1.010 euros recuperados por Phishing en Banco Santander

SENTENCIA

Santander, a 12 de septiembre de 2023

Vistos por mí, XXXXXXXX, Magistrado-Juez del Juzgado de Primera Instancia nº 10 de Santander, los autos de Juicio Verbal nº 79/23, instados por XXXXXXXX, en su propia representación y defendido por el Letrado Sr. Metola Rodríguez, contra BANCO SANTANDER S.A., rebelde, en procedimiento de reclamación de cantidad derivada de responsabilidad contractual, dicto la siguiente

SENTENCIA

ANTECEDENTES DE HECHO

PRIMERO: XXXXXXXX interpuso en su día demanda de juicio verbal contra la demandada en la que manifestaba que el 7 de febrero de 2022 era titular de una cuenta bancaria en la entidad demandada con una tarjeta de crédito asociada a la misma con nº XXXXXXXXXXXXX.

En esa fecha se produjeron con cargo a su cuenta bancaria una serie de operaciones no reconocidas por el demandante, que, incluían un cargo por importe de 1.010 €. Todos estos cargos habían sido realizados de manera fraudulenta por terceros, al no contar con la autorización del demandante.

Puestos los hechos en conocimiento de la demandada, ésta había hecho caso omiso a su reclamación de devolución de la cantidad referida, alegando carecer de responsabilidad en el fraude. Sin embargo el demandante consideraba que sí la tenía, ya que dichas operaciones se habían cometido a través de la técnica de “phising”, al haber accedido unos desconocidos a su sistema de banca digital usando las claves y contraseñas del demandante, y operado con su cuenta con disposición inmediata de saldos, sin que la demandada hubiera opuesto medidas de seguridad y advertencia eficaces para evitar tales operaciones.

Según la normativa aplicable, incumbía al proveedor del medio de pago cumplir con las obligaciones asumidas en el contrato, implementando las medidas de seguridad necesarias para asegurar la identidad del ordenante y la autenticación de la operación, de modo que la responsabilidad del titular de la banca on-line sería de naturaleza casi objetiva, estando obligado a adoptar todas las medidas de seguridad necesarias, por lo que, salvo que se acreditara la negligencia grave del usuario de la banca electrónica, la entidad financiera debía responder del reintegro de los importes obtenidos de forma fraudulenta, pues si el sistema no es seguro y tiene un importante margen de fraude por parte de terceros, el principal responsable no debe ser el usuario, sino quien implementa el sistema, la demandada.

Por todo ello el demandante aportó con la demanda los documentos en que fundaba su derecho, solicitando que se dictara sentencia que, estimando la demanda, condenara a la demandada a abonarle 1.010 €, más los intereses legales y las costas del procedimiento.

SEGUNDO: Turnada a este Juzgado la demanda, se admitió a trámite, dándose traslado de la misma a la demandada y emplazándola a comparecer y contestar en el término de diez días, lo cual no verificó, por lo que fue declarada en rebeldía; y no habiéndose solicitado ni considerándose necesaria la celebración de vista, quedaron los autos vistos para sentencia.

TERCERO: En el presente procedimiento se han observado todas las prescripciones legales vigentes.

FUNDAMENTOS DE DERECHO

PRIMERO: En la presente litis el demandante imputa a la demandada una responsabilidad contractual por el inadecuado funcionamiento del sistema de pago a distancia por ella ideado, dado que no permite detectar ni impedir que cualquier tercero que se haga con las claves personales de acceso de un usuario efectúe disposiciones de efectivo no autorizadas y en perjuicio económico de éste.

Para ello se basa en el contenido del art. 45 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, a tenor del cual, sin perjuicio de lo dispuesto en el artículo 43 (referido a la notificación y rectificación de operaciones de pago no autorizadas o ejecutadas incorrectamente), en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada. La fecha de valor del abono en la cuenta de pago del ordenante no será posterior a la fecha de adeudo del importe devuelto (art. 45.1).

Además (art. 45.2) si el responsable de la operación de pago no autorizada es el proveedor de servicios de iniciación de pagos, deberá resarcir de inmediato al proveedor de servicios de pago gestor de cuenta, a petición de éste, por las pérdidas sufridas o las sumas abonadas para efectuar la devolución al ordenante, incluido el importe de la operación de pago no autorizada. No obstante, de conformidad con el artículo 44.1, corresponderá al proveedor de servicios de iniciación de pagos demostrar que, dentro de su ámbito de competencia, la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable.

Al hilo de este último inciso, en sus cartas de rechazo a la reclamación previa del demandante (Docs. 8 y 11 de la demanda) la demandada fundamentó su falta de responsabilidad en que el sistema no funcionó de manera incorrecta, sino que la operación reclamada fue efectuada con toda normalidad, por haberse empleado para ello las claves auténticas del demandante, que previamente él había facilitado de modo negligente a un tercero que se había hecho pasar por la demandada.

Sin embargo, el citado precepto debe complementarse con los siguientes:

El art. 41.a), que impone al usuario de servicios de pago habilitado para utilizar un instrumento de pago su utilización de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago, y concretamente cuando reciba un instrumento de pago tomar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas.

En contrapartida, el art. 42.1.a) obliga al proveedor de servicios de pago emisor de un instrumento de pago a cerciorarse de que las credenciales de seguridad personalizadas del instrumento de pago solo sean accesibles para el usuario de servicios de pago facultado para utilizar dicho instrumento, sin perjuicio de las obligaciones que incumben al usuario de servicios de pago con arreglo al citado art. 41.

Según el art. 44.1 aludido por el art. 45.2, cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada, o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago, y el apartado 3º añade que le corresponde al proveedor probar que el usuario del servicio de pago cometió fraude o negligencia grave.

Finalmente, el art. 46.1 regula la responsabilidad del ordenante en caso de operaciones de pago no autorizadas, y le obliga a soportar todas las pérdidas derivadas de operaciones de pago no autorizadas si ha incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41, si bien quedará exento de toda responsabilidad en caso de sustracción, extravío o apropiación indebida de un instrumento de pago cuando las operaciones se hayan efectuado de forma no presencial utilizando únicamente los datos de pago impresos en el propio instrumento, siempre que no se haya producido fraude o negligencia grave por su parte en el cumplimiento de sus obligaciones de custodia del instrumento de pago y las credenciales de seguridad y haya notificado dicha circunstancia sin demora.

Y añade el art. 46.2 que si el proveedor de servicios de pago del ordenante no exige autenticación reforzada de cliente, el ordenante solo soportará las posibles consecuencias económicas en caso de haber actuado de forma fraudulenta. En el supuesto de que el beneficiario o el proveedor de servicios de pago del beneficiario no acepten la autenticación reforzada del cliente, deberán reembolsar el importe del perjuicio financiero causado al proveedor de servicios de pago del ordenante.

SEGUNDO: Abundando en el examen de este tipo de responsabilidad, y pese a ser de fecha anterior al referido Real Decreto-ley 19/2018, resulta de singular interés al caso la muy detallada y descriptiva SAP Alicante, sec. 8ª, 12-3-18, que efectúa una serie de consideraciones que merece la pena transcribir.

Dicha resolución comienza señalando que, siendo internet una red pública de comunicaciones, la seguridad de las operaciones bancarias precisa de soluciones tecnológicas avanzadas, a fin de garantizar tanto la autenticidad como la integridad y la confidencialidad de los datos. Por estos motivos las entidades prestadoras del servicio de banca on-line deben dotarse de medidas suficientes que garanticen al usuario la seguridad de las operaciones. Por lo tanto, en caso de omisión, insuficiencia o defectuoso funcionamiento del servicio, han de ser las entidades bancarias las que asuman las consecuencias derivadas de los fallos de seguridad del sistema.

Enfatiza que la banca electrónica está siendo en la actualidad objeto de transferencias no autorizadas por el cliente mediante el empleo de un método delictivo conocido como “phishing”, que constituye una modalidad específica de fraude informático que visualiza las deficiencias de seguridad del sistema informático de una entidad y que trae causa del uso de las redes telemáticas. Según la Agencia Española de Protección de Datos (Resolución del Expediente Nº: E/00762/2004, de 24 de mayo de 2006): «el objetivo de los ataques de “phishing” es la obtención de forma engañosa y fraudulenta de los códigos de usuarios y contraseñas de clientes de Banca Electrónica, al objeto de realizar transferencias no autorizadas…Su operatoria comienza con la adquisición en internet de un «paquete de herramientas», que incluyen programas informáticos e información necesaria para realizar los ataques. Esta información incluye «listas de equipos comprometidos» que pueden ser utilizados bien para mandar correos electrónicos, bien para alojar páginas web falsificadas. Incluyen además «bases de datos de direcciones de correo electrónico». Una vez en posesión del paquete, se remiten los correos electrónicos con carácter indiscriminado (buscando contactar con clientes de la entidad financiera) informando de la necesidad de conectarse a una página web que parece pertenecer a la citada entidad y portar los códigos de acceso y contraseñas de clientes. Dicha página web se suele alojar en un equipo conectado a Internet cuya seguridad se haya [visto] comprometida», sin conocimiento de su usuario, y que se encuentra normalmente en un país distinto al de los destinatarios del ataque. De esta forma se constituye un «fichero de datos personales con códigos de usuarios y contraseñas de clientes» recabados de forma engañosa y fraudulenta, que se ubica normalmente en el mismo «equipo remoto comprometido» en el que se aloja la página web falsificada. Con los datos obtenidos se realizan transferencias a cuentas de colaboradores situados en España, los cuales a su vez retiran el dinero en efectivo y tras descontar una comisión realizan transferencias monetarias internacionales mediante entidades especializadas«.

Partiendo de tal evidencia, dicha resolución considera que en estos supuestos la responsabilidad no puede atribuirse directamente al supuesto ordenante de la transferencia por entenderse ésta autorizada al haberse realizado de acuerdo con los sistemas de autenticación del banco, pues son los proveedores de servicios de pago los que establecen los sistemas de autenticación, y si no han sido capaces de limitar el acceso al canal de banca electrónica, no pueden pretender que el presunto ordenante víctima de esta práctica fraudulenta sea el único responsable. Es el banco quien tiene responsabilidad respecto del buen funcionamiento y la seguridad del mismo. Y si las medidas de seguridad no solamente están destinadas a proteger la seguridad de las órdenes de pago emitidas por los clientes, sino que su eficacia además exonera a las entidades de crédito de sus responsabilidades frente a las órdenes de pago no emitidas por sus clientes, ello supone en realidad que el banco tiene un específico deber de vigilancia, cuyo incumplimiento da lugar a una responsabilidad por «culpa in vigilando» o responsabilidad objetiva por el mal funcionamiento de los servicios de banca electrónica.

En consecuencia, hay responsabilidad bancaria por los defectos de seguridad del sistema que determina la ejecución de órdenes de pago no autorizadas por su cliente, con la única excepción de que el banco acredite la culpa o negligencia de la víctima. Es por tanto obligación esencial de las entidades prestadoras del servicio de banca on-line el dotarse de medidas suficientes que garanticen al usuario la seguridad de las operaciones por lo que, en el supuesto de insuficiencia o mal funcionamiento de lasadoptadas, deben ser las entidades bancarias las que asuman las consecuencias derivadas de los fallos de seguridad del sistema.

Para garantizar la seguridad de las operaciones es obligado el uso de protocolos seguros de cifrado de información que permitan establecer una conexión cifrada entre el usuario y la entidad de crédito, impidiendo con ello que terceras personas no autorizadas puedan acceder a la información confidencial que viaja a través de la red.

Normalmente las medidas establecidas por los bancos se articulan en varios niveles de seguridad, complementarios y compatibles entre sí.

El primer nivel consiste en un código de usuario y contraseña o clave secreta privada, que cada cliente podrá configurar para acceder a la oficina virtual.

En otro nivel de seguridad se sitúa la denominada tarjeta de coordenadas proporcionada por la entidad bancaria a cada usuario, que consiste en un código de autorización de las operaciones, único y personal para cada una de ellas. Estas claves se exigen al cliente para realizar cualquier operación que no sea una mera consulta de saldos, como puede ser el movimiento de dinero entre cuentas, compras o transferencias.

Otra medida distinta de la tarjeta de coordenadas lo constituye el empleo de claves aleatorias perecederas de un solo uso («one time password» u OTP) que evitan el riesgo de copia, pérdida o robo de las claves de seguridad. Este sistema de seguridad cuenta con el refrendo de la European Banking Authority (Autoridad Bancaria Europea). Estas claves aleatorias se remiten por la entidad de crédito al teléfono móvil del cliente mediante SMS con la finalidad de autorizar la operación.

Es igualmente factible el uso de la firma digital, que permite a la entidad de crédito imputar la autoría de la orden de pago al cliente, presumiéndose por ello que ha sido válidamente emitida por éste.

Un tercer nivel lo constituye las comunicaciones con el cliente de las operaciones que se ejecutan en la red, advirtiéndole de las mismas a fin de tomar conocimiento inmediato y eficaz en caso de fraude.

Aparte de estas medidas, las entidades de crédito introducen advertencias de seguridad o recomendaciones en su páginas web oficiales o incluso en los contratos, entre otras que en ningún caso la entidad solicitará al cliente sus claves confidenciales, previniéndoles del riesgo de facilitar sus datos confidenciales a terceros.

No obstante, se deben diferenciar las obligaciones de seguridad del banco emisor y las recomendaciones de esta naturaleza que se hacen al cliente.

En cuanto a las obligaciones de seguridad, no basta acreditar que el sistema es en general seguro, porque ello es consustancial al propio sistema, sino que ha de acreditarse qué medidas concretas ofrece como respuesta ante las distintas formas o riesgos de acceso ilegítimo a la plataforma por parte de terceros no autorizados (siempre en progreso y evolutivas), y de protección de los productos de los clientes accesibles a través de dicha plataforma telemática.

El incumplimiento de tales obligaciones no puede excusarse mediante la inclusión de avisos en web y otros medios de la entidad sobre el comportamiento seguro que el cliente ha de tener en el uso de la plataforma, pues se trata de una fórmula predispuesta por el profesional que queda vacía de contenido si no existen en realidad barreras informáticas efectivas que le protejan de los referidos ataques de terceros.

La entidad financiera no puede pretender haber cumplido con los deberes de seguridad frente a los riesgos concretos derivados del funcionamiento de su plataforma de banca digital acudiendo a la mera literalidad genérica de los contratos suscritos, ni a la firma o suscripción de los mismos, pues tales deberes de implementación de diversos niveles de seguridad que le son exigibles son de índole material y técnico, destinados objetivamente a garantizar algo tan esencial en el contrato como es la autenticación de la orden de pago.

En consecuencia, es la prestadora de los servicios de pago quien tiene la obligación de facilitar un sistema de banca telemática segura, y no son sus clientes quienes deben conocer, averiguar o prevenir las modalidades de riesgos que el sistema conlleva, ni concretamente la existencia de una modalidad masiva de estafa en el funcionamiento de los pagos de la banca a distancia.

TERCERO: Entrando ya en el examen del caso concreto, ha quedado documentado (Doc. 1 de la demanda) que en su día el demandante formalizó con la demandada un contrato de prestación de servicios financieros que incluía la prestación de los mismos a distancia, a través de una plataforma de banca on-line de la demandada.

Ha quedado igualmente probado (Docs. 2 y 7 de la demanda) que el 7 de febrero de 2022 el demandante sufrió con cargo a su cuenta XXXXXXXXXXXXX una disposición por un montante total de 1.010 € que él no había autorizado, habiendo el defraudador accedido a la cuenta mediante un enlace de SMS (Doc. 1) presuntamente remitido por la demandada (hechos todos ellos no discutidos por la demandada en ninguna de sus respuestas a las reclamaciones del demandante).

Por el contrario, como dicho contrato no ha sido aportado a autos, se desconoce si el mismo contenía algún aviso claro al demandante sobre la existencia de técnicas delictivas desplegadas de forma habitual y masiva en el ámbito de la banca a distancia, que mediante la suplantación de la identidad de la demandada tratan de hacerse con las claves de seguridad del cliente, o la advertencia de que la demandada nunca iba a solicitar al cliente su código de usuario, PIN u OTP por ninguna vía.

CUARTO: Dicho esto, si el demandante, dando cumplimiento a dicho SMS presuntamente remitido por la demandada, llegó a facilitar sus claves de seguridad para permitir la operación denunciada, habría actuado sin duda de modo negligente, pues es de conocimiento generalizado que no se deben facilitar a nadie las claves privadas de una cuenta bancaria, sea personalmente o por comunicaciones telemáticas.

Ahora bien, este supuesto comportamiento negligente del demandante ni puede catalogarse de grave (la demandada no ha discutido que el enlace remitido por SMS le condujo a una página web de aspecto muy similar al de la suya, siendo a partir de entonces lógico que introdujera confiadamente sus claves en esa página falsificada), ni explica por sí solo la producción del dicho perjuicio, ni mucho menos exonera a la demandada de responsabilidad, como pretende, pues siendo obvio que es la demandada la que implementa y ofrece a sus clientes el servicio de banca on-line, tiene obligación de dotar a dicho servicio de todas las medidas necesarias y suficientes que garanticen al usuario la seguridad de las operaciones, y muy especialmente para evitar intentos de estafa como el que nos ocupa, máxime cuando no puede alegar que se trate de una conducta delictiva novedosa, sorpresiva o inhabitual, porque es un hecho notorio que las entidades bancarias la conocen perfectamente y la sufren de forma repetida.

Es por tanto el banco quien tiene responsabilidad respecto del buen funcionamiento y la seguridad del sistema, y el que viene específicamente obligado a prevenir y evitar la ejecución de órdenes de pago no autorizadas por su cliente. Y es suya la responsabilidad por los defectos de seguridad del sistema que permitan esas suplantaciones, pues, aun de conceder, a efectos polémicos, que fue la negligencia del demandante la que permitió al tercero introducirse en su cuenta y situarse por tanto en posición de poder operar con ella, si el banco sabe que esas suplantaciones se producen con frecuencia (y aunque no fuera así) no parece conforme al sentido común que solo con haber conseguido ese acceso puedan efectuarse innumerables operaciones de transferencias de fondos sin ningún tipo de cortapisa, más allá de la obtención de una clave para activar el sistema de pago a distancia.

Y en cuanto a la utilización de una clave o código de confirmación OTP para la operación efectuada, la demandada tampoco ha acreditado la utilización de ningún otro sistema de comprobación de la identidad del cliente, ni más concretamente que el sistema tenga alguna barrera informática efectiva que, una vez producida la suplantación y obtenidas por el estafador las claves necesarias, proteja razonablemente al cliente de sus consecuencias, detectando y bloqueando tales operaciones, y avisando de ello al cliente. Hoy en día existen en diversas plataformas de banca on-line sistemas de alarma que permiten detectar en una cuenta o tarjeta la realización de operaciones que no son habituales, bien por su objeto, bien por su cuantía, bien por su modo de operar, o por el país de procedencia (en este caso la receptora del dinero fue una operadora radicada en el extranjero que ofrece una cartera on-line para mover dinero, según afirma el demandante y la demandada no ha controvertido) para así comunicarlo inmediatamente al cliente, a fin de que confirme su autoría y que acepta la operación.

No fue así en este caso, de modo que esta negligente conducta de la demandada la obliga a responder del daño patrimonial causado al demandante, al ser ella la única responsable de las evidentes deficiencias de seguridad de un sistema informático que ella comercializa a sus clientes, y que permiten que las cuentas de éstos sufran unos ataques que son totalmente habituales y conocidos, y que precisamente por previsibles le obligan a una conducta activa tendente a implementar unos protocolos de seguridad eficaces para evitarlos. A lo que la demandada viene obligada, en definitiva, es a disponer de herramientas que permitan responder a una negligente actuación inicial de sus clientes (carentes muchos de ellos tanto de conocimientos informáticos como de información sobre la actualidad en el campo de las estafas por internet), asegurándose repetidamente durante su tramitación de la autenticidad de la identidad del emisor de la orden de pago, y detectando y bloqueando de manera eficaz aquellas operaciones anómalas por sus cuantías, contenido, modalidad, número o destinatarios.

Por todo lo expuesto, procede estimar íntegramente la demanda.

QUINTO: De conformidad con lo previsto por el art. 45.1 del Real Decreto-ley 19/2018 alegado en la demanda, la cantidad adeudada devengará los intereses moratorios de los arts. 1100 y 1108 CC desde la fecha en que la demandada debió reponer los fondos, es decir, el 7 de febrero de 2022. Una vez notificada la presente resolución serán además de aplicación los procesales del art. 576 LEC.

SEXTO: De conformidad con el art. 394.1 LEC procede condenar a la demandada en costas, dada la íntegra estimación de la demanda.

Vistos los preceptos legales citados y demás de general y pertinente aplicación

FALLO

Que ESTIMANDO ÍNTEGRAMENTE LA DEMANDA interpuesta en su día por XXXXXXXX:

PRIMERO: DEBO CONDENAR Y CONDENO a BANCO SANTANDER S.A. a pagar a XXXXXXXX 1.010 €, cantidad que devengará un INTERÉS ANUAL equivalente al legal del dinero desde el 7 de febrero de 2022 hasta la notificación de la presente resolución, y que se verá incrementado en dos puntos desde el día siguiente a dicha notificación hasta su completo pago.

SEGUNDO: DEBO CONDENAR Y CONDENO a BANCO SANTANDER S.A. a pagar todas las COSTAS causadas en este procedimiento

Notifíquese a las partes la presente resolución. Hágaseles saber que conforme a la nueva redacción del art. 455.1 LEC llevada a cabo por la Ley 37/2011 de 10 de octubre, de medidas de agilización procesal, con arreglo a la Disposición Transitoria Única de dicha Ley 37/2011, y según Acuerdo de la Junta Sectorial de Jueces de Primera Instancia de Santander de 10 de noviembre de 2011, al tratarse de un pleito cuya cuantía no excede de 3.000 €, frente a la misma NO CABE INTERPONER RECURSO alguno.

Así por esta mi sentencia, de la que se expedirá testimonio para su unión a los autos, lo pronuncio, mando y firmo.

El Magistrado-Juez