1.520 euros recuperados por Phishing en Banco Santander

SENTENCIA nº 000119/2023

En Santander, a 20 de junio del 2023.

Vistos por el Ilmo. D. XXXXXXXX, Magistrado-Juez del JUZGADO DE PRIMERA INSTANCIA Nº 5 de Santander de Santander y su Partido, los presentes autos de Juicio verbal (250.2) nº 0001315/2022 seguidos ante este Juzgado, a instancia de XXXXXXX y asistido por el Letrado D./Dña. IVAN METOLA RODRIGUEZ contra el BANCO SANTANDER SA representado por el Procurador Dña. XXXXXXXX y defendido por el Letrado D./Dña. XXXXXXXX sobre RECLAMACION DE CANTIDAD.

ANTECEDENTES DE HECHO

PRIMERO.- Por XXXXXXX se presentó demanda de juicio verbal frente al BANCO DE SANTANDER, S.A en la que tras alegar los derechos y fundamentos de derecho que estimó pertinentes terminó suplicando se dictara sentencia conforme al suplico de la demanda y que aquí se da por reproducido.

SEGUNDO.- No habiéndose convocado las partes a juicio verbal el mismo se ha celebrado con el resultado que obra en autos.

FUNDAMENTOS DE DERECHO

PRIMERO.- Estas actuaciones tienen su origen en una demanda interpuesta por la representación de XXXXXXX ejercitando acción de reclamación de cantidad frente a BANCO SANTANDER S.A. que ha oponiéndose.

Los hechos sobre los que se plantea el litigio son en síntesis los siguientes.

La demandante es cliente de la entidad demandada en virtud de contrato de cuenta con tarjeta asociada a la misma nº XXXXXXXXXXXXXX.

En fecha 24 de agosto de 2.022 a las 17.01 h la actora recibió una comunicación mediante SMS, aparentemente remitida por el Banco Santander, en la que se le informaba de que se había realizado un cargo en su cuenta y se le instaba a acceder con carácter urgente a un enlace web en caso de no reconocerlo

Dicho enlace le redirigió a una plataforma web de idénticas características a la del Banco, plataforma en la cual se le requería para que introdujese las claves que desde Banco Santander le estaban remitiendo por SMS a través del mismo canal de comunicación, cosa que hizo, siempre en la creencia de que trataba con su entidad bancaria de confianza.

Dichos SMS fueron remitidos desde el mismo teléfono de contacto utilizado por Banco Santander para realizar comunicaciones a sus clientes, lo que hacía imposible para el actor siquiera sospechar que se tratase de algún tipo de fraude.

Poco después descubrió que se habían realizado las siguientes compras casi simultáneas, ninguna de las cuales había sido autorizada por ella:

-Compra por importe de 550 euros en Rebellion Pay
-Compra por importe de 200 euros en Rebellion Pay;
-Compra por importe de 500 euros en Bnext Electronic Issue
-Compra por importe de 90 euros en Rebellion Pay;
-Compra por importe de 90 euros en Rebellion Pay;
-Compra por importe de 90 euros en Rebellion Pay.

Todas las operaciones se realizaron entre las 15.57 y las 17.23 horas, y
suman el importe de 1.520 euros.

En cuanto tuvo conocimiento de este hecho la demandante se puso en contacto con el Banco en donde le indicaron que los mensajes de autenticación no procedían de la entidad.

También el día 8 de septiembre de 2.022 interpuso denuncia ante el Cuerpo Nacional de Policía de Madrid-Usera, por haber sido víctima de un delito de estafa mediante técnicas de phishing, incoándose atestado nº 34472/22.

La sra.XXXXXXX ha formulado reclamación ante la entidad demandada solicitando el reintegro de los fondos indebidamente transferidos que ha sido rechazada.

A la vista de lo expuesto y al amparo de lo dispuesto en el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera solicita a través del presente procedimiento que se condene a la demandada al reintegro de la cantidad de 1.520 euros.

La demandada se opone alegando que las disposiciones se realizaron por la actuación negligente de la demanda al facilitar a un tercero sus claves de seguridad ,negando que hubiera habido ningún incumplimiento de sus obligaciones por su parte.

SEGUNDO.- Dados los términos en que ha quedado planteado el debate, para la resolución de la cuestión litigiosa debe partirse de la normativa de aplicación que es el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera.

El mismo por lo que aquí interés establece lo siguiente:

Artículo 43. Notificación y rectificación de operaciones de pago no autorizadas o ejecutadas incorrectamente.

1. El usuario de servicios de pago obtendrá la rectificación por parte del proveedor de servicios de pago de una operación de pago no autorizada o ejecutada incorrectamente únicamente si el usuario de servicios de pago se lo comunica sin demora injustificada, en cuanto tenga conocimiento de cualquiera de dichas operaciones que sea objeto de reclamación, incluso las cubiertas por el artículo 60, y, en todo caso, dentro de un plazo máximo de trece meses contados desde la fecha del adeudo.

Artículo 44. Prueba de la autenticación y ejecución de las operaciones de pago.

1. Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago.

Si el usuario de servicios de pago inicia la operación de pago a través de un proveedor de servicios de iniciación de pagos, corresponderá a éste demostrar que, dentro de su ámbito de competencia, la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable.

2. A los efectos de lo establecido en el apartado anterior, el registro por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 41.

3. Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave.

Artículo 45. Responsabilidad del proveedor de servicios de pago en caso de operaciones de pago no autorizadas.

1. Sin perjuicio del artículo 43 de este real decreto-ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada.

Artículo 46. Responsabilidad del ordenante en caso de operaciones de pago no autorizadas.

1. No obstante lo dispuesto en el artículo 45, el ordenante podrá quedar obligado a soportar, hasta un máximo de 50 euros, las pérdidas derivadas de operaciones de pago no autorizadas resultantes de la utilización de un instrumento de pago extraviado, sustraído o apropiado indebidamente por un tercero, salvo que:

a) al ordenante no le resultara posible detectar la pérdida, la sustracción o la apropiación indebida de un instrumento de pago antes de un pago, salvo cuando el propio ordenante haya actuado fraudulentamente, o

b) la pérdida se debiera a la acción o inacción de empleados o de cualquier agente, sucursal o entidad de un proveedor de servicios de pago al que se hayan externalizado actividades.

El ordenante soportará todas las pérdidas derivadas de operaciones de pago no autorizadas si el ordenante ha incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41. En esos casos, no será de aplicación el importe máximo contemplado en el párrafo primero.

En todo caso, el ordenante quedará exento de toda responsabilidad en caso de sustracción, extravío o apropiación indebida de un instrumento de pago cuando las operaciones se hayan efectuado de forma no presencial utilizando únicamente los datos de pago impresos en el propio instrumento, siempre que no se haya producido fraude o negligencia grave por su parte en el cumplimiento de sus obligaciones de custodia del instrumento de pago y las credenciales de seguridad y haya notificado dicha circunstancia sin demora.

TERCERO.- Del contenido expuesto resulta que se establece una especie de presunción de culpa o de responsabilidad cuasiobjetiva del Banco de manera que debe ser éste el que demuestre que hubo una actuación dolosa o constitutiva de imprudencia grave por parte del cliente.

La entidad demandada manifiesta que “la demandante accedió a un enlace ante una mera solicitud vía SMS, sin contrastar nada más, aportando directamente los datos solicitados” ; “facilitó sus claves de acceso, de tal forma que permitió a terceros poder utilizar la tarjeta con conocimiento de sus claves personales, sorteando todas las medidas de seguridad, pues las disposiciones se efectuaron dentro del marco del comercio electrónico seguro”; y que se retrasó en interponer la denuncia ante la Policia ya que las disposiciones tuvieron lugar el día 24 de agosto y la denuncia la presentó el 8 de septiembre.

Como medio de prueba se ha limitado a presentar un certificado emitido por Redsys Servicios de Procesamiento S.L. en el que se indica que “las citadas operaciones fueron autorizadas, registradas con exactitud y contabilizadas y no se vieron afectadas por un fallo técnico o cualquier otra deficiencia.”

Esta prueba resulta insuficiente para acreditar la negligencia de la demandante en la custodia de las claves de seguridad.

Según resulta del documento aportado con la demanda con el nº2 el SMS en el que se le informaba de que se había realizado un cargo de 105 € fue recibido en la misma cadena de mensajes provenientes de Banco Santander en donde constaban otros mensajes de la propia entidad relativos a operaciones efectivamente realizadas por la titular, por lo que todo parecía indicar que el remitente era el banco y nada había que hiciera sospechar a la sra.XXXXXXX que pudiera tratarse de un fraude.

El enlace le redirigió a una página en donde se le pedía que introdujera sus claves de seguridad lo que hizo a continuación ya que no había nada anómalo en el cauce de comunicación utilizado.

El banco señala en su respuesta a la reclamación formulada que “previo a la autenticación de las operaciones, se realizó el alta de un nuevo dispositivo como seguro. Para la validación de este cambio se remitió una clave de un solo uso al teléfono de la Sra. XXXXXXX.”

Según resulta del pantallazo aportado estas operaciones se realizaron a las 17:50 y 17:51 horas del dia 24 de agosto.

Ahora bien según los detalles de los movimientos que se aportan como doc.nº3 las operaciones se realizaron entre las 15:57 y las 17:23 horas de ese dia.

Por tanto ya se habían realizado al menos tres de ellas antes de habermrecibido el SMS y de haberse producido el alta de un nuevo dispositivo.

La demandada no ha dado una explicación razonable de cómo pudieron haberse producido dichas operaciones sin que la sra.XXXXX las hubiera autorizado y sin que exista constancia de que se le hubiera realizado ninguna comunicación hasta las 17:01 h.

A la vista de estas circunstancias anómalas por el carácter poco habitual de las operaciones y su reiteración en poco espacio de tiempo el proveedor de los servicios de pago debió cerciorase adecuadamente de quien la estaba ordenando era el titular antes de autorizarla lo que no consta que hiciera y solo figura un SMS a las 18:02 informándole de que se habían “registrado operaciones poco habituales con su tarjeta”.

Por tanto a la vista de esta falta de actividad probatoria debe operar la presunción de responsabilidad legalmente establecida por lo que la demandada deberá abonar a la actora la cantidad reclamada

CUARTO.- Las costas se impondrán a la demandada al haber sido estimada íntegramente la pretensión formulada (Art. 394 Ley de Enjuiciamiento civil )

FALLO

ESTIMANDO LA DEMANDA interpuesta por XXXXXXX frente a BANCO SANTANDER S.A. representado por la procuradora sra.XXXXXXX debo condenar a este a abonar a aquella la suma de 1.520 € más los intereses legales desde su cargo en cuenta (24-8-2022)así como al pago de las costas procesales.

Esta resolución ES FIRME y frente a ella no cabe recurso. (art.455 LEC).

Así por esta sentencia, lo pronuncio, mando y firmo.

Así por esta mi sentencia, de la que se expedirá testimonio para su unión a los autos, lo pronuncio, mando y firmo.

El Magistrado-Juez