo, no tiene las limitaciones que la casación impone al Tribunal Supremo.'

Y especial relevancia cobra la doctrina de la Audiencia Provincial de Madrid, Roj: SAP M 6576/2015 - ECLI:ES:APM:2015:6576, de 23 de abril de 2015 que razonó que:

'En relación a la diligencia exigible a las entidades bancarias la jurisprudencia del Tribunal Supremo, Sala Primera, viene declarando desde la sentencia de 15 de julio de 1988 que 'la diligencia exigible a una entidad bancaria no es la diligencia de un buen padre de familia, sino la de un 'comerciante

21

experto' que aconseja 'gran tacto', 'cuidado extremo' a la hora de llevar a cabo las órdenes del cliente, y que 'en este punto aparece un criterio objetivo a tener en cuenta a la hora de delimitar responsabilidades, que no es otro que el constituido por las concretas instrucciones dadas por el cliente, en este sentido se invoca la Sentencia del T.S de 20 de mayo de 1988 (...)'. El banco, en cuanto mandatario, debe ejecutar las instrucciones del cliente, con sus abonos y cargos ( SSTS 15 de julio de 1993 , 19 de diciembre de 1995 , 21 de noviembre de 1997 )' , lo que reitera en su sentencia de 30 de junio de 2005 hace referencia a que el ' artículo 255 del Código de Comercio establece que en el contrato de comisión mercantil en lo no previsto por el comitente debe ser consultado éste por el comisionista y que los contratos de comercio han de ser ejecutados de buena fe, según el artículo 57 del mismo Cuerpo legal '.

En el supuesto que nos ocupa es evidente que no nos encontramos ante la posible existencia de una responsabilidad contractual, toda vez que entre el actor y la entidad demandada no existía ninguna relación jurídica real, por lo que debe examinarse si ha concurrido una culpa extracontractual, al amparo de los artículos 1902 y 1903 del código civil , de la que pueda derivarse una obligación indemnizatoria de los daños y perjuicios ocasionados por una conducta negligente llevada a cabo por los empleados de la entidad bancaria.

Para su admisión es necesario, de conformidad con una consolidada, uniforme y reiterada jurisprudencia, la concurrencia de los siguientes requisitos:

a) Un elemento subjetivo representado por un hacer u omitir algo que se encuentra fuera de las normas de cautelas y previsión establecidas por el ordenamiento y socialmente aceptada, atendidas las circunstancias del caso concreto, es decir, de lugar, tiempo y persona, adoptando las precauciones necesarias que quizás hasta ese momento no se habían observado, pero que ante nuevas circunstancias exige adoptarla, y sin embargo le son indiferente si ocurre, o se arriesga a realizar algo que es peligroso.

b) Un resultado dañoso para algo o alguien.

c) Relación de causalidad entre la conducta y el evento dañoso.

Responsabilidad que no exige la omisión de normas inexcusables o aconsejada por la más vulgar o elemental experiencia, sino que basta con actuar no ajustándose a la diligencia exigible según las circunstancias del caso concreto, de las personas, tiempo y lugar, STS de 22-4-87 , 7-12- 87 , 17-7-89 , 8-3- 95 y 4-6-91 , entre otras. La Sentencia de 17 de noviembre de 2001 declara que:

Debe también hacerse mención a la reciente sentencia de la Audiencia Provincial de Cáceres AP, Civil sección 1 del 16 de febrero de 2022 ( ROJ: SAP CC 141/2022 - ECLI:ES:APCC:2022:141 ):

'Pues bien, atendiendo a los antecedentes expuestos en el párrafo anterior, la entidad financiera demandada no asume la reclamación articulada en la Demanda al amparo de la alegación comprensiva de que todas las operaciones fueron autenticadas, registradas y contabilizadas de forma correcta y documentalmente demostrada, por lo que el supuesto fraude y/o suplantación de la identidad del titular de los contratos bancarios no le sería atribuible, añadiendo además que el usuario no actuó con diligencia en los medios de pago, exonerándose -decimos- de toda responsabilidad. No obstante y, sin perjuicio de que posteriormente se incida con mayor detenimiento sobre las concretas y específicas cuestiones controvertidas en este Proceso, puede ya adelantarse que no asiste razón jurídica alguna a la entidad financiera demandada por cuatro motivos: en primer lugar, porque ha invertido impropiamente la carga de la prueba sobre la responsabilidad en este tipo de operaciones bancarias; en segundo lugar, porque los informes del Banco de España que se han presentado por la entidad demandada solo afectan a la 'responsabilidad -o a la práctica- bancaria' de la entidad, pero no a la responsabilidad civil, que es la que se dirime en esta sede; en tercer lugar, porque la entidad financiera demandada -con el máximo rigor- ha reconocido el fraude y ha retrocedido el importe de una de las operaciones realizadas en la cantidad de 2.970,53 euros, sin que haya explicado (menos aun a satisfacción del Tribunal) la razón por la cual no ha procedido de la misma manera con las restantes operaciones cuya retrocesión asimismo se pretende, y, finalmente, porque no resulta admisible alegar la falta de diligencia del demandante por haber hecho uso, en dos de las operaciones controvertidas, de una red wifi abierta, en la medida en que no consta acreditado que en los contratos reguladores del pago por medios telemáticos se prohíba la realización de operaciones de pago si se realizan a través de este tipo de redes.'Y añade que: 'SEXTO.- Finalmente y en franca sintonía con los razonamientos jurídicos expuestos que justifican la decisión que se adoptará en la presente Resolución (desestimatoria del Recursode Apelación interpuesto por la entidad financiera), interesa destacar la Sentencia de la Sección Tercera, Civil, de la Audiencia Provincial de Castellón, de fecha 21 de Mayo de 2.020 , donde, entre otros particulares, se

22

significa lo siguiente: ' (...) Se trata de una cláusula de imputación de responsabilidad que ha sido calificada como abusiva por el Tribunal Supremo en su Sentencia núm.792/2009 de 16 de diciembre , al entender que 'La exclusión de responsabilidad en todo caso para la entidad bancaria por las utilizaciones de tarjeta o de libreta -consistentes en extracciones en efectivo u otras operaciones con cargo a la cuenta bancaria-, con anterioridad a la comunicación de la sustracción o extravío (o evento similar) es desproporcionada, y abusiva.

3. Es igualmente abusivo excluir de responsabilidad a la entidad bancaria en todo caso del uso del número de identificación personal limitando aquélla a los supuestos de fuerza mayor o coacción'.

Cabe de nuevo hacer mención a la Sentencia antes en parte transcrita de la Audiencia Provincial de Navarra, núm. 411/2019 de 25 de julio , cuando con cita de la Sentencia de la Audiencia Provincial de Alicante de 11 de febrero de 2009 se refiere a que ' En el mismo sentido, esta Sala en su sentencia 111/07 de 30 de marzo dijo que 'la doctrina ha venido recogiendo con carácter general, el criterio de establecer como de cargo de la Entidad emisora de la tarjeta, la prueba de la culpa grave del usuario o titular, así se recoge por la SAP de Asturias de 15 de febrero de 2005 , a la que expresamente se refiere la SAP de Madrid de 25 de abril de 2006: 'La Recomendación 87/598 de 8 de diciembre de 1987 de la Unión Europea sobre el Código de buena conducta en materia de pago electrónico y la 97/489 de 30 de julio de 1997 que la revisa y actualiza, contemplan la responsabilidad del titular de la tarjeta durante el tiempo que media entre su pérdida o sustracción ilegítima hasta la notificación de este hecho al emisor en solo 150 euros, excepto cuando haya actuado de forma fraudulenta o negligentemente grave, (en cuyo caso no se aplicará dicho límite), en el cumplimiento de sus obligaciones de uso y cuidado adecuados del instrumento electrónico, mantenimiento del secreto sobre su PIN o demora en la notificación al emisor de la pérdida, sustracción o falsificación del instrumento electrónico (artículo 8.3 de la primera y 6 de la segunda). El Servicio de Reclamaciones del Banco de España, a partir de 1991, comienza a informar cómo no ajustado a las buenas prácticas bancarias no aplicar al titular de la tarjeta el límite de responsabilidad referido (informes relativos a las reclamaciones NUM004, NUM005 y NUM006) y así es que, desde entonces, ha venido incorporándose a los contratos bancarios de tarjeta. La razón, al decir de la doctrina, descansa sobre estas premisas: el sistema para funcionamiento de las tarjetas lo dispone el emisor o un tercero con el que el emisor contrata su uso en beneficio propio y el sistema operativo de las tarjetas electrónicas no es completamente seguro; en el estado actual no se puede garantizar una seguridad absoluta y quien tiene el primer deber de impedir el mal uso de la tarjeta es el emisor que ha puesto en marcha el sistema y de ahí su responsabilidad por circunstancias relativas al funcionamiento del sistema cuyos riesgos y limitaciones él conoce y que no deben ser imputados al usuario, y, de ahí, también que sea de su cargo la prueba de la mala fe o negligencia grave del usuario o titular de la tarjeta. Nuestros Tribunales han recogido este criterio de establecer comode cargo del emisor la prueba de la culpa grave del usuario o titular (en este sentido, sentencias de las Audiencias Provinciales de Toledo, de 1 de julio de 1999 , o Madrid, de 6 de octubre de 2004 ). De otro lado, también se ha entendido que esa diligencia exigible es aquella que contempla el artículo 1.104 del Código civil ( sentencias de las Audiencias Provinciales de Baleares de 25 de junio de 1999 ; Salamanca de 1 de junio de 2004 ; y Castellón de 5 de noviembre de 2004 )'. Igualmente señala la referida SAP de Madrid de 25.4.06 que además en esta materia cabe citar la Recomendación de la Comisión 590/1988 , de 17 noviembre, sobre ' sistema de pago y en particular a las relaciones entre titulares y emisores de tarjetas' que recomienda a los suministradores de tarjetas la acomodación de su actividad a las disposiciones que contiene. El párrafo 8.2 de su anexo establece, para el caso de sustracción o pérdida, un sistema de responsabilidad objetiva del titular pero limitado en la cuantía hasta que notifique la desaparición, salvo que concurra negligencia por su parte. El titular de la tarjeta no asume el riesgo en casos de pérdida sustracción o extravío, y la propia legislación, tanto a nivel europeo, como nacional, contempla la exención de su responsabilidad, salvo en la cuantía de 150 euros, siempre y cuando cumpla unos mínimos deberes de diligencia'.

La conclusión que obtiene la referida Sentencia, es la de la responsabilidad de la entidad bancaria recurrente frente a su cliente, citando por último la Sentencia de la Audiencia Provincial de Madrid de 25 de noviembre de 2011 , cuando se refiere a que 'dado que, no puede olvidarse que el sistema de pago y reintegro mediante la utilización de un sistema electrónico como es de las tarjetas de crédito y débito entraña un riesgo (utilización de microcámaras y reproductores de tarjetas instalados en los cajeros), y la experiencia diaria confirma como son utilizadas fraudulentamente tarjetas que han sido sustraídas o extraviadas, sin que pueda garantizarse una seguridad absoluta en la utilización de tales instrumentos, doctrina que trae como consecuencia que corresponda a la entidad financiera la carga de acreditar que el

23

sistema utilizado es completamente seguro e infalible y que el acceso a sus servicios sólo puede verificarse con el marcado de un número PIN, número que es en sí mismo indescifrable, o dicho de otro modo, que la única forma que tiene el tercero de acceder a tales servicios es visionando previamente el PIN en cualquier forma, y, tal circunstancia no ha sido probada, como tampoco lo ha sido que la posibilidad de conocimiento del número secreto por parte de terceros no autorizados por causas ajenas a la voluntad del titular de la tarjeta es un hecho insólito o extraordinario ni ajeno a la propia dinámica de funcionamiento del sistema; Por tanto, a la entidad bancaria le corresponde asumir los riesgos que conlleva la tarjeta en sí porque ella se lleva los beneficios: comisiones de uso, mantenimiento, recargos, intereses.'

Aplicando estas consideraciones al caso enjuiciado procede establecer también aquí la responsabilidad de la entidad bancaria por los cargos realizados mediante la utilización no consentida de la tarjeta del demandante, por lo que procede estimar el recurso de apelación interpuesto y revocar la resolución dictada, que se deja sin efecto, estimando la demanda interpuesta condenamos a la entidad demandada a abonar al actor la cantidad de 9.206,85 €, más los intereses legales desde el día 27 de octubre de 2016, en que tuvo lugar la reclamación a la entidad bancaria'.

Y es lo que entendemos que no concurre en el presente caso, pues tal y como razonó la sentencia, ni puede entenderse que la falta de diligencia fuera 'grave' por parte de demandante y de su hija, sino que el recurso orilla las manifestaciones de la sentencia en cuanto que refieren a las actuaciones llevadas a efecto por la autorizada en la cuenta de la actora, comunicando con la entidad bancaria el 27 de abril de 2020, y que no fue activado el protocolo antifraude, ni tampoco bloquearon la cuenta antes de que se efectuaran indebidamente los cargos del día 28, que ahora se reclaman, y que no deben imputarse a la hija de la demandante, ni a esta al no haberse acreditado que recibiera el SMS de confirmación del pago en su teléfono y que lo efectuara ninguna de ellas.

CUARTO.-Esta última interpretación nos parece más acorde con la protección debida al usuario de los servicios bancarios, y a las obligaciones propias de las entidades que ofrecen los servicios telemáticos, que son conocedoras de las crecientes actuaciones ilícitas o estafas que proliferan aprovechando las nuevas tecnologías, y que desarrollan mecanismos técnicos con el fin de ofrecer un sistema lo más seguro posible para el usuario, como parte igualmente de su oferta de servicios. Y en el caso concreto que se nos somete, la tardanza en bloquear la cuenta, o establecer medidas adicionales de protección por la entidad demandada, atendido que no existió retraso por la cliente en comunicar la sospecha en relación a la cuenta, que habría posibilitado intentar retrotraer los pagos efectuados pues se hizo con anterioridad al plazo de un día hábil según el art. 55 del RD 19/2018 de 23 de noviembre, entendemos que ello, que se refiere a una posibilidad de un mecanismo de retrocesión, lo que por otra parte no impide la reclamación efectuada, pues el art. 43 del Real Decreto-Ley indica en su art. 43, en orden a la notificación de operaciones de pago no autorizados o ejecutadas incorrectamente, contempla en el párrafo primero, que el usuario de servicios de pago obtendrá la rectificación por parte del proveedor de servicios de pago de una operación no autorizada, o ejecutada incorrectamente, únicamente si el usuario de servicios de pago se lo comunica sin demora injustificada, o en cuanto tenga conocimiento de cualquiera de dichas operaciones que sea objeto de reclamación, incluso de las cubiertas por el art. 60, y, en todo caso, dentro de un plazo máximo de trece meses contados desde la fecha del adeudo.

En conclusión, no apreciamos el error en la valoración de la prueba que se atribuye a la sentencia recurrida, y no puede eximirse a la recurrente de la responsabilidad declarada por la sentencia recurrida, que debe ser confirmada.

24

CUARTO.-Conforme a lo dispuesto por los artículos 394 y 398 LEC, las costas de esta alzada deben imponerse a la parte recurrente, con pérdida del depósito que se hubiera constituido para recurrir.

En nombre del Rey, y por la autoridad que me confiere la Constitución aprobada por el pueblo español,

Fallo

1. Desestimo el recurso interpuesto por BANCO DE SANTANDER S.A.

2. Confirmo la sentencia impugnada.

3. Se imponen a la parte apelante el pago de las costas procesales generadas en esta alzada.

4. Con pérdida del depósito que, en su caso, se hubiera efectuado para recurrir.

A su tiempo, devuélvanse al Juzgado de procedencia los autos originales, con certificación de esta resolución para su ejecución y cumplimiento.

Contra esta resolución cabe recurso de casación y extraordinario por infracción procesal según los arts. 477 y art. 469 y Disposición Final Decimosexta LEC, cuyo conocimiento corresponde a la Sala Primera del Tribunal Supremo y a interponer ante esta Audiencia Provincial en el plazo de veinte días.

Debiendo acreditarse en el momento de la interposición del recurso haber consignado el depósito exigido para recurrir en la cuenta de depósitos y consignaciones de este órgano abierta en Banco Santander, con apercibimiento de que, de no verificarlo, no se admitirá a trámite el recurso pretendido.

Así, por esta mi Sentencia, lo pronuncio, mando y firmo.

25