Desestimado recurso de apelación por Phishing de Banco Santander: 5.995€ recuperados

Sección 1ª de la Audiencia Provincial de Araba/Álava

Arabako Probintzia Auzitegiko 1. Atala

Avda. Avenida Gasteiz, 18 2ª Planta – Vitoria-Gasteiz, Tel: 945-004821 audiencia.s1.alava@justizia.eus

NIG: XXXXXXXXX

0000732/2024 Sección: C3 Apelaciones juicios verbales / Hitzezko epaiketen apelazioak

Juzgado de Primera Instancia Nº 2 de Vitoria-Gasteiz Juicio verbal (250.2) 0000819/2023 – 0

S E N T E N C I A N.º 000714/2024

MAGISTRADO

D. XXXXXXXXXXXX 

En Vitoria-Gasteiz, a 16 de julio del 2024.

La Sección 1ª de la Audiencia Provincial de Araba/Álava, constituida como Tribunal Unipersonal por el Ilmo. Sr. Magistrado D. XXXXXXXXXXXX, ha visto en trámite de apelación los presentes autos civiles de Juicio verbal (250.2) 0000819/2023 – 0 del Juzgado de Primera Instancia Nº 2 de Vitoria-Gasteiz, a instancia de BANCO SANTANDER SA, apelante, representado por la procuradora D.ª XXXXXXXXXXXX  bajo dirección letrada, contra D.ª XXXXXXXXXXXX, apelada , representada por el procurador D. XXXXXXXXXXXX y defendido por el letrado D.IVAN METOLA RODRIGUEZ; todo ello en virtud del recurso de apelación interpuesto contra la Sentencia nº 149/24 dictada por el mencionado Juzgado, de fecha 15/03/24;

Se aceptan y se dan por reproducidos en lo esencial, los antecedentes de hecho de la sentencia impugnada en cuanto se relacionan con la misma.

ANTECEDENTES DE HECHO

PRIMERO.- Por el Juzgado de Primera Instancia nº 2 de Vitoria-Gasteiz se dictó sentencia nº 149/24 cuyo FALLO es del tenor literal siguiente:

«ESTIMO la demanda de juicio verbal de reclamación de cantidad, interpuesta por Procurador Sr. XXXXXX en representación de Dª. XXXXXX, asistida por la Letrada Sra. XXXXXX en sustitución, contra “Banco Santander, S.A.”, representada por la Procuradora Sra. XXXXXX y asistida por el Letrado Sra. XXXXXX en sustitución y, en consecuencia,

CONDENO a “Banco Santander, S.A.”, a restituir a Dª. XXXXXX, la cantidad de 5.995 euros, más el interés legal devengado por dicho importe, desde el 10 de noviembre de 2022, hasta la fecha de esta resolución, sin perjuicio de lo dispuesto en el artículo 576 de la Lec.

Todo ello, con expresa condena en costas a la demandada.»

SEGUNDO.- Frente a la anterior sentencia, se interpuso recurso de apelación por la representación de BANCO SANTANDER SA,recurso que se tuvo por interpuesto con fecha 18/04/24 dándose el correspondiente traslado a la contraparte por diez días para alegaciones presentando la representación de D.ª XXXXXXXXXXXX escrito de oposición al recurso planteado de contrario, y elevándose, seguidamente, los autos a esta Audiencia Provincial con emplazamiento de las partes.

TERCERO.- Recibidos los autos en la Secretaría de esta Sala y comparecidas las partes, con fecha 13/05/24 se mandó formar el correspondiente Rollo de apelación, registrándose y turnándose la ponencia al Ilmo. Sr. Magistrado D. XXXXXXXXXXXX, quedando los autos vistos para sentencia el 27/06/24.

CUARTO.- En la tramitación de este recurso se han observado las prescripciones legales fundamentales.

FUNDAMENTOS JURÍDICOS

PRIMERO. – Sentencia y recurso.

El Juzgado de Primera Instancia nº 2 de los de esta Ciudad dictó la sentencia cuyo fallo consta en los antecedentes de esta resolución y que tengo por reproducido.

La sentencia ha sido recurrida en apelación por la demandada, Banco Santander SA, en escrito presentado el 17 de abril del 2024. Tras una descripción, como “previa” de lo que entiende que ha sido el objeto y el desarrollo del procedimiento, articula los siguientes motivos de recurso:

1º.- ERROR EN LA VALORACIÓN DE LA PRUEBA. DEL CUMPLIMIENTO DE LAS OBLIGACIONES LEGALES Y CONTRACTUALES DE BANCO SANTANDER. INCUMPLIMIENTO POR PARTE DE LA DEMANDANTE DE SUS DEBERES DE GUARDA Y CUSTODIA DE SUS CREDENCIALES DE SEGURIDAD. FALTA DE DILIGENCIA DE LA DEMANDANTE DE GRADO SIGNIFICATIVO: CONCURRENCIA DE NEGLIGENCIA GRAVE.

2º.- INCORRECTA APLICACIÓN DE LA LEY Y LA DOCTRINA JURISPRUDENCIAL EXISTENTE APLICABLE AL PRESENTE SUPUESTO.

3º.- SUBSIDIARIAMENTE, EVENTUAL CONCURRENCIA DE CULPAS.

La actora, en escrito presentado el 6 de mayo siguiente, se opuso al recurso reproduciendo los encabezamientos de cada uno de esos motivos y argumentado en contrario respecto de cada uno de ellos. Esa oposición la valoraré al socaire del desarrollo de mi propia argumentación. En cualquier caso, la tengo por reproducida.

SEGUNDO. – Primero y segundo motivos de recurso. Error en la valoración de la prueba practicada. Planteamiento.

Quien alega que el Juez de instancia ha errado al valorar la prueba, está obligado a demostrar que éste ha incurrido en un manifiesto error de hecho, o que su razonamiento es ilógico o arbitrario, o que se ha apartado de las reglas interpretativas que recoge la LEC, básicamente inspiradas en el concepto de “sana crítica judicial, o que se ha apartado de normas de experiencia conocidas y utilizadas por los Tribunales del orden jurisdiccional civil en supuestos similares.

No constituye un error en la valoración de la prueba la mera discrepancia con la realizada y los Tribunales de segunda instancia deben mostrar un especial cuidado en que una valoración subjetiva e interesada, de parte, no se privilegie respecto de la, presuntamente, más objetiva e independiente del Juez sentenciador.

Dicho todo esto, el pie de argumentación de la recurrente se centra en dos aspectos. Uno, el que el Juez de instancia haya concluido que la llamada que recibió la actora provenía del número de teléfono XXXX XX XX XX (número perteneciente a la sucursal de Toledo de BANCO SANTANDER S.A.), lo que no dejaba ser un hecho controvertido entre las partes no habiéndose y que, a su juicio, no aparece respaldado por prueba (aportada por la actora) tendente a acreditar el origen de la llamada telefónica fraudulenta, “como podría haber sido el registro de llamadas emitido por la teleoperadora de la demandante”.

Y otro, el que “la sentencia impugnada concluye que la actuación de la actora no puede ser calificada como gravemente negligente; a pesar de que la supuesta llamada del Banco ni siquiera pertenecía a su sucursal (la demandante es cliente de la sucursal sita en Agurain-Salvatierra, no de la sucursal sita en Toledo, que es de la cual provenía la llamada, supuestamente, aunque ello no se ha probado), a pesar de que no sólo accedió al enlace fraudulento e introdujo sus claves de seguridad y códigos OTP/SMS para activar su tarjeta en la app de pagos Apple Pay, sino que también respondió en varias ocasiones llamadas del estafador o phiser solicitándole más datos (información sensible y personal sobre su D.N.I.) para desbloquear el bloqueo preventivo ocasionado por controles de seguridad de la entidad. Sobre la segunda llamada del phiser (que es crucial para levantar las medidas de seguridad adicionales impuestas por el sistema de la entidad) la sentencia de instancia, dicho sea con respeto, no se pronuncia, se produce una omisión valoratoria de lo sucedido.”.

TERCERO. – Primero y segundo motivos de recurso. El relato de la actora y la prueba practicada por ella.

Dice la actora, en su demanda, que “… En fecha 3 de octubre de 2.022, mi mandante recibió una comunicación mediante SMS, aparentemente remitida por Banco Santander, en la que se le informaba de que se había detectado un acceso no autorizado a su cuenta y se le instaba a acceder con carácter urgente a un enlace web en caso de que no fuese ella quién se había conectado”.

Como se puede observar, continúa, “el SMS fue recibido dentro de la cadena de mensajes habitual proveniente del Banco Santander, por lo que obvia decir que todo parecía indicar que el remitente era, efectivamente, su Banco de confianza.”. E incorpora el texto de ese SMS.

Del pantallazo que aporta no se puede inferir el número de procedencia, sólo una mención a Mas Móvil (una conocida operadora telefónica), la emisión a las 11.43, la recepción a las 11.48, y que el remitente es “Santander”.

Decía ese mensaje: “Un acceso no autorizado está conectado a su cuenta online. Si no reconoce ese acceso verifique inmediatamente”. Le seguía un enlace.

La actora no sólo recibió ese SMS, sino que, afirma, ese SMS se completó con una llamada telefónica desde el número 925221680 (número que se corresponde con el de una oficina de la entidad demandada), “haciendo referencia en el transcurso de la referida llamada a una compra online de escaso importe que había realizado la actora en otro momento, lo que dotó aún de mayor credibilidad a la información recibida y con ello al riesgo de que sus ahorros estuviesen en peligro.”. Oficina sita en Toledo.

Y pinchó en el enlace https://santander.es-accesoclientes.com.

Siendo así, también se recoge en la demandada que “Dicho enlace le redirigió a una plataforma web de idénticas características a la del Banco, plataforma en la cual se le requirió para que fuese introduciendo una serie de datos a fin de paralizar el acceso no autorizado, cosa que hizo, siempre en la creencia de que trataba con su entidad bancaria de confianza, constatando más tarde para su sorpresa que se habían detraído de su cuenta un total de 5.995 euros merced a una transferencia que nunca fue autorizada por ella.”.

Mediante ese proceso de autentificación, indica la actora, se efectuó una “operación no autorizada” consistente en una transferencia de fecha 05/10/2022 (F. valor 03/10/2022 – compra efectuada con la tarjeta XXXXXXXXXXX) por importe de: 5.995,00 €.

En la documental (I.E. 4) figura un detalle de movimiento con el siguiente texto: “Compra Verse, Verse Me/Tarjeta …708.Comisión 0,00”. Fecha operación 05/10/2022. Fecha valor 03/10/2022.”.

En la denuncia realizada el 5 de octubre del 2022 en la Comisaría de la Ertzaintza de Salvatierra-Agurain, doña XXXXXX hace constar que dio los códigos de tarjeta, que firmó electrónicamente, y que en esas operaciones fue guiada desde el teléfono XXX-XXX-XXX.

Y, al ampliarla, el 9 de noviembre del 2022, doña XXXXXX le indica al instructor del atestado que: 1º.- “habló con dos varones los cuales hablaban castellano perfectamente sin ningún tipo de acento”. 2º.- “diciéndole los supuestos estafadores que le llamaban de Banco de Santander”. 3º.- “Le preguntaron si había realizado una compra de 121,42 euros en el establecimiento Virna”. Lo que ella confirmó. 4º.- “seguidamente le preguntaron si estaba haciendo otra compra online en ese momento”. Y les indicó “que no”. 5º.- “posteriormente le dijeron que suponían que era así porque se estaba operando con su cuenta pero que se había introducido mal la clave de la denunciante en cinco ocasiones por lo que les había saltado la alarma.”. 6º.- “Además, le dijeron que debía pinchar el link del enlace que había recibido en su teléfono e ir completando los datos para poder paralizar la compra”. 7º.- “Finalmente la denunciante introdujo su firma electrónica, su DNI y no recuerda si algún dato más, confirmando los presuntos estafadores que se había paralizado el intento de compra fraudulenta”.

CUARTO. – Primero y segundo motivos de recurso. El relato de la demandada y la prueba practicada a su instancia.

La recurrente contestó la demanda (I.E. 18).

Lo primero que hizo fue valorar el SMS:

“… contiene errores gramaticales, su contenido es incoherente (“un acceso no autorizado está conectado”) y ofrece un enlace que no es el oficial de la entidad: https://santander.es-accesoclientes.com/ BANCO SANTANDER advierte expresamente en su página web y en el resto de las comunicaciones con sus clientes que nunca solicitará a través de SMS o correo electrónico datos personales o credenciales de seguridad. El anterior enlace no tiene nada que ver con la dirección oficial de la entidad, siendo la dirección de su página oficial la siguiente: https://www.bancosantander.es/particulares/banca-digital/banca-online.

De contrario se afirma que el mensaje provenía indudablemente de la entidad, al entrar en el mismo hilo, sin embargo, no es cierto. La aplicación de mensajería no muestra mensajes previos legítimos que hayan sido enviados en dicho hilo y en todo caso tampoco muestra el número que envía el mensaje, es decir, no figura el número de teléfono desde el que es enviado el SMS, sino solo un alias (“SANTANDER”) siendo el propio dispositivo el que agrupa estos mensajes en función del alias, ello escapa del control de mi representada ya que es algo que sucede dentro del dispositivo del cliente…”.

Le siguió una descripción de la operativa defraudadora conocida como “SMS spoofing”, y señaló que “… Esta parte entiende que la falta de filtros en el envío y recepción de mensajes falsos sin un ID real o verificado no puede ser oponible a mi mandante, pues escapa de su esfera de control, es decir, BANCO SANTANDER no tiene acceso al dispositivo móvil de sus clientes, no tiene modo alguno de evitar que a clientes (y no clientes) les envíen mensajes falsos en su nombre, pues esto ocurre de igual forma con otro tipo de empresas como Correos o SEUR”.

“… la Sra. XXXXXX … no realizó ni una sola comprobación previa; no verificó si dicho enlace le llevaba a la página oficial de la entidad, tampoco comprobó si su contenido era cierto y ello a pesar de que disponía de los medios adecuados para ponerse en contacto con la entidad a través de los canales oficiales de comunicación como son su app móvil, página web oficial, o su teléfono de Atención al Cliente. No era habitual en absoluto que se accediera a la banca online a través de enlaces externos enviados vía SMS. BANCO SANTANDER ya avisa de ello en su página web e insta a sus clientes a desconfiar de comunicaciones que requieran datos personales que la entidad NUNCA solicita.”.

Y dio por bueno el relato de la actora que reflejan la denuncia policial y su ampliación.

Pero, a la vista del recurso, la que requiere un especial examen es la cuestión de la procedencia de la llamada que, no sólo genera la apariencia de estar hablando con su banco, sino que abre la puerta a que quien llama acceda a los datos de la receptora que posteriormente le permiten hacer la transferencia de fondos con una referencia “Verse. Verse Me”.

Banco Santander niega de plano que la llamada procediera de la entidad. Y solicita que la actora sea requerida para facilitar el registro de llamadas de su teléfono, al que tiene acceso a través de su operadora. Y, por comparación entre el relato de la demanda y el realizado en sede policial considera posible que, una vez facilitadas las claves de acceso a la banca online, fuera cuando el “spoofer” conociera de la existencia de la compra previa y su importe. Reconstituyendo, a través de los trazos de su propio sistema (I.E.), construye otra versión de los hechos. 1º.- Doña XXXXXX se registró en Apple Pay. Para ello, cedió el OTP, el código o contraseña de un solo uso.

Ese proceso se justifica documentalmente mediante la documental acompañada a la contestación y el enlace de referencia: La cliente solicita ser dada de alta, recibe un mensaje con una clave previamente solicitada para registrase, y una vez introducida en el sistema, queda activado el servicio de Apple Pay.

Considero acreditado que doña XXXXXX solicitó ser dada de alta en Apple Pay ese 3 de octubre, que se le remitió una clave para terminar su registro en Apple Pay, y que (13.18.32 horas), una vez introducida la clave, fue dada de alta (13.18.58).

Está acreditado, además, que la tarjeta de la que era titular doña XXXXXX fue dada de baja en la plataforma el 1 de noviembre del 2022, ocho días antes de ampliar su denuncia. El mensaje registrado decía: “Su tarjeta Santander terminada en *XXXX ha sido borrada en Apple Pay”.

E, incluso, puedo presumir que se había descargado la app correspondiente, y que la tarjeta vinculada era la de débito terminada en XXXX.

Dedicaré el fundamento siguiente al examen del resto de la prueba.

QUINTO. – En primer lugar, la cronología de ese 3 de octubre del 2022:

1º.- A las 11.43, el móvil de doña XXXXXX recibe un SMS.

2º.- No consta documentado ni cuándo, ni desde que número, se realizó la llamada a la que se en refiere su demanda.

3º.- A las 12.29.31 se cursa la petición de transferencia contra la tarjeta de débito de doña XXXXXX.

4º.- El proceso de alta en Apple Pay se produce sobre las 13.18.

5º.- Entre las 13.25 y las 13.46, como veremos, se constata, y se mantiene, el bloqueo de la tarjeta de débito de Banco Santander.

6º.- Consta el momento exacto en el que se autorizó la transferencia de 5.995,00 euros. A las 14.29.31 del 3 de octubre del 2022.

En segundo lugar, desde el punto de vista de la autentificación reforzada, a la que se refiere la normativa que he citado al inicio de esta sentencia, constan en autos dos archivos de audio grabados con anterioridad a ese alta.

Dichos audios reflejan:

a) Una llamada a las 13.25, en la que no se pudo concluir la operación, pese a contar con el nº de DNI de doña XXXXXX y la clave de acceso. Le faltaban otros dos: la fecha de su nacimiento y la fecha de caducidad de ese DNI.

Pues bien, como ahí consta, una mujer (a quien se identifica como XXXXXX) afirmó haber intentado realizar un ingreso en esa plataforma utilizando una tarjeta bancaria de débito terminada en XXX, y desde el banco se le dijo que “en ese tipo de plataformas” se realizaban “controles de seguridad adicionales”. La mujer facilitó correctamente la fecha de nacimiento (“24 del 09 del 90”, anota el operador), pero le resultó imposible facilitar la fecha en que el DNI caducaba.

b) Una segunda llamada, a las 13.46, en la que “XXXXXX” ya ofrece la fecha de caducidad de su DNI, pero no coincide con la registrada en el sistema de Banco Santander. “XXXXXX” alega que “tiene el DNI perdido”, pero que la caducidad la ha obtenido de una foto. Y ello impide el desbloqueo de la tarjeta y que se la remita a la oficina. Una operativa bancaria absolutamente normal.

En tercer lugar, obra en autos un informe de Redsys, del que se desprende “la información sobre la operativa relativa a la tarjeta número XXXXXXXXXXXX”: Y dice ésta:

“Que según figura en los registros, las citadas operaciones fueron autorizadas, registradas con exactitud y contabilizadas y no se vieron afectadas por un fallo técnico o cualquier otra deficiencia. Que así mismo, las operaciones fueron de comercio electrónico, realizadas a través de Apple Pay y autenticadas mediante 3D Secure en comercio electrónico.”.

El interés de este informe, ratificado testificalmente, radica en que se puede situar el momento de la petición de autorización de la operación, cuándo se autoriza, su importe y dos datos:

1.- El sistema de autentificación autorizado (3D Secure en comercio electrónico), y la entidad que responde de esa autentificación: Apple Pay.

2.- La transferencia se cursa a las 12.29.31, el alta de doña XXXXXX en Apple Pay se produce a las 13.18, las conversaciones con el/la operador/a de Banco Santander se producen a las 13.25 (primer intento) y a las 13.46 (segundo intento). La autorización se concede a las 14.29.

En cuarto lugar, la documentación acompañada a la demanda, sin embargo, refleja otros datos:

1.- Doña XXXXXX era cliente del Banco Santander, al menos desde el 15 de septiembre del 2016. Y, en esa fecha, contrató la emisión de una tarjeta de débito oro. 2.- Acordaron un máximo de seguridad de 1.200 euros “en compras realizadas en conexión con el ordenador del Banco”. 3.- La reclamación al Banco (9 de noviembre del 2022) se realizó en relación con una operación de Verse.com. 4.- En la reclamación, doña XXXXXX justifica el engaño sufrido porque le llaman diciendo que son de seguridad del banco, que se acaba de realizar una compra con su tarjeta de crédito terminada en XXXX, en un concreto establecimiento y por 121.42 euros, que alguien está intentando utilizar esa tarjeta y que, varias veces, ha metido mal el pin, por lo que está “bloqueada”.

Independientemente de que las tarjetas no coincidan, la situación de bloqueo es constatada por Banco de Santander a través de la primera llamada que queda registrada. Entre el SMS y la llamada a su entidad transcurre una hora y cuarenta y dos minutos.

El detalle del movimiento en cuenta que recibe doña XXXXXX en su móvil, al parecer por SMS, habla de una “cuenta Smart”, de una operación de “compra Verse, Verse Me”, y de un cargo de 5.995,00 euros cuya fecha de operación es el 5 de octubre, pero que se le da un valor del día 3 anterior. Por su formato, podría corresponder a un apunte de una plataforma como Bizum o Verse.

Verse era una plataforma (en su día, fue una alternativa a Bizum) creada por españoles, pero supervisada por el Banco de Lituania. Sus clientes accedían a ella a través de una app, y su funcionalidad derivaba de la posibilidad de hacer pagos rápidos con el móvil y otras operaciones con dinero. Dejó de operar en septiembre del año 2023.

Ese tipo de plataformas precisan de una vinculación con una tarjeta tipo Visa o MasterCard o el ingreso de dinero para conformar un saldo. El “dinero” se aloja en la “nube”, y, a través de su móvil, el cliente puede realizar transferencias rápidas, recibir dinero o transferirlo a su entidad bancaria”. El sistema es, además, compatible con la expedición de una tarjeta física.

La app de la plataforma no funcionaba sin un previo alta del usuario. Al usuario, como ocurre con otras plataformas que operan online, se le solicitaba un número de teléfono, remitido, recibía un mensaje SMS con un link o con una clave. Una vez que el usuario pichaba el link o escribía la clave que constaba en ese SMS, podía crear su cuenta.

Obviando lo que constaba en la primera reclamación al banco, puedo presumir que doña XXXXXX estaba dada de alta en Verse ese 3 de octubre, que se había descargado la app, e, incluso, que la tarjeta vinculada era la terminada de 4708, ya que, de otro modo, nunca se habría hecho la transferencia.

Y ello plantea un primer problema: El dinero se transfiere a través de un sistema de comprobación usando teléfono y a la cuenta del destinatario, debe constar la cantidad enviada, y el usuario siempre recibe una confirmación del envío. Si doña XXXXXX estaba dada de alta, debió recibir esa confirmación en su móvil. Esa confirmación no se ha aportado a las actuaciones.

El intento de utilizar la tarjeta 4708 originó el bloqueo de esa tarjeta, y el conocimiento directo por Banco de Santander de esa situación. La respuesta fue ajustada a las directrices que refleja la demandada en la documentación emitida por el Banco de España.

Consta acreditada una compra autentificada por Apple Pay (5.995 euros) y, también, una salida de fondos notificada por SMS a la actora (-5.995 euros).

También como en la cuenta “Debito Zero Santander 123” terminada en XXXX figura un apunte de fecha 03/10/2022, a las 12.29 horas (fecha y hora del inicio del proceso) del siguiente tenor: “PAGO MOVIL INTER.EURO Verse. Verse me.”. Y un certificado de titularidad de otra cuenta, también de la actora, terminada en XXXX.

La compras con Apple Pay, si no son presenciales y tal como refleja la documental aportada con la contestación (versión 03/06/2020) se realizan del siguiente modo: “El cliente deberá escoger “Apple Pay” entre las opciones de pago que le muestre la página web del comercio en el que vaya a pagar la compra que quiere realizar desde su iPhone o iPad. A continuación, deberá seleccionar la Tarjeta Santander con la que desee pagar y utilizar el sistema biométrico del dispositivo (Touch ID o Face ID) o introducir el código numérico de desbloqueo del Iphone para iniciar la operación de pago.”.

O lo que es lo mismo, es preciso contar con un código de desbloqueo en el móvil para iniciar la operación. Y si se trata de Verse, la operativa debería ser similar, pero no me consta acreditada.

Lo que nos lleva a la necesidad de cubrir los tiempos intermedios en los que nada aparece acreditado documentalmente.

La llamada desde el número 925221680 (número que se correspondía con el de una oficina de la entidad demandada en Toledo) no tiene otro respaldo de una alegación realizada por la actora en su demanda.

Igual carencia de respaldo tiene la supuesta referencia en el transcurso de la referida llamada a una compra online de escaso importe que había realizado la actora en otro momento, con la finalidad de dotar de mayor credibilidad a la información recibida y con ello al riesgo de que sus ahorros estuviesen en peligro.

Banco Santander pidió, como prueba anticipada, que se aportara el registro de llamadas al móvil de doña XXXXXX (I.E.44). La prueba fue admitida por auto de 4 de diciembre del 2023 (I.E.48) confirmado por otro de 8 de enero del 2024 (I.E. 68). En el expediente electrónico no consta ni su reclamo a Mas Móvil, ni su recepción en la UPAD del Juzgado. Tampoco consta propuesta en la segunda instancia. Y es un dato que la actora podía haber ofrecido sin especial dificultad de su operadora telefónica en el tiempo que transcurrió desde el SMS inicial a la presentación de la demanda.

Las consecuencias de todo ello las valoraré a continuación.

SEXTO. – Decisión de este Tribunal. Responsabilidad de Banco Santander como PSP.

El 5 de febrero del 2014, el Banco Central Europeo emitió un dictamen sobre una propuesta de directiva del Parlamento Europeo y del Consejo sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2013/36/UE y 2009/110/CE, y se deroga la Directiva 2007/64/CE.

Teniéndolo en cuenta, a finales del 2015 entró en vigor la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior, también conocida como DSP. Los artículos 96 y 97 de la DSP obligaban a que todas las operaciones de acceso a la banca digital y de pago se realizasen por medio de una autenticación reforzada de cliente y a que los proveedores de servicios de pago realizaran los controles adecuados para gestionar sus riesgos operativos y de seguridad.

A su vez, el Reglamento Delegado 2018/389, de 27 de noviembre de 2017, que complementó la DSP2 en lo relativo a las normas técnicas para la autenticación reforzada de cliente, establecía la obligación de realizar un análisis de riesgo en tiempo real basado en el análisis de operaciones y en los elementos que caracterizan al usuario en un contexto de uso normal de las credenciales de seguridad. También determinaba los factores de riesgo para tener en cuenta, hasta ocho. Los tengo aquí por reproducidos.

Como Juez nacional, vengo obligado a ceñirme a los presupuestos mínimos recogidos por la Directiva que recoge el Tribunal de Justicia, por ejemplo, en la sentencia de su Sala 5ª de 16 de marzo del 2023, asunto 351/21, caso Beobank SA y que sienta la siguiente doctrina:

“El proveedor de servicios de pago de un ordenante está obligado a facilitar a este los datos que permitan identificar a la persona física o jurídica que se ha beneficiado de una operación de pago cargada en la cuenta de dicho ordenante y no únicamente la información relativa a esa operación de pago de que disponga el proveedor tras haber hecho todo lo posible para su obtención.”.

Algo que no consta que Banco Santander haya realizado, ni antes, ni durante este litigio. Muy por el contrario, conociendo ya en él, que la operación no autorizada se refería al sistema Verse, lo que ha propuesto como proceso de autenticación regularme llevado a cabo se refiere a una operación distinta, realizada, y a la prueba me remito, con Apple Pay.

A la vista del planteamiento recogido en su demanda, lo único que consta se facilitó a la actora fue información sobre un cargo en su cuenta (a las 12.29.31 se cursa la petición de transferencia contra la tarjeta de débito de doña XXXXXX). Y, por el contrario, el proceso de alta en Apple Pay se produce sobre las 13.18.

Consta el momento exacto en el que se autorizó la transferencia de 5.995,00 euros. A las 14.29.31 del 3 de octubre del 2022, dos horas después de solicitada y estando acreditado, al menos, un bloqueo de la tarjeta de crédito que consta vinculada a Apple Pay.

A la demandada le debería constar en sus archivos cuándo doña XXXXXX se dio de alta en Verse, cómo, con qué límites. y si las operaciones a través de esa plataforma de pago estaban autorizadas en esa fecha de octubre. De ese modo, este Tribunal, como el Juez de instancia, podría comprobar la regularidad de la operación, de sus controles y de su autorización.

La Directiva se transpuso a través del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera. Su título III regula los derechos y obligaciones en relación con la prestación y utilización de servicios de pago.

En concreto, la autorización de las operaciones de pago se regula en los artículos 24 a 39. Y, en cuanto aquí interesa, debemos detenernos en el artículo 45, que regula la responsabilidad del proveedor de servicios de pago en caso de operaciones de pago no autorizadas.

Se parte de una obligación, en un plazo determinado, del importe de la operación no autorizada. Me remito expresamente a los números 1, 2 y 3 del precepto que establecen lo que se concibe como una responsabilidad cuasi-objetiva del proveedor quien sólo puede oponer que el usuario ha actuado de manera fraudulenta, o ha incumplido deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41 del RDL 19/2018 (Art. 46 RDL 19/2018):

“El usuario de servicios de pago habilitado para utilizar un instrumento de pago:

a) utilizará el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago que deberán ser objetivas, no discriminatorias y proporcionadas y, en particular, en cuanto reciba un instrumento de pago, tomará todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas;

b) en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, lo notificará al proveedor de servicios de pago o a la entidad que este designe, sin demora indebida en cuanto tenga conocimiento de ello.”.

Lo puedo resumir como la carga de custodiar las claves personales con “todas las medidas razonables” y la de notificar “sin demora” las incidencias que aprecie.

Con un matiz, el artículo 31 de la norma citada hace del proveedor la carga de probar el cumplimiento de los requisitos en materia de información establecidos en el título II de la norma (Transparencia de las condiciones y requisitos de información aplicables a los servicios de pago), y las disposiciones que lo desarrollan, recae sobre el proveedor de servicios de pago.

A lo que se añade la obligación que tienen los proveedores de implementar las medidas necesarias para prevenir y detectar los ataques fraudulentos para evitar el resultado lesivo así como la de realizar un análisis de riesgos, en tiempo real, para detectar cuándo una orden de pago es fraudulenta y anticiparse a la estafa.

La prueba que he examinado permite tener por acreditado que a doña XXXXXX se le produjo un perjuicio patrimonial, cuantificado en la demanda, que responde a un pago realizado a un desconocido proveedor, del que desconozco si se hizo online o presencialmente, y del que no consta la regularidad del proceso de autenticación, sólo su inicio, una petición de transferencia, y su final, una autorización realizada, como hemos visto, dos horas después y cuando el personal de la demandada ha tenido conocimiento de una incidencia significativa: el bloqueo de la tarjeta de crédito de doña XXXXXX.

Es obvio que Banco Santander no realizó el exigido análisis de riesgos en tiempo real, sino que prestó a su comunicadora una atención “rutinaria”, la propia de las “buenas prácticas” del banco. Si se hubiera comprobado a qué operación correspondía el bloqueo de la tarjeta de débito de doña XXXXXX, probablemente, su actuación hubiera sido otra.

Y con ello, paso a examinar si la demandada ha acreditado que la actora, como dice en su recurso, incurrió en una conducta de negligencia grave.

SÉPTIMO. – Decisión de este Tribunal. La exención de responsabilidad derivada de la conducta de la actora.

Debo examinar si el relato de la actora, incluso aunque no conste documentada la llamada que dice haber recibido de dos personas distintas que le animan a pinchar un enlace previamente remitido por SMS, tiene, o no, suficiente encaje para ser ubicado en el ámbito de la negligencia grave que permitiría a la demandada eludir su responsabilidad.

Doña XXXXXX es titular de una tarjeta de débito expedida por Banco Santander. Su utilización viene regulada en un clausulado por ella firmado, incorporado a las actuaciones y al que ninguna pega opone.

La “razonabilidad” de las medidas de custodia de claves debe ser proporcionada a las circunstancias de hecho:

1º.- Nos encontramos ante un aparente “SMS spoofing”. El delincuente falsifica el remitente de los mensajes, de forma que al receptor le aparezca como que te ha llegado un mensaje de su banco. Había elementos en él que deberían haberle hecho sospechar de su irregularidad.

2º.- Pero esa sospecha fue disipada por un ardid complementario. El “spoofer” (burlador), que dispone de su número de teléfono móvil (no consta cómo), le llama haciéndose pasar por empleado de Banco Santander con la evidente intención de que “pinche” el enlace que consta en el SMS. Y ahí facilite datos como su DNI y otros que no recuerda.

3º.- La secuencia lógica de los hechos evidencia que doña XXXXXX pinchó el enlace, facilitó los datos que le requería, y con ello supuso que su operativa con el banco quedaba, de nuevo, en un estado correcto.

4º.- Pero, obsérvese que lo que después acontece es que se usa la tarjeta de débito de doña XXXXXX. La operativa evidencia que al seguir las instrucciones del SMS facilitó su número y fecha de caducidad. Y se usa en la plataforma Verse (la petición de transferencia es temporalmente anterior al alta en Apple Pay) sin éxito.

5º.- O bien alguien comunica a doña XXXXXX el bloqueo de la tarjeta asociada, o bien alguien del entorno del “burlador” se hace pasar por ella. Y llama al banco dos veces para desbloquear. Es aquí donde entiendo que doña XXXXXX no ha cumplido con la razonabilidad de protección de sus claves.

Del contenido de las grabaciones se evidencia que hay, al menos, un doble contacto del “spoofer” con doña XXXXXX, aunque no puedo descartar que fuera ella misma quien llamaba impulsada por el “burlador”. Y que el bloqueo de su tarjeta obedeciese al intento de utilizarla en Apple Pay. La ausencia de actividad de la actora en cuanto a la prueba de que disponía, e, incluso en sus alegaciones, sobre la operación con Verse, hace dudoso todo el soporte fáctico de la demanda desde la perspectiva del artículo 217 LEC.

Pero, y en cualquier caso, no responde a la conducta de una cliente bancaria “media”, a la que no tengo por qué exigir que sea perspicaz, el que, durante los minutos en que se desarrolla la operativa (me remito a la cronología), doña XXXXXX facilite, por teléfono, y antes pinchando un enlace, el nº de su DNI, su fecha de caducidad, el número de su tarjeta, su caducidad y su clave (ésta última absolutamente necesaria para operar). El juego conjunto de DNI y tarjeta de crédito es el que soporta una doble operación de apertura de cuentas en Verse y en Apple Pay.

Y que, sin embargo, en esas circunstancias, no lo ponga en conocimiento de los operadores de Banco Santander (son dos las llamadas), para, con ello, activar una alerta operativa que habría impedido la autorización de una operación de transferencia solicitada dos horas antes. No hay en las llamadas la menor indicación respecto a una transferencia que respaldaría la tarjeta bloqueada.

E, incluso, si quien hizo las llamadas no fue la actora, en ellas se va reflejando como es quien tiene a la vista su DNI, la persona que provee de datos a la comunicante con Banco Santander.

Esa provisión de datos se hace sin tomar precaución alguna respecto de su carácter de “datos sensibles” para cualquier usuario de tarjetas de débito cuando actúa en el marco del tráfico mercantil. Doña XXXXXX es, además, una cliente bancaria, que, como se desprende de la documental, ha contratado otros productos, lo que presumo le permite acceder a una tarjeta Citi Oro.

Y ese dato lo considero suficiente para entender que la actora no adoptó (en términos de la normativa aplicable) una conducta “razonable” de protección de la clave (Clave CCV) de su tarjeta, un elemento significativo cuando la tarjeta se usa en transacciones en las que su titular no está físicamente presente. Lo que propició el cargo en cuenta de una cantidad cercana a los 6.000 euros.

Pero señala el Banco de España que una elemental medida de protección ante el fraude es “no dar por teléfono, correo electrónico, ni introduzcas en un enlace que te haya llegado por SMS o correo electrónico, datos que no darías a alguien que te encuentres por la calle, aunque parezca que el origen de la llamada o de los mensajes es seguro” (https://clientebancario.bde.es/pcb/es/blog/pagos-con-tu-tarjeta-que-tu-no-has-autorizado-.html).

Y ésta es una recomendación que los bancos (la demandada ha aportado documental al respecto) formulan de forma habitual a su clientes.

Pero, el que no se sigan las recomendaciones no significa, que la conducta de la actora pueda ser calificada de “gravemente negligente” cuando interviene un elemento de engaño por parte de un tercero.

A falta de un pronunciamiento sobre el spoofing de la Sala Primera del Tribunal Supremo, he de recordar que las Audiencias (así la Sección 4ª de la Audiencia Provincial de Asturias, con sede en Oviedo, ha recordado, con cita de sentencias de otras Audiencias como la de Pontevedra, y en su sentencia 163/2024, de 11 de abril, que » la negligencia que hace responder al cliente es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional.

Como parámetro del actuar negligente también cabrá acudir al art. 1.104 CC, que exige la diligencia asociada a la naturaleza de la obligación y a las circunstancias personales, de tiempo y lugar.

Ello destacándose la complejidad y grado de perfección que presenta en la actualidad el método de «phishing» de difícil detección por persona de formación media, así como el deber de la proveedora del servicio de dotarse de tecnología suficiente y adecuada con exigencia de medidas implantadora activas, sin entenderse suficientes avisos generales o en página web de mero carácter informativo o divulgativo…».

La propia Audiencia Provincial de Cáceres, ya en un caso de “spoofing”, y en su sentencia 555/2023, de 18 de diciembre, señala:

“ Téngase en cuenta que es jurisprudencia reiterada en interpretación de la Directiva (UE) 2015/2366, sobre normas técnicas de regulación para la autenticación reforzada, de aplicación al supuesto enjuiciado, que la negligencia que determina la responsabilidad del cliente es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional…”. A lo que añade que hay que tener en cuenta el grado de sofisticación del engaño, pero “tomando como parámetro del actuar negligente el artículo 1104 del Código Civil, que exige la diligencia asociada a la naturaleza de la obligación y a las circunstancias personales, de tiempo y lugar”.

Una negligencia grave en la custodia de claves, para ser oponible a la actora, exigiría a la demandada el acreditar que fue la conducta de ésta un claro ejemplo de omisión de sus obligaciones con una cierta percepción del riesgo que corría, no de descuido en atender a recomendaciones, rayana con un supuesto de dolo, de modo que fuera más allá de lo razonable y podía haberse evitado con facilidad. No es el caso. La actora descuida su deber de custodia en los términos que he indicado más arriba, pero lo hace inducida por un tercero que actúa como “burlador”, y por tanto una persona que maneja la técnica del spoofing, y que no descarto que llegara a ponerse en contacto con los operadores de Banco Santander una vez bloqueada la tarjeta de crédito.

OCTAVO. – Motivo tercero. Compensación de culpas.

Lo acreditado respecto de la conducta de la demandada, siempre en el ámbito de las exigencias normativas que le eran aplicables, y muy especialmente cuando no hace el control del riesgo que le era exigible, tampoco facilita a su cliente la información que debía poner en su conocimiento respecto del destinatario de los fondos, y se abstiene de remediar el perjuicio de inmediato, limitándose a reiterar su negativa y apoyarla, ya en sede judicial, con la operativa de otra plataforma de pago, entiendo que no permite, dada la diferencia de entidad entre el error provocado por un tercero y lo que es un claro incumplimiento de sus obligaciones, el hacer compensación de culpa alguna entre actora y demandada.

Lo que, a su vez, me lleva a desestimar el recurso.

NOVENO. – Costas procesales.

En cuanto a las costas de esta segunda instancia, sigue vigente la redacción del artículo 398.1 LEC, que propicia la condena de la recurrente, ya que no valoro serias dudas, ni de hecho, ni de derecho, al pago de las costas procesales de esta segunda instancia.

FALLO

Que, desestimando el recurso de apelación interpuesto por la representación de la mercantil BANCO SANTANDER SA contra la sentencia dictada en este procedimiento por el Juzgado de Primera Instancia nº 2 de esta Ciudad, debo confirmar, y confirmo dicha resolución, al tiempo que condeno a la recurrente al pago de las costas procesales de esta segunda instancia.

Dese el destino legal al depósito constituido para recurrir.

Contra esta resolución no cabe recurso alguno.

Así, por esta mi Sentencia, lo pronuncio, mando y firmo.