5.995 € recuperados por Phishing en Banco Santander

S E N T E N C I A N.º 000149/2024

Magistrado QUE LA DICTA: D./D.ª XXXXXXXXX
Lugar: Vitoria-Gasteiz
Fecha: 15 de marzo del 2024

PARTE DEMANDANTE: XXXXXXXXX
Abogado/a: D./D.ª IVAN METOLA RODRIGUEZ
Procurador/a: D./D.ª XXXXXXXXX

PARTE DEMANDADA: BANCO SANTANDER SA
Abogado/a: D./D.ª XXXXXXXXX
Procurador/a: D./D.ª XXXXXXXXX

OBJETO DEL JUICIO: Obligaciones

Vistos los presentes autos de Juicio Verbal nº 819/23, sobre reclamación de cantidad, seguidos en este Juzgado a instancia del Procurador Sr. XXXXXXXXX en representación de Dª. XXXXXXXXX, asistida por la Letrada Sra. XXXXXXXXX en sustitución, contra “Banco Santander, S.A.”, representada por la Procuradora Sra. XXXXXXXXX y asistida por el Letrado Sra. XXXXXXXXX en sustitución.

ANTECEDENTES DE HECHO

PRIMERO: Se turna a este Juzgado, demanda sucinta de juicio verbal presentada por Dª. XXXXXXXXX, contra “Banco Santander, S.A.”, con fecha de 27 de junio de 2023, alegando, en síntesis, que sufrió un fraude a través de la banca online que tiene contratada con la demandada, lo que le provocó un perjuicio económico, por lo que pide que se dicte Sentencia por la que se condene a la demandada a abonarle la cantidad de 5.995 euros, junto con los intereses legales de dicha cantidad desde la fecha de su cargo en cuenta. Todo ello con condena a la demandada al pago de las costas causadas con expresión de temeridad.

SEGUNDO: Por Decreto de 11 de octubre de 2023, se admite a trámite la demanda y se acuerda emplazar a la demandada para contestar a la misma, con las advertencias oportunas.

TERCERO: “Banco Santander, S.A.”, contesta a la demanda el 25 de octubre de 2023, oponiéndose a la reclamación, alegando, sin perjuicio de la prejudicialidad penal señalada, la existencia de negligencia grave de la parte actora, con incumplimiento de sus deberes de guarda y custodia de sus credenciales de seguridad, facilitando el acceso a terceros a sus datos personales, a pesar de la autenticación reforzada exigida por la entidad demandada, en cumplimiento de sus obligaciones legales, según explica.

Y así, acaba pidiendo que se dicte Sentencia por la que se desestime íntegramente la demanda, todo ello, con expresa imposición de costas al demandante.

Por otro sí digo primero, solicita la celebración de vista.

CUARTO: Una vez se deja constancia de la ausencia de causa penal abierta por los hechos relatados en la demanda, con fecha de 15 de noviembre de 2023, se dicta diligencia de ordenación por la que se da traslado a la demandante para que indica lo que tenga por conveniente sobre la pertinencia de celebrar vista.

QUINTO: Por escrito de 17 de noviembre de 2023, la demandante solicita vista y, por diligencia de ordenación de la misma fecha, se procede a señalar la misma, citándose a las partes, con las advertencias oportunas.

SEXTO: El día 15 de febrero de 2024, se celebra la vista, con presencia de ambas partes, indicándose que no es posible llegar a un acuerdo. Se propone prueba, se admite y se practica.

Se termina la vista, previa conclusión oral, para el dictado de la correspondiente Sentencia.

FUNDAMENTOS DE DERECHO

PRIMERO: Planteamiento

Dª. XXXXXXXXX pide que se condene a “Banco Santander, S.A.”, a la cantidad de 5.995 euros, como proveedora del servicio de pago on line utilizado con la tarjeta de la demandante, contratada el 15 de septiembre de 2016, hito 3 del expediente electrónico, correspondientes a la operación de 5 de octubre de 2022, con fecha valor de 3 de octubre de 2022, denominada “Compra Verse, Verse.me/, Tarjeta 5489019248324708, Comision 0,00”, hitos 5 y 9 del expediente electrónico.

La demandante indica que, dicha operación se debe considerar no autorizada, dado que sus datos fueron facilitados a través del link recibido en su teléfono en la cadena de mensajes habitual de la entidad demandada, hito 4 del expediente electrónico y, asimismo, a través de la comunicación telefónica recibida desde un número que se corresponde con una oficina de la entidad demandada, a través del cual también fue avisada de un acceso no autorizado, haciéndose referencia directa a una compra online de escaso importe que sí había sido realizada por su parte en otro momento anterior.

El 5 de octubre de 2022, a las 11:01 horas, la demandante denunció los hechos en la Ertzain-Etxea de Salvatierra/Agurain, siendo ampliada la denuncia, por su parte, el 9 de noviembre de 2022, a las 11:46 horas, hitos 6 y 7 del expediente electrónico.

Esta ampliación coincide con la fecha en la que la demandante, a su vez, realiza la primera reclamación escrita fehaciente contra su entidad bancaria, hito 8 del expediente electrónico, relatando en la misma los hechos acaecidos, señalando el cargo no autorizado de 5.995 euros, pidiendo su reintegro íntegro y, mostrándose indignada porque no se aplicó el límite de 1.200 euros que tenía configurado para dicha tarjeta, de acuerdo a las “condiciones particulares”.

La parte demandante considera que, no existe negligencia grave en su conducta y sí, por el contrario, falta de diligencia y cuidado de la entidad bancaria demandada, entendiendo que está obligada a devolver el importe defraudado, con aplicación de los artículos 45 y 46 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera.

SEGUNDO: Controversia

La demandada entiende que no puede ser responsable del fraude padecido por la demandante a través de la operación de pago on line señalada en la demanda, por cuanto que, a su entender, la demandante padeció el mismo, denominado “vishing”, al actuar con negligencia grave, con incumplimiento de sus deberes de guarda y custodia de sus credenciales de seguridad, al cederlas a través del link de un SMS y de posteriores llamadas telefónicas recibidas, al efecto de solucionar un problema de acceso no autorizado que realmente era inexistente, todo ello, de acuerdo al propio relato de la demanda de esta procedimiento y de las denuncias presentadas en su momento.

Además, añade la demandada que, con los datos inicialmente facilitados por la demandante al “phiser”, con la posterior cesión del código OTP, recibido a dicho efecto, este último registro la tarjeta de aquells en la aplicación de pagos Appel Pay, a través de la cual, definitivamente, hizo la operación fraudulenta.

En este punto, recalca la parte demandada haber actuado con toda la diligencia posible por cuanto que, para “enrolar” la mencionada tarjeta en la citada aplicación, exigió al “phiser” no solo la doble autenticación o autenticación reforzada, hito 27 del expediente electrónico, sino datos personales adicionales, por medio de un inicial bloqueo preventivo de las operaciones inicialmente intentadas por parte del “phiser”, solicitándole que se pusiera en contacto telefónico con la entidad para verificar que la que estaba operando era la cliente.

La demandada, a través de dos llamadas realizadas por el “phiser” a la entidad, consecuencia de dicho bloqueo preventivo, siendo los audios incorporados al procedimiento, hitos 35 y 36 del expediente electrónico (alojados como archivos con el escrito de personación de la demandada, en la carpeta de comunicaciones telemática, escritos inicio/otros escritos), señala que se constata que el demandante conocía el DNI y también la clave de acceso, pero no otros datos que verificaban la posesión efectiva del documento de identidad, no pudiendo facilitar la fecha de caducidad, la cual, resulta finalmente facilitada por la demandante en una nueva llamada realizada por el defraudador, minutos después, según se relata en la denuncia inicial de 5 de octubre de 2022.

Por todo lo anterior, la demandada entiende que la actora, con negligencia grave, no tomó todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas, según le exige el artículo 41 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, debiendo ser de su responsabilidad la operación de pago que, de la manera indicada, fue autorizada, aplicándose el artículo 46 del Real Decreto-ley 19/2018, de 23 de noviembre, y ello, sin fallo técnico alguno en el sistema, de acuerdo a la correspondiente certificación emitida por Redsys, hito 28 del expediente electrónico, como entidad procesadora del pago tokenizado del caso realizado a través de la señalada aplicación Apple Pay, una vez “enrolada” la tarjeta de la actora.

TERCERO: Sobre la falta de acreditación suficiente de una negligencia de la usuaria demandante, que pueda ser calificada de grave, en relación con su deber de protección de sus credenciales de seguridad personalizadas, como medio de pago, al facilitarlas, en un primer momento, al “phiser”, con facilitación posterior, al mismo, de datos específicos del documento de identidad personal, ejecutándose así la operación fraudulenta, al desactivarse el bloqueo preventivo adicional realizado por la entidad demandada. Aplicación del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera. Estimación de la demanda.

En el presente caso, la demandante recibe un SMS en la cadena de mensajes de la entidad demandada que se encuentran alojados en su móvil, así como unas llamadas desde el teléfono 925221680, el cual, pertenece al Banco Santander, de la sucursal de Toledo (CASTILLA LA MANCHA), en la calle Chile nº 2 (ver acta al final del atestado policial remitido, hito 73 del expediente electrónico).

En el SMS, se incluye el link, a través del que facilita inicialmente sus datos personales y OTP, los cuales, sirven para “enrolar” la tarjeta en la aplicación de pago utilizada para el fraude del caso, todo ello, siguiendo las instrucciones del “phiser”, en una llamada que recibe desde el número de teléfono indicado en el párrafo anterior.

En dicho SMS se informaba a la demandante de un acceso no autorizado, el cual, en concreto, se identifica durante llamada de teléfono paralelamente recibida, con una operación compra concreta que sí se acababa de realizar por su parte.

A pesar de lo indicado por la parte demandada, salvo con ocasión de una actuación totalmente burda del “phiser”, que no sería el caso, no se puede exigir a la actora, sospechar automáticamente de un SMS recibido en su móvil, dentro de la cadena propia de la entidad, ni de una llamada recibida en paralelo, que se identifica con una sucursal de la demandada y que identifica una operación que acaba de hacer con un instrumento de pago, utilizado por su parte, pero con el que se le indica que se ha detectado un “acceso no autorizado”.

Así, no se puede exigir al cliente que verifique, la absoluta correspondencia, ni del link incorporado al SMS respecto de aquel que resulta ser el verdadero y oficial para acceder a la web de la entidad, ni del teléfono desde el que recibe la llamada con el que resulta ser de su específica sucursal y/o gestor de confianza asignado en su caso.

Con todo lo anterior, hasta el momento, no es posible advertir en la demandante una conducta que, de conformidad a lo legalmente dispuesto, le haga incurrir en responsabilidad, excluyendo la del proveedor del servicio demandado, por cuanto que el instrumento de pago utilizado por el tercero, no se ha obtenido por éste con negligencia grave de la usuaria demadnante.

Se considera instrumento de pago en el Real Decreto-ley 19/2018, de 23 de noviembre, “cualquier dispositivo personalizado o conjunto de procedimientos acordados entre el usuario de servicios de pago y el proveedor de servicios de pago y utilizados para iniciar una orden de pago.”.

Se indica en el artículo 46.1 del Real Decreto-ley 19/2018, de 23 de noviembre, último párrafo, que “En todo caso, el ordenante quedará exento de toda responsabilidad en caso de sustracción, extravío o apropiación indebida de un instrumento de pago cuando las operaciones se hayan efectuado de forma no presencial utilizando únicamente los datos de pago impresos en el propio instrumento, siempre que no se haya producido fraude o negligencia grave por su parte en el cumplimiento de sus obligaciones de custodia del instrumento de pago y las credenciales de seguridad y haya notificado dicha circunstancia sin demora.”.

La operación del caso se ha realizado de forma no presencial y resulta ser la actuación fraudulenta de un tercero, la que provoca que se obtengan los datos del instrumento de pago y las credenciales de seguridad del caso.

Por tanto, a la vista de las circunstancias acaecidas en un primer momento, a pesar de lo dispuesto en el artículo 41 a) del Real Decreto-ley 19/2018, de 23 de noviembre, no parece que se pueda decir que la demandante no actuase de forma razonable al facilitar las credenciales de seguridad personalizadas, al “phiser” solicitante, el cual, actuó con verdadera apariencia de hacerlo en nombre de la entidad demandada, por lo que, la falta de diligencia objetivamente incurrida a la hora de atender la obligación legalmente impuesta a la usuaria demandante, no se puede considerar grave, jurídicamente, en este primer momento, para evitar la responsabilidad cuasi objetiva que se dispone legalmente para la entidad proveedora del servicio.

Como dice por ejemplo la Sentencia de la Audiencia Provincial de Madrid, 184/2022, de 20 de mayo, Sección 20ª, para este tipo de casos, “Como se indica en la Directiva 2015/2036 la negligencia que le hace responder al cliente, es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que ha sido inducido por un delincuente profesional. Tampoco puede calificarse como grave dicho comportamiento conforme a la normativa del código civil, pues siendo exigible al demandante la diligencia que exija la naturaleza de la obligación y correspondan a las circunstancias de las personas, tiempo y lugar (art. 1.104 del cc), el método fraudulento empleado – phishing- es de una complejidad y grado de perfección, difícilmente detectable por un cliente de las características del demandante, sin que la forma en que se denominaba al Banco en el SMS recibido o el error gramatical al emplear la palabro «lo» en lugar de «le», sean errores de entidad suficiente para detectar con base en ellos el fraude de que estaba siendo objeto. En esas circunstancias, era preciso ser un experto en la materia para poder detectar que la comunicación obedecía a una estafa o fraude. Es cierto que dicho comportamiento no puede considerarse diligente, pero para hacer soportar al cliente las consecuencias, aún parciales como se concluye en la sentencia apelada, es preciso apreciar en él una negligencia y que además sea grave, que en la normativa europea antes referida se equipara a la comisión de un fraude, actuación en la que no se ha acreditado incurriese el demandante, por el hecho de haber pinchado el link que se le ofrecía y facilitar los datos y clave de la tarjeta.”.

En igual sentido, se manifiestan otras Audiencias Provinciales, por ejemplo, de Cáceres, en Sentencia nº 531/2023, de 28 de noviembre y, de Pontevedra, en Sentencia nº 623/2022, de 1 de diciembre.

Ahora bien, la especialidad del caso, a los efectos insistirse por la demandada, en que sí existió negligencia grave en la actuación de la usuaria demandante que, a la postre, propició la operación fraudulenta, exonerándole de su responsabilidad cuasi objetiva, dispuesta en el artículo 45 del Real Decreto-ley 19/2018, de 23 de noviembre, es que, resulta que la demandante no sólo facilitó la operación, incluyendo sus credenciales personales de seguridad, en el link al que se le direcciona con el SMS inicial, siguiendo los pasos indicados en la correspondiente llamada del “phiser”, sino que, además, facilitó, con posterioridad, la fecha de caducidad de su DNI, en una llamada que se le realiza de nuevo desde el mismo teléfono, varios minutos después, como se indica en la primera denuncia formulada por la Sra. XXXXXXXXX, ante la Ertzaintza.

Efectivamente, resulta acreditado por la demandada que, cuando el “phiser”, tras la obtención fraudulenta inicial de las credenciales personales de la usuaria demandante, intentó realizar una operación de pago con la tarjeta “enrolada” en la aplicación de pago, la entidad demandada bloqueo la misma y le remitió a aquél a realizar una comunicación personal con la entidad.

El “phiser” del caso, se pone en contacto telefónico con la entidad demandada, para intentar desbloquear la operación, siendo dirigido al correspondiente personal de ciberseguridad, con quien mantiene la oportuna conversación, el cual, le exige para habilitar la operación que facilite datos personales sensibles, en concreto, la fecha de nacimiento, que sí se facilita y, la fecha de caducidad del DNI, la cual, no se facilita por el “phiser” ni en la primera ni en la segunda ocasión, señalando un dato erróneo, por lo que la operación se mantiene bloqueada por la demandada (escuchar audios por llamadas del “phiser” y conversación con el departamento de ciberseguridad de la entidad, que son, en parte, transcritos en las páginas 12 y 13 del escrito de contestación), cumpliéndose así, por ésta, en un primer momento, con el deber dispuesto, en el artículo 42 a) del Real Decreto-ley 19/2018, de 23 de noviembre, consistente en cerciorarse de que las credenciales de seguridad personalizadas del instrumento de pago sólo eran accesibles para el usuario del servicio de pago en cuestión, y ello, a la vista de la concreta operación que, con Lituania, se intentaba ejecutar con las mismas.

En cualquier caso, a la vista de la segunda llamada infructuosa de desbloqueo, la entidad demandada, en su deber de cerciorarse bien pudo activar, a iniciativa propia, una comprobación directa con la usuaria, a través de todos los medios que se encontraban a su alcance para, en su caso, activar el protocolo correspondiente, en este caso sí, oficialmente, por intento de acceso no autorizado.

Con todo lo anterior, definitivamente, ante la negativa de la entidad a desbloquear la operación pretendida por el “phiser”, sin el citado dato de la fecha de caducidad del DNI de la usuaria, el ciberdelincuente efectúa una nueva llamada a la demandante, varios minutos después de aquel momento inicial del fraude y, la Sra. XXXXXXXXX, sí le facilita tal dato y, con el mismo, se consigue el desbloqueo de la operación y se ejecuta el fraude.

Es cierto que, en el caso de autos, la conducta de la demandada adolece de un plus de falta de diligencia al facilitar dicho dato específico y especial de su documento de identidad, pero dadas las circunstancia a analizar, dispuestas en el artículo 1.104 del CC, a pesar de ello, la falta de diligencia no se puede calificar de grave, por cuanto que el nuevo dato se facilita por parte de la usuaria, de nuevo, a iniciativa del “phiser”, por llamada recibida desde el mismo número, con el mismo interlocutor y, por razón o causa del mismo incidente (así se infiere de la primera denuncia formulada ante la Ertzaintza).

Sentado lo anterior, no se puede considerar que, en el caso de autos, la parte demandada, en relación con lo previsto en el artículo 44.3 del Real Decreto-ley 19/2018, de 23 de noviembre, como proveedora del servicio de pago del caso, haya acreditado, de forma suficiente, que la usuaria del servicio, demandante de este procedimiento, actuase con negligencia que pueda además calificarse de grave, por lo que, aplicándose al caso lo dispuesto en el artículo 45 del Real Decreto-ley 19/2018, de 23 de noviembre, la demandada está obligada a restituir el importe de la operación fraudulenta y, por tanto, se estima la demanda, con efectiva condena a la cantidad suplicada por la actora, de 5.995 euros, más el interés legal devengado por dicho importe, desde el día siguiente a la primera reclamación u observación recibida al respecto, esto es, el 10 de noviembre de 2022, hasta la fecha de esta resolución, sin perjuicio de lo dispuesto en el artículo 576 de la Lec.

CUARTO: Costas

En materia de costas, nuestra Ley de Enjuiciamiento Civil, establece la teoría del vencimiento objetivo.

Se aplica el artículo 394.1 de la Lec.

FALLO

ESTIMO la demanda de juicio verbal de reclamación de cantidad, interpuesta por Procurador Sr. XXXXXXXXX en representación de Dª. XXXXXXXXX, asistida por la Letrada Sra. XXXXXXXXX en sustitución, contra “Banco Santander, S.A.”, representada por la Procuradora Sra. XXXXXXXXX y asistida por el Letrado Sra. XXXXXXXXX en sustitución y, en consecuencia,

CONDENO a “Banco Santander, S.A.”, a restituir a Dª. XXXXXXXXX, la cantidad de 5.995 euros, más el interés legal devengado por dicho importe, desde el 10 de noviembre de 2022, hasta la fecha de esta resolución, sin perjuicio de lo dispuesto en el artículo 576 de la Lec.

Todo ello, con expresa condena en costas a la demandada.

Notifíquese esta resolución a las partes.

MODO DE IMPUGNACIÓN: mediante recurso de APELACIÓN ante la Audiencia Provincial de ARABA/ÁLAVA (artículo 455 LEC). El recurso se interpondrá por medio de escrito presentado en este Juzgado en el plazo de VEINTE DÍAS hábiles contados desde el día siguiente de la notificación, debiendo exponer las alegaciones en que se base la impugnación, además de citar la resolución apelada y los pronunciamientos impugnados (artículo 458.2 LEC).

Para interponer el recurso será necesaria la constitución de un depósito de 50 euros, sin cuyo requisito no será admitido a trámite. El depósito se constituirá consignando dicho importe en la cuenta de depósitos y consignaciones que este juzgado tiene abierta en el BANCO SANTANDER con el número 0010000013081923, indicando en el campo concepto del resguardo de ingreso que se trata de un “Recurso” código 02-Apelación. La consignación deberá ser acreditada al interponer el recurso
(DA 15.ª de la LOPJ).

Están exentos de constituir el depósito para recurrir los incluidos en el apartado 5 de la disposición citada y quienes tengan reconocido el derecho a la asistencia jurídica gratuita.

Así por esta sentencia, lo pronuncio, mando y firmo.