1.600 euros recuperados por Phishing en Banco Santander

S E N T E N C I A nº 000073/2023

En Santander a veintiocho de abril de dos mil veintitrés.

DOÑA XXXXXXXX, Magistrada- Juez del Juzgado de 1ª Instancia nº ocho de Santander, habiendo visto los autos del Juicio Verbal 1359/2022 de reclamación de cantidad a instancia de XXXXXXXX asistida por el Letrado Sr. Metola Rodríguez contra BANCO DE SANTANDER, en rebeldía, en nombre de S.M. El Rey, dictó la siguiente sentencia:

ANTECEDENTES DE HECHO

PRIMERO.-Por XXXXXXXX asistida por el Letrado Sr. Metola Rodríguez se interpuso Demanda de Juicio Verbal en fecha 27 de diciembre de 2022 en reclamación de cantidad contra BANCO DE SANTANDER en la forma que se expuso en la Demanda y en la que, tras alegar los Fundamentos de Derecho que estimó de aplicación, terminaba suplicando que se dicte sentencia por la que estimando la Demanda se condene al demandado a pagar la cantidad de 1600 euros más los intereses legales, así como al pago de las costas procesales causadas.

SEGUNDO.- Por decreto de fecha 29 de diciembre de 2022 se admitió a trámite la Demanda y se acordó el emplazamiento de la demandada para que en el plazo de 10 días compareciera y contestara a la demanda, lo cual no verificó, tras ser emplazado, siendo declarado en rebeldía en fecha 21 de abril de 2023, quedando los autos vistos para sentencia con fecha 28 de abril de 2023 al no haber interesado la celebración de vista ninguna de las dos partes.

TERCERO– Que en la sustanciación del presente juicio se han observado las prescripciones legales.

FUNDAMENTOS DE DERECHO

PRIMERO.- Ejercita la actora una acción personal de reclamación de cantidad frente a la entidad bancaria con la que tiene contratada una cuenta corriente, a la que tiene asociada una tarjeta MASTERCARD, el Banco de Santander, por haber sido objeto de un fraude, así refiere que el día 22 de febrero de 2022 recibió un mensaje SMS aparentemente remitido por el demandado en el mismo hilo de mensajes anteriores del Banco de Santander y desde el mismo número, en el que se le informaba que su cuenta había sido bloqueada y que tenía que acceder a través de un enlace para reactivarla, que así lo hizo apareciendo una página web idéntica a la de su Banco, en la que se le requería para que introdujese las claves que le estaban remitiendo por SMS.

Comprobando poco después que había sido un engaño y que se habían llevado a cabo varias compras no autorizadas por ella por un total de 1600 euros entre las 19,32 y las 19,49 horas. Que inmediatamente avisó al Banco de Santander que procedió a bloquear la tarjeta, que después el Banco le envió un SMS informando de operaciones poco habituales, hubo hasta 10 intentos más . Que el día 10 de marzo denunció estos hechos en el CNP y reclamación extrajudicial ante el Banco de Santander que denegó el amparo a dicho fraude manifestando que no procederían al reintegro de dicha cantidad, porque las operaciones se habían realizado utilizando claves personales de la actora, por lo que la parte demandada contravino lo dispuesto en el Real Decreto Ley 19/2018 de 23 de noviembre de servicios de pago y otras medidas urgentes en materia financiera puesto que ella no actuó de manera fraudulenta ni con negligencia grave.

Por su parte BANCO DE SANTANDER, no ha contestado a la demanda pero tras ser emplazado sí ha llevado a cabo un ingreso de 1600 euros en la cuenta del Juzgado con fecha 27 de abril de 2023 sin que haya presentado escrito alguno manifestando su allanamiento y sin que haya comparecido para oponerse a la reclamación o para manifestar su oposición a las alegaciones de la actora.

En todo caso y de la documentación facilitada por la actora se desprende que el demandado mantiene que ha cumplido con todas y cada una de sus obligaciones, y que en todo caso, a la vista de la propia documentación aportada por el actor, especialmente la denuncia ante la Policía Nacional, se desprende que el fraude se pudo llevar a cabo porque la propia actora facilitó sus datos bancarios en la creencia de que se trataba del propio Banco de Santander, y que por lo tanto no ha existido negligencia alguna ni incumplimiento de sus obligaciones por parte del demandado.

A la vista de la documentación aportada, queda acreditada la relación contractual entre ambas, y la existencia de una serie de cargos, tres, que el actor no llevó a cabo, todos ellos el día 23 de febrero de 2022, por importe de 500 euros a las 19:49 h., de 500 euros a las 19:53 h y de 600 euros a las 19:53 h. De los tres cargos, el demandado no ha reintegrado al actor ninguno, reclamando mediante la presente demanda los 1600 euros basándose en lo dispuesto en el RD Ley 19/2018 sobre servicios de pago y otras medidas urgentes en materia financiera y en la doctrina de los actos propios.

SEGUNDO.- Estamos en presencia de un fraude realizado a través del servicio de banco on line, denominado, phising, que de acuerdo con la Agencia Española de Protección de Datos (Resolución del Expediente Nº: E/00762/2004, DE 24 DE MAYO DE 2006): » el objetivo de los ataques de «phishing» es la obtención de forma engañosa y fraudulenta de los códigos de usuarios y contraseñas de clientes de Banca Electrónica, al objeto de realizar transferencias no autorizadas…Su operatoria comienza con la adquisición en internet de un «paquete de herramientas», que incluyen programas informáticos e información necesaria para realizar los ataques. Esta información incluye «listas de equipos comprometidos» que pueden ser utilizados bien para mandar correos electrónicos, bien para alojar páginas web falsificadas. Incluyen además «bases de datos de direcciones de correo electrónico». Una vez en posesión del paquete, se remiten los correos electrónicos con carácter indiscriminado (buscando contactar con clientes de la entidad financiera) informando de la necesidad de conectarse a una página web que parece pertenecer a la citada entidad y portar los códigos de acceso y contraseñas de clientes. Dicha página web se suele alojar en un equipo conectado a Internet cuya seguridad se haya [visto] comprometida», sin conocimiento de su usuario, y que se encuentra normalmente en un país distinto al de los destinatarios del ataque. De esta forma se constituye un «fichero de datos personales con códigos de usuarios y contraseñas de clientes» recabados de forma engañosa y fraudulenta, que se ubica normalmente en el mismo «equipo remoto comprometido» en el que se aloja la página web falsificada. Con los datos obtenidos se realizan transferencias a cuentas de colaboradores situados en España los cuales a su vez retiran el dinero en efectivo y tras descontar una comisión realizan transferencias monetarias internacionales mediante entidades especializadas «.

El phishing se origina con la suplantación de la identidad del banco por parte del phisher con la finalidad de adquirir información confidencial sobre contraseñas de cuentas bancarias, tarjetas de crédito o cualquier otra información en relación con el banco, que permita entrar en las cuentas de los usuarios en Internet de banca electrónica. El internauta recibe un correo electrónico o cualquier mensaje instantáneo, a través del cual se le informa de que debe cambiar sus claves bancarias, proporcionándole un link a través del cual pueda acceder a la página Web de la supuesta entidad bancaria y allí realizar la modificación aconsejada. En la mayoría de los métodos de phishing se utilizan técnicas de engaño, a través de las cuales el phisher utiliza contra la víctima el propio código de programa del banco o servicio similar, adquiriendo la página Web la verdadera apariencia de la entidad bancaria. Igualmente, resulta muy habitual que el internauta reciba un correo en el que se le informe de que debe verificar sus cuentas, seguido por un enlace que parece la página Web oficial de la entidad bancaria.

Conforme a la doctrina jurisprudencial en materia de phising la responsabilidad de la titular de la banca online es de naturaleza cuasi-objetiva, derivada de la exigencia a la entidad titular del servicio online de adoptar medidas de seguridad necesarias y renovables ante los distintos modos de fraude informático, en modo tal que salvo que se acredite la negligencia grave por parte del usuario de la banca electrónica, la entida financiera debe responder del reintegro de los importes obtenidos de forma fraudulenta.

TERCERO.- En el caso que nos ocupa ha quedado probado que el actor se puso en contacto con el demandado ante la sospecha de que algo estuviera ocurriendo con su cuenta, lo que demuestra, la comunicación que la parte actora hizo a los servicios de la entidad, y de la denuncia presentada, consta por otro lado que poco después de esos movimientos el propio Banco de Santander envió por el mismo hilo de SMS en el que se había recibido el mensaje fraudulento, uno, en el que avisaba de movimientos extraños; de modo tal que no hubo negligencia por parte de la actora sino que actuó con diligencia e inmediatez. Así se desprende de los documentos aportados junto con la demanda, nº 7, 9, 10 y 11.

La lógica de la norma de acceso a la fuente de la prueba y facilidad probatoria en lo que hace a la implementación de medidas de seguridad en la prestación de un servicio que se da por las entidades de crédito a sus clientes a través de una oficina virtual que se desenvuelve en redes bien de internet, bien de comunicaciones móviles, se presenta como criterio más que de razonable atención al caso en el que la propia seguridad y debida reserva de la red se contrapone al acceso por parte de un tercero distinto al titular de la misma que asume poner en la red pública un conjunto de comunicaciones para permitir operaciones bancarias que requiere de soluciones tecnológicas muy avanzadas que minimicen las amenazas contra la autenticidad, integridad y la confidencialidad de los datos que circulan a través de la red.

Por otro lado el apartado 6 del artículo 217 LEC dispone que las normas contenidas en los apartados precedentes «se aplicarán siempre que una disposición legal expresa no distribuya con criterios especiales la carga de probar los hechos relevantes«.

Desde el punto de vista del derecho de consumo -no está en cuestión la condición de usuario del actor, el articulo 147 del Texto Refundido de la Ley para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, aprobado por el Real Decreto Legislativo 1/2007, de 16 de noviembre, dispone: «Los prestadores de servicios serán responsables de los y perjuicios causados a los consumidores o usuarios, salvo que prueben que han cumplido las exigencias y requisitos reglamentariamente establecidos y demás cuidados y diligencias que exige la naturaleza del servicio«.

Por otro lado, La responsabilidad en estos supuestos no puede atribuirse directamente al supuesto ordenante de la transferencia por entenderse ésta autorizada al haberse realizado de acuerdo con los sistemas de autenticación del banco.

Los sistemas de autenticación se establecen por los proveedores de servicios de pago y si un banco no ha sido capaz de limitar el acceso al canal de banca electrónica no puede pretender que el presunto ordenante víctima de esta práctica fraudulenta sea el único responsable, pues es el banco quien tiene responsabilidad respecto del buen funcionamiento y la seguridad del mismo.

Por tanto, a falta de prueba de la negligencia del actor, debe afirmarse que la entidad financiera no cumplió con los deberes de seguridad frente a los riesgos concretos que podrían derivarse del funcionamiento de su plataforma de banca digital, deberes que no se cumplen con la mera literalidad genérica de los contratos suscritos, ni con la firma o suscripción de los mismos, pues son de índole material y técnico que han de fluir a través de diversos niveles de seguridad que pueden constituir opciones de la entidad pero no frente a sus clientes usuarios del sistema en caso de fallo del mismo pues, en tales casos, constituye objetivamente la omisión de una medida esencial en tanto tienen por objeto garantizar la autenticación de la orden de pago como, por lo demás, se desprende del propio tener del contrato de banca próxima.

En consecuencia, es la prestadora de los servicios de pago quien tiene la obligación de facilitar un sistema de banca telemática segura, y no son sus clientes- usuarios los que deben prevenir ni averiguar las modalidades de riesgos que el sistema conlleva, ni prevenir con un asesoramiento experto los mismos, no pudiendo en suma la parte obligada legalmente a ofrecer un modelo de servicio de caja que requiere de un especial nivel de seguridad, objetar que el usuario debía conocer aspectos técnicos tales como identificar un sms como falso, cuando no consta que fuera burdo y por tanto, evidente de toda falsedad. Ninguna constancia existe, por lo demás, de que hubiera un uso indebido del sistema por parte del cliente ni que incumpliera con sus obligaciones básicas. Este sistema de responsabilidad civil, tan solo cesa cuando el cliente ha actuado fraudulentamente o con negligencia grave a la hora de aplicar los medios razonables de protección de seguridad personalizados de que haya sido provisto, o en el caso de que no haya comunicado a la entidad el pago no autorizado, en cuanto tenga conocimiento del mismo, siempre y cuando la entidad disponga de un sistema de comunicación adecuado, gratuito y disponible, en todo momento, que le permita al usuario del servicio efectuar la comunicación de la actuación fraudulenta.

Debe por lo tanto, estimarse la demanda íntegramente.

El artículo 394 de la Ley de Enjuiciamiento Civil, establece que las costas se impondrán a la parte cuyas pretensiones hubieran sido desestimadas.

Vistos los artículos citados, los demás concordantes y de general y pertinente aplicación

FALLO

Que estimando la Demanda interpuesta a instancia de XXXXXXXX asistida por el Letrado Sr. Metola Rodríguez contra BANCO DE SANTANDER, en rebeldía, en reclamación de cantidad, debo condenar al citado demandado a abonar al actor la cantidad de 1600 euros, ya consignados en la cuenta del Juzgado el día 27 de abril de 2023, más los intereses legales con expresa condena en costas a la demandada.

Notifíquese la presente resolución a las partes, poniendo en las actuaciones certificación de la misma, inclúyase la presente en el libro de sentencias.

Así por esta mi sentencia la pronuncio, mando y firmo.