3.760 euros recuperados por Phishing en Banco Santander

SENTENCIA nº 000132/2023

En Santander, a 12 de julio del 2023.

Vistos por el Ilmo./a D./Dña. XXXXXXXX, Magistrado-Juez del JUZGADO DE PRIMERA INSTANCIA Nº 12 de Santander de Santander y su Partido, los presentes autos deJuicio verbal (250.2) nº 0000058/2023 seguidos ante este Juzgado, a instancia de XXXXXXXX representado por el Procurador D./Dña. XXXXXXXX y asistido por el Letrado D./Dña. IVAN METOLA RODRIGUEZ contra BANCO SANTANDER SA representado por el Procurador XXXXXXXX y defendido por el Letrado D./Dña. sobre Obligaciones.

ANTECEDENTES DE HECHO

PRIMERO.- Por la Procuradora Sra. XXXXXXXX , en nombre y representación de Doña XXXXXXXX, se presentó, en fecha 10 de enero de 2023, demanda de Juicio verbal, en ejercicio de acción personal de reclamación de cantidad, con sede en un contrato de cuenta corriente, concertado con el demandado, Banco de Santander s.a., reclamando la cantidad de 3.760,38€ que le habían sustraído a través de una página de internet, sin su consentimiento.

SEGUNDO.- Admitida a trámite la demanda y acordado el emplazamiento del demandado, se presentó escrito de contestación oponiéndose a la reclamación pretendida y se alega que la página del banco es segura y por ello fue la actora quien tuvo que proporcionar sus claves, cuando tiene la obligación de su responsabilidad y custodia.

En el acto de la vista las partes, tras ratificarse en sus respectivos escritos, propusieron como prueba la documental aportada.

En la tramitación de este procedimiento, se han observado todas las prescripciones legales.

FUNDAMENTOS DE DERECHO

PRIMERO.- La parte actora solicita la condena del demandado a pagar la suma de 3.760,38€, más intereses legales, desde que se cargó en su cuenta dicha cantidad y las costas del procedimiento.

Relata en su demanda, que el día, 9 de febrero de 2022, recibió un SMS, donde se le indicaba que su cuenta podía haber sufrido un ciberataque y debía de acceder a su web a través del enlace que se proporcionaba a fin de modificar sus datos de acceso. Ese mensaje fue recibido como el último de la misma cadena de SMS que provenían del Banco de Santander, por lo que parecía que era efectivamente el banco quien lo mandaba (documento nº3). Dicho enlace le redirigió a una plataforma igual ala del banco donde se le requería para que introdujese las claves que desde el banco le estaban remitiendo por SMS, lo que llevó a cabo. Unas horas más tarde, recibió una comunicación en la que se le decía que se había realizado una transferencia de dinero, de 500€ través de Bizum, siendo beneficiaria XXXXXXXX . La actora accedió a su banca online y pudo darse cuenta de que tenía retenida la cantidad de 3.760,38€

Tras estos hechos, la actora se puso en comunicación con el banco, para que bloqueara su cuenta y a pesar de la rapidez en ser advertida, la entidad bancaria permitió la retirada del citado importe (documentos nº4 y 5).

El 15 de febrero de 2022, la actora presentó denuncia ante el cuerpo nacional de Policía de Huelva (documento nº6). La actora además interpuso reclamación ante el servicio de reclamaciones y atención al cliente del banco (documento nº8), al no obtener respuesta satisfactoria, presentó nueva reclamación (documento nº9), donde el banco le solicitó la denuncia policial (documento nº 10), se dio contestación al requerimiento (documento nº11).

SEGUNDO.- La parte demandada compareció en tiempo y forma y se opone a la demanda alegando que la cuestión objeto de controversia es si se han cumplido las obligaciones de custodia del medio de pago, por parte de la actora, su diligencia a la hora de utilizarlas y las mínimas medidas que debía de haber adoptado.

Así las cosas, el conocimiento por terceros del número secreto y de los demás datos necesarios para disponer es evitable. Aquí las operaciones cuyo reintegro se reclaman fueron llevadas a cabo mediante la utilización de sus claves, que ella misma aportó a un tercero y no existe ningún fallo técnico o deficiencia que deba imputarse al banco. En la denuncia presentada ante la Policía Nacional, la actora pone de manifiesto dos cuestiones: -que accedió a un enlace ante una mera solicitud de SMS, el enlace no se corresponde con el Banco de Santander, como se ve en la solicitud -la segunda es que fue la actora quien facilitó sus claves de acceso y así lo dijo expresamente. También ha de valorarse el retraso en la interposición de la denuncia, ya que las disposiciones se produjeron el 9 de febrero y la denuncia se presentó el día 15. Por ello, se considera que existe negligencia en la conducta de la actora, al no custodiar el medio de pago, entregando voluntariamente sus claves. Al efectuarse las disposiciones mediante Bizum, es preciso que el tercero conozca la clave de acceso de la firma electrónica y del código de seguridad que se remite para cada una de las operaciones, aportación voluntaria que llevó a cabo la actora y que exonera al banco de responsabilidad.

TERCERO.- Partiendo de lo expuesto, la discrepancia fundamental que mantienen las partes, se centra en determinar si la entidad bancaria, incurrió en un comportamiento negligente en el cumplimiento de las obligaciones derivadas de la prestación y uso de los servicios de pago online derivada del contrato de cuenta corriente concertado entre ambas partes.

Centrada la discrepancia en si el comportamiento adoptado por las partes aquí enfrentadas debe ser calificado como negligente, en el cumplimiento de las obligaciones que para cada uno de ellos se deriva del contrato de tarjeta de débito que les vincula y las consecuencias a extraer de todo ello, para el análisis del cumplimiento que cada una de las partes ha hecho de las obligaciones que les corresponde como titular y usuario de la tarjeta, la demandante y como prestadora del servicio de pago la demandada, el marco normativo de que debe partirse viene constituido por el RDL 19/2018, que derogó la Ley 16/2009.

La Directiva 2015/2366 y el Reglamento Delegado 2018/389 de la Comisión, interpretado todo ello conforme a las reglas y principios básicos establecidos en el CC, respecto de las obligaciones y contratos y ello a la vista de todas las circunstancias concurrentes en el supuesto de hecho enjuiciado. Como se indica en la sentencia nº 539/2021 de 21 de diciembre de la Sec. 6ª (Sede Vigo) de la Audiencia provincial de Pontevedra, en la que se analiza un supuesto de hecho similar al presente, el marco normativo del que debe partirse es el siguiente:

» Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior

Considerando:

(72) A la hora de evaluar la posible negligencia o la negligencia grave del usuario de servicios de pago, deben tomarse en consideración todas las circunstancias. Las pruebas de una presunta negligencia, y el grado de esta, deben evaluarse con arreglo a la normativa nacional. No obstante, si el concepto de negligencia supone un incumplimiento del deber de diligencia, la negligencia grave tiene que significar algo más que la mera negligencia, lo que entraña una conducta caracterizada por un grado significativo de falta de diligencia. Un ejemplo sería el guardar las credenciales usadas para la autorización de una operación de pago junto al instrumento de pago, en un formato abierto y fácilmente detectable para terceros. Se deben considerar nulas las cláusulas contractuales y las condiciones de prestación y utilización de instrumentos de pago mediante las cuales aumente la carga de la prueba sobre el consumidor o se reduzca la carga de la prueba sobre el emisor. Además, en situaciones específicas y, más concretamente, cuando el instrumento de pago no esté presente en el punto de venta, como en el caso de los pagos en línea, resulta oportuno que el proveedor de servicios aporte pruebas de la presunta negligencia, puesto que los medios a disposición del ordenante son limitados en esos casos.

El Reglamento Delegado (UE) 2018/389 de la Comisión de 27 de noviembre de 2017 por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguro. En vigor desde el 14 de septiembre de 2019, establece los requisitos que deben cumplir los proveedores de servicios de pago a efectos de la aplicación de medidas de seguridad que les permitan hacer lo siguiente:

a) aplicar el procedimiento de autenticación reforzada de clientes, de conformidad con el artículo 97 de la Directiva (UE) 2015/2366;

b) eximir de la aplicación de los requisitos de seguridad de la autenticación reforzada de clientes, bajo determinadas condiciones limitadas y basadas en el nivel de riesgo, el importe de la operación de pago y la frecuencia con que se repite, y el canal de pago empleado para la ejecución de dicha operación;

c) proteger la confidencialidad y la integridad de las credenciales de seguridad personalizadas del usuario de servicios de pago;

d) establecer estándares abiertos comunes y seguros para la comunicación entre los proveedores de servicios de pago gestores de cuenta, los proveedores de servicios de iniciación de pagos, los proveedores de servicios de información sobre cuentas, los ordenantes, los beneficiarios y otros proveedores de servicios de pago en relación con la provisión y la utilización de servicios de pago en aplicación del título IV de la Directiva (UE) 2015/2366.

Artículo 2 Requisitos generales de autenticación.

1. Los proveedores de servicios de pago dispondrán de mecanismos de supervisión de las operaciones que les permitan detectar operaciones de pago no autorizadas o fraudulentas a efectos de la aplicación de las medidas de seguridad a que se hace referencia en el artículo 1, letras a) y b).

Dichos mecanismos se basarán en el análisis de las operaciones de pago teniendo en cuenta los elementos que caractericen al usuario de servicios de pago en el contexto de un uso normal de las credenciales de seguridad personalizadas.

2.Los proveedores de servicios de pago garantizarán que los mecanismos de supervisión de las operaciones tengan en cuenta, como mínimo, todos los factores basados en el riesgo siguientes: a) listas de elementos de autenticación comprometidos o sustraídos; b) el importe de cada operación de pago; c) supuestos de fraude conocidos en la prestación de servicios de pago; d) señales de infecciones por programas informáticos maliciosos en cualquier sesión del procedimiento de autenticación; e) en caso de que el dispositivo o el programa informático de acceso sea facilitado por el proveedor de servicios de pago, un registro de la utilización del dispositivo o el programa informático de acceso facilitado al usuario de los servicios de pago y de su uso anormal.

Artículo 3 Revisión de las medidas de seguridad

1.La aplicación de las medidas de seguridad a que se refiere el artículo 1 deberá documentarse, probarse periódicamente, evaluarse y auditarse de conformidad con el marco jurídico aplicable al proveedor de servicios de pago por auditores con experiencia en el ámbito de la seguridad y los pagos informáticos y funcionalmente independientes, ya pertenezcan al organigrama del propio proveedor de servicios de pago o sean externos a él.

CUARTO.- El artículo 41 de la Ley 19/2018, dispone que: “bligaciones del usuario de servicios de pago en relación con los instrumentos de pago y las credenciales de seguridad personalizadas

El usuario de servicios de pago habilitado para utilizar un instrumento de pago:

a) utilizará el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago que deberán ser objetivas, no discriminatorias y proporcionadas y, en particular, en cuanto reciba un instrumento de pago, tomará todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas;

b) en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, lo notificará al proveedor de servicios de pago o a la entidad que este designe, sin demora indebida en cuanto tenga conocimiento de ello.

Artículo 42. Obligaciones del proveedor de servicios de pago en relación con los instrumentos de pago.

1. El proveedor de servicios de pago emisor de un instrumento de pago:

a) Se cerciorará de que las credenciales de seguridad personalizadas del instrumento de pago solo sean accesibles para el usuario de servicios de pago facultado para utilizar dicho instrumento, sin perjuicio de las obligaciones que incumben al usuario de servicios de pago con arreglo al artículo 41.

b) Se abstendrá de enviar instrumentos de pago que no hayan sido solicitados, salvo en caso de que deba sustituirse un instrumento de pago ya entregado al usuario de servicios de pago.

Esta sustitución podrá venir motivada por la incorporación al instrumento de pago de nuevas funcionalidades, no expresamente solicitadas por el usuario, siempre que en el contrato marco se hubiera previsto tal posibilidad y la sustitución se realice con carácter gratuito para el cliente.

c) Garantizará que en todo momento estén disponibles medios adecuados y gratuitos que permitan al usuario de servicios de pago efectuar una notificación en virtud del artículo 41.b), o solicitar un desbloqueo con arreglo a lo dispuesto en el artículo 40.4. A este respecto, el proveedor de servicios de pago facilitará, también gratuitamente, al usuario de dichos servicios, cuando éste se lo requiera, medios tales que le permitan demostrar que ha efectuado dicha comunicación, durante los 18 meses siguientes a la misma.

d) Ofrecerá al usuario de servicios de pago la posibilidad de efectuar una notificación en virtud del artículo 41.b), gratuitamente y cobrar, si acaso, únicamente los costes de sustitución directamente imputables al instrumento de pago.

e) Impedirá cualquier utilización del instrumento de pago una vez efectuada la notificación en virtud del artículo 41.b).

2. El proveedor de servicios de pago soportará los riesgos derivados del envío de un instrumento de pago al usuario de servicios de pago o del envío de cualesquiera elementos de seguridad personalizados del mismo.

Artículo 44. Prueba de la autenticación y ejecución de las operaciones de pago.

1. Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago.

Si el usuario de servicios de pago inicia la operación de pago a través de un proveedor de servicios de iniciación de pagos, corresponderá a éste demostrar que, dentro de su ámbito de competencia, la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable.

2. A los efectos de lo establecido en el apartado anterior, el registro por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 41.

3. Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave.

Artículo 45 Responsabilidad del proveedor de servicios de pago en caso de operaciones de pago no autorizadas

1. Sin perjuicio del artículo 43 de este Real decreto-ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada.

Artículo 46 Responsabilidad del ordenante en caso de operaciones de pago no autorizadas

1. No obstante lo dispuesto en el artículo 45, el ordenante podrá quedar obligado a soportar, hasta un máximo de 50 euros, las pérdidas derivadas de operaciones de pago no autorizadas resultantes de la utilización de un instrumento de pago extraviado, sustraído o apropiado indebidamente por un tercero, salvo que:

a) al ordenante no le resultara posible detectar la pérdida, la sustracción o la apropiación indebida de un instrumento de pago antes de un pago, salvo cuando el propio ordenante haya actuado fraudulentamente, o

b) la pérdida se debiera a la acción o inacción de empleados o de cualquier agente, sucursal o entidad de un proveedor de servicios de pago al que se hayan externalizado actividades.

El ordenante soportará todas las pérdidas derivadas de operaciones de pago no autorizadas si el ordenante ha incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones
que establece el artículo 41. En esos casos, no será de aplicación el importe máximo contemplado en el párrafo primero.

En todo caso, el ordenante quedará exento de toda responsabilidad en caso de sustracción, extravío o apropiación indebida de un instrumento de pago cuando las operaciones se hayan efectuado de forma no presencial utilizando únicamente los datos de pago impresos en el propio instrumento, siempre que no se haya producido fraude o negligencia grave por su parte en el cumplimiento de sus obligaciones de custodia del instrumento de pago y las credenciales de seguridad y haya notificado dicha circunstancia sin demora.

2. Si el proveedor de servicios de pago del ordenante no exige autenticación reforzada de cliente, el ordenante solo soportará las posibles consecuencias económicas en caso de haber actuado de forma fraudulenta. En el supuesto de que el beneficiario o el proveedor de servicios de pago del beneficiario no acepten la autenticación reforzada del cliente, deberán reembolsar el importe del perjuicio financiero causado al proveedor de servicios de pago del ordenante.

3. Salvo en caso de actuación fraudulenta, el ordenante no soportará consecuencia económica alguna por la utilización, con posterioridad a la notificación a que se refiere el artículo 41.b), de un instrumento de pago extraviado o sustraído.

4. Si el proveedor de servicios de pago no tiene disponibles medios adecuados para que pueda notificarse en todo momento el extravío o la sustracción de un instrumento de pago, según lo dispuesto en el artículo 42.1.c), el ordenante no será responsable de las consecuencias económicas que se deriven de la utilización de dicho instrumento de pago, salvo en caso de que haya actuado de manera fraudulenta.

Artículo 64. Ausencia de responsabilidad cuando concurran circunstancias excepcionales e imprevisibles.

La responsabilidad establecida con arreglo a los Capítulos II y III de este Título no se aplicará en caso de circunstancias excepcionales e imprevisibles fuera del control de la parte que invoca acogerse a estas circunstancias, cuyas consecuencias hubieran sido inevitables a pesar de todos los esfuerzos en sentido contrario, o en caso de que a un proveedor de servicios de pago se le apliquen otras obligaciones legales.

Artículo 68. Autenticación.

1. Los proveedores de servicios de pago aplicarán la autenticación reforzada de clientes, en la forma, con el contenido y con las excepciones previstas en la correspondiente norma técnica aprobada por la Comisión Europea, cuando el ordenante:

a) acceda a su cuenta de pago en línea;

b) inicie una operación de pago electrónico;

c) realice por un canal remoto cualquier acción que pueda entrañar un riesgo de fraude en el pago u otros abusos.

QUINTO . Responsabilidad por operaciones de pago fraudulentas. En relación con los instrumentos de pago ha de cumplir con las obligaciones sobre emisión y uso seguro que se establecen en el artículo 42.1 RDL 19/20

El usuario de los servicios de pago deberá cumplir con las obligaciones que se establecen en el artículo 41 RDL 19/2010: a) Usar del instrumento de pago conforme a lo pactado y tomar las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas; b) En cuanto tenga conocimiento de haber perdido la posesión del instrumento de pago o de haber sido este utilizado sin su autorización, lo notificará sin demora indebida al proveedor de servicios de pago.

El régimen de la responsabilidad por las pérdidas derivadas de operaciones de pago por uso fraudulento de un instrumento de pago por un tercero se determina interpretando de manera integrada las previsiones del artículo 46 con la regulación general de las pérdidas por operaciones de pago no autorizadas del artículo 45 y con el régimen de la carga probatoria que se establece en el artículo 44 (todos del RDL 19/2018).

Será el proveedor de los servicios de pago quien habrá de responder de las pérdidas de importe superior a 50 euros por las operaciones de pago resultantes del uso fraudulento del instrumento de pago por un tercero; responderá de la totalidad de la pérdida cuando al ordenante no le hubiera sido posible detectar el posible uso fraudulento antes de que éste se hubiese materializado o cuando la pérdida se debiera a la acción u omisión de cualquier persona de la que el proveedor de servicios hubiera de responder.

El ordenante será quien soporte la totalidad de las pérdidas cuando concurran dos requisitos: a) La operación de pago fue autenticada y registrada con exactitud y no se vio afectada por ninguna deficiencia del servicio prestado por el proveedor de servicios de pago; b) El ordenante actuó de manera fraudulenta, o incumpliendo deliberadamente o por negligencia grave alguna de las obligaciones recogidas en el artículo 41 RDL 19/2018.

Al proveedor de servicios de pago le corresponde la carga procesal de acreditar tanto su propio comportamiento diligente en la autenticación de la operación de pago como el fraude o la negligencia grave del ordenante. La prueba de la diligencia en el procedimiento de autenticación deberá realizarse en relación a las exigencias del Reglamento Delegado 2018/389.

La prueba del fraude del ordenante requerirá de la acreditación de hechos de los que pudiera llegar a inferirse que aquel actuó con engaño para beneficiarse de la operación de pago. La prueba de la negligencia grave del ordenante requerirá de la acreditación de las circunstancias concurrentes en la operación de pago de las que quepa inferir que la misma pudo realizarse porque aquel obró con una significativa falta de diligencia al usar del instrumento de pago o al proteger sus credenciales.

Cuando el proveedor de servicios de pago no acredite el cumplimiento de los deberes de diligencia propios en la autenticación habrá de responder de la pérdida resultante del uso fraudulento del instrumento de pago por un tercero salvo que concurra el fraude del ordenante.

SEXTO.- La aplicación de la normativa anteriormente indicada al caso presente, dado que la responsabilidad que se imputa a la entidad, derivada de la ejecución de una serie de operaciones no autorizadas por el titular de la cuenta de la cliente de Banco Santander S.A., la demandante, realizada a través del sistema de banca online, que la entidad pone a disposición de su cliente, se ha de hacer referencia a los siguientes aspectos, relacionados con la banca online;

1º.- El sistema bizum es un servicio al que voluntariamente pueden adherirse los clientes de una determinada entidad bancaria, siempre que cuente con una cuenta corriente activa en la misma, y que permite transferir dinero a la cuenta corriente de otra persona de forma instantánea y gratuita, sin necesidad de conocer su número de cuenta, requiriendo únicamente el conocimiento de su número de teléfono móvil.

2º.- Las transferencias mediante bizum se consideran incluidas dentro del concepto de transferencia de fondos de la Ley de Servicios de Pago y, por lo tanto, se regulan por el Real Decreto-Ley 19/18, 23 de noviembre. Esta normativa define la orden de pago como toda instrucción cursada por un ordenante o beneficiario a su proveedor de servicios de pago por la que se solicite la ejecución de una operación de pago. (art.3.28).

3º.- Desde un punto de vista contractual toda transferencia constituye una forma de ejecución de obligaciones contractuales previamente asumidas, ejecución obligada cuando se dan las condiciones pactadas, de ordinario, que haya provisión de fondos. Es por ello que se entiende que la orden de transferencia constituye una declaración de voluntad o mandato (en el sentido del art. 254 Código de Comercio) en virtud del cual el banco asume la realización de transferencias por cuenta del cliente como parte del contrato de servicio de caja.

4º.-Tanto en la banca telefónica como por internet, el proveedor de servicios de pago, o lo que es lo mismo, el banco emisor, debe implementar las medidas necesarias para asegurar la autenticación e identidad del ordenante a la hora de prestar su consentimiento. Por ello y para su ejecución, el banco debe comprobar en todo caso la autenticidad de la orden y, salvo pacto en contrario, que existe saldo suficiente.

5º.- De ordinario, para la realización de transferencias ordinarias con cargo a una cuenta vinculada es preciso que el cliente haya de autenticar la operación mediante la introducción de las claves previamente facilitadas por la entidad de crédito con la que contrata, con respecto a las cuales tendrá unos deberes de custodia.

6º.- La falsedad de la transferencia (que el ordenante no sea el titular de la cuenta) es un riesgo a cargo del banco porque, en principio, el deudor sólo se libera pagando al verdadero acreedor por lo que, si el banco cumple una orden falsa, habrá de reintegrar en la cuenta correspondientes las cantidades cargadas. Una excepción a esta distribución de riesgos se produce en el caso de que el titular haya creado o elevado el riesgo de falsificación de forma imputable en el caso concreto. Así lo prevé el alto Tribunal Supremo en la sentencia de fecha de julio de 1988.

7º.- Los servicios que prestan las entidades de crédito a sus clientes a través de su oficina virtual se desenvuelven en redes TCP/IP (Internet) o WAP (comunicaciones móviles).

8.- Siendo Internet una red pública de comunicaciones, la seguridad de las operaciones bancarias precisa de soluciones tecnologías avanzadas a los efectos de garantizar tanto la autenticidad como la integridad y la confidencialidad de los datos. Por estos motivos las entidades prestadoras del servicio de banca online deben dotarse de medidas suficientes que garanticen al usuario la seguridad de las operaciones. Consecuencia derivada de la omisión, insuficiencia o defectuoso funcionamiento de las adoptadas es que han de ser las entidades bancarias las que asuman las consecuencias derivadas de los fallos de seguridad del sistema.

9º- La banca electrónica está siendo objeto de transferencias no autorizadas por el cliente y que vienen antecedidas por el método delictivo conocido como phishing que constituye una modalidad específica de fraude informático que visualiza las deficiencias de seguridad del sistema informático de una entidad y que trae causa en el uso de las redes telemáticas. En este sentido la propia actora ha sido víctima de tales hechos, denunciados ante la Comisaria de Policía Nacional, que no ha podido, a día de hoy, averiguar su autoría, al no haber obtenido ninguna línea de investigación viable.

La responsabilidad en estos supuestos no puede atribuirse directamente al supuesto ordenante de la transferencia por entenderse que está autorizada al haberse realizado de acuerdo con los sistemas de autenticación del banco. Los sistemas de autenticación se establecen por los proveedores de servicios de pago y si un banco no ha sido capaz de limitar el acceso al canal de banca electrónica no puede pretender que el presunto ordenante víctima de esta práctica fraudulenta sea el único responsable, pues es el banco quien tiene responsabilidad respecto del buen funcionamiento y la seguridad del mismo. Por tanto, en el caso de órdenes de pago y transferencias fraudulentas puede afirmarse que sin dicha declaración de voluntad la operación de pago o transferencia de fondos, presuntamente realizada por la titular de los fondos, se considerará no autorizada.

Las medidas de seguridad no solamente están destinadas a proteger la seguridad de las órdenes de pago emitidas por los clientes, sino que su eficacia exonera a las entidades de crédito de sus responsabilidades frente a las órdenes de pago no emitidas por sus clientes de tal forma que el incumplimiento de este específico deber de vigilancia da lugar a una responsabilidad por » culpa in vigilando» o responsabilidad objetiva por el mal funcionamiento de los servicios de banca electrónica. Y en este sentido, la Audiencia Provincial de Zaragoza de fecha 14 de mayo de 2013, condenó a Barclays Bank a reintegrar 20.947 euros al cliente víctima de phishing. La Sentencia señala que; « la Ley de Servicios de Pago expresa con claridad que, salvo una tardanza injustificada del usuario del servicio de banca electrónica en comunicar la irregularidad de las operaciones, será el banco quien deberá devolverle de inmediato el importe de la operación no autorizada y, en su caso, restablecerá la cuenta de pago en que haya adeudado dicho importe al estado que habría existido de no haberse efectuado la operación de pago no autorizada. Por ello y salvo actuación fraudulenta o negligencia grave del titular de la cuenta, la responsabilidad de la operación es del banco al que corresponde además probar el correcto funcionamiento del sistema informático«.

SÉPTIMO.- En el presente caso, es cierto que la actora declara el 15 de febrero que recibió un SMS supuestamente del banco, en la que le informan de un acceso no autorizado a su banca on line, facilitando en el mismo mensaje un enlace con la dirección HTT…. SANTANDER-PARTICULAR, para verificar el acceso autorizado (no se redacta la dirección entera, que se recoge en el atestado, por razones de seguridad) ya que permite acceder desde este ordenador. Que la actora una vez que accedió al Link introdujo su clave de banca online, quedando la página cargando, sin darle más importancia y pasadas unas horas recibe un mensaje de texto de bizum informándole que se ha ejecutado un bizum pendiente de 500€a favor de un tercero y al acceder a su banca, se da cuenta que tenía retenidos 3.760€por lo que se pone en contacto con atención al cliente para bloquear sus cuentas. Esta es la conducta que el banco demandado imputa como negligente a la actora.

Ahora bien, examinados los documentos nº 3 y 4, de la demanda, se aprecia que el mensaje que recibe la actora, es en el hilo telefónico que mantiene con el banco y que el primer cargo de los 500€ detraídos, por bizum, se le avisa también en el mismo hilo en el que ha recibido otros cargos por bizum. Los documentos de los movimientos de la cuenta de la actora, acredita que los pagos que efectúa, son de mucha menor entidad que los cargos que se le han realizado de forma fraudulenta y el banco no adopta medida alguna.

En consecuencia, a lo expuesto, hay responsabilidad bancaria por los defectos de seguridad del sistema que determina la ejecución de órdenes de pago no autorizadas por su cliente, con la única excepción de que el banco acredite la culpa o negligencia de la víctima. Constituye por tanto obligación esencial de las entidades prestadoras del servicio de banca online el dotarse de medidas suficientes que garanticen al usuario la seguridad de las operaciones por lo que, en el supuesto de insuficiencia o mal funcionamiento de las adoptadas, deben ser las entidades bancarias las que asuman las consecuencias derivadas de los fallos de seguridad del sistema.

OCTAVO. – De acuerdo con la petición formulada, procede acceder a la pretensión de la actora, respecto a su petición de intereses, condenando a la demandada al abono del interés legal del dinero desde la fecha del cargo, e incrementados en dos puntos desde la fecha de ésta resolución y hasta su completo pago, a tenor de lo establecido en el artículo 1.108 del Código Civil y 576.1 de la Ley de Enjuiciamiento Civil.

NOVENO. – En virtud de lo dispuesto en el artículo 394.1 LEC, al ser estimada la demanda, se imponen a la parte demandada las costas procesales causadas.

Vistos los preceptos legales citados y demás de pertinente y general aplicación,

FALLO

Que ESTIMANDO la demanda formulada por DOÑA XXXXXXXX frente a la entidad BANCO SANTANDER S.A., y debo DECLARAR y declaro la responsabilidad de la entidad demandada en la incorrecta ejecución de las operaciones no autorizadas realizadas mediante Bizum, el 9 de febrero de 2022, por un importe total de 3.760,38€ y debo CONDENAR y condeno a la entidad demandada abonar a la actora el importe de los daños y perjuicios causados, valorados en la cantidad de TRES MIL SETECIENTOS SESENTA CON TREINTA Y OCHO EUROS (3.760,38€, junto con los intereses legales de dicha cantidad desde la fecha de su cargo en cuenta, incrementados en dos puntos desde la fecha de ésta resolución y hasta su completo pago.

Todo ello con expresa imposición a la parte demandada de las costas procesales causadas.

Contra esta resolución cabe interponer RECURSO DE APELACION ante este Tribunal, por escrito, en plazo de VEINTE DIAS contados desde el siguiente a la notificación, conforme a lo dispuesto en el artículo 458 y ss. de la Ley de Enjuiciamiento Civil. En la interposición del recurso se deberá exponer las alegaciones en que base la impugnación además de citar la resolución apelada y los pronunciamientos que impugna.

La admisión de dicho recurso precisará que, al prepararse el mismo, se haya consignado como depósito 50 euros en la Cuenta de Depósitos y Consignaciones de este Juzgado en el BANCO DE SANTANDER nº 5467000003005823 con indicación de “recurso de apelación”, mediante imposición individualizada, y que deberá ser acreditado a la preparación del recurso, de acuerdo a la D. A. decimoquinta de la LOPJ. No se admitirá a trámite ningún recurso cuyo depósito no esté constituido.

Así por esta mi sentencia, de la que se expedirá testimonio para suunión a los autos, lo pronuncio, mando y firmo.

El/La Magistrado-Juez