1.499 € recuperados por Phishing en Banco Santander

SENTENCIA nº 000756/2024

En Santander, a 08 de noviembre del 2024.

Vistos por el Ilmo./ D. XXXXXXXX, Magistrado-Juez del JUZGADO DE PRIMERA INSTANCIA Nº 5 de Santander de Santander y su Partido, los presentes autos de Juicio verbal (250.2) nº 0000105/2024 seguidos ante este Juzgado, a instancia de XXXXXXXX asistido por el Letrado D./Dña. IVAN METOLA RODRIGUEZ contra el BANCO DE SANTANDER, S.A representado por el Procurador XXXXXXXX y defendido por el Letrado D./Dña. XXXXXXXX sobre RECLAMACION DE CANTIDAD.

ANTECEDENTES DE HECHO

PRIMERO.- Por D. XXXXXXXX se presentó demanda de juicio verbal de reclamación de cantidad frente al BANCO DE SANTANDER, S.A en la que tras alegar los derechos y fundamentos de derecho que estimó pertinentes terminó suplicando se dictara sentencia conforme al suplico de la demanda y que aquí se da por reproducido.

SEGUNDO.- Habiéndose convocado las partes a juicio verbal el mismo ha quedado sobre la mesa de SSª para dictar Sentencia.

FUNDAMENTOS DE DERECHO

PRIMERO.- PLANTEAMIENTO

Estas actuaciones tienen su origen en una demanda interpuesta por D. XXXXXXXX ejercitando acción de reclamación de cantidad frente a BANCO SANTANDER, S.A. que ha comparecido oponiéndose.

Los hechos sobre los que se plantea el litigio son en síntesis los siguientes.

El demandante es cliente de la entidad demandada en virtud de contrato de cuenta con nº IBAN ESXX XXXXXXXX que está asociada a la tarjeta de crédito con nº XXXXXXXX, con nº de contrato XXXXXXXX.

Según se relata en la demanda, el 22 de septiembre de 2022 el actor recibió de forma simultánea tres comunicaciones mediante SMS, aparentemente remitidas por su entidad bancaria recibidos en la misma cadena de mensajes provenientes de Banco Santander, por lo que todo parecía indicar que el remitente era el Banco.

En la primera de ellas se le informaba de un cargo por importe de 528,00 euros en su cuenta bancaria y se le instaba a acceder con carácter urgente a un enlace web para el caso de que no reconociese dicha operación.

El actor pincho en ese enlace y le redirigió a una página web de idénticas características a la de la entidad bancaria.

De forma inmediata, recibió una llamada telefónica, cuyo interlocutor se identificó como trabajador del departamento de fraude de Banco Santander, informando al cliente de que para poder cancelar su tarjeta y evitar así la operación fraudulenta éste debía proporcionarle la clave CVV de dicha tarjeta.

El actor accedió a lo solicitado y facilitó el CVV a su interlocutor en la creencia de que éste era empleado de Banco Santander y que por tanto estaba tratando realmente con su entidad bancaria de confianza,

Días después constató que se habían detraido de su cuenta 1.499,00 euros mediante dos operaciones que no fueron autorizadas por él.

En concreto, las operaciones fueron las siguientes:

– Compra el día 22/09/2022 por importe de 529,00 euros en el comercio “Revolut” (entidad dedicada al intercambio de criptomonedas, cambio de divisas sin cargo y negociación de acciones sin comisiones, con sede en Londres).

– Compra el día 22/09/2022 por importe de 970,00 euros también en el comercio “Revolut”.

De estas compras o cargos fraudulentos el actor no recibió solicitud de autenticación, como habría sido preceptivo, por lo que no fueron validadas por el.

A la vista de lo anterior solicita a través del presente procedimiento con base en lo dispuesto en la Ley de Servicios de Pago la devolución de la cantidad de 1.499 €.

La demandada se opone a la pretensión y alega su falta de responsabilidad y la negligencia del demandante al facilitar sus claves de seguridad a la persona no identificada que le llamó por teléfono.

SEGUNDO.- LEGISLACION Y JURISPRUDENCIA APLICABLE

Dados los términos en que ha quedado planteado el debate, para la resolución de la cuestión litigiosa debe partirse de la normativa de aplicación que es el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera.

El mismo por lo que aquí interés establece lo siguiente:

Artículo 43. Notificación y rectificación de operaciones de pago no autorizadas o ejecutadas incorrectamente.

1. El usuario de servicios de pago obtendrá la rectificación por parte del proveedor de servicios de pago de una operación de pago no autorizada o ejecutada incorrectamente únicamente si el usuario de servicios de pago se lo comunica sin demora injustificada, en cuanto tenga conocimiento de cualquiera de dichas operaciones que sea objeto de reclamación, incluso as cubiertas por el artículo 60, y, en todo caso, dentro de un plazo máximo de trece meses contados desde la fecha del adeudo.

Artículo 44. Prueba de la autenticación y ejecución de las operaciones de pago.

1. Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago.

Si el usuario de servicios de pago inicia la operación de pago a través de un proveedor de servicios de iniciación de pagos, corresponderá a éste demostrar que, dentro de su ámbito de competencia, la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable.

2. A los efectos de lo establecido en el apartado anterior, el registro por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 41.

3. Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave.

Artículo 45. Responsabilidad del proveedor de servicios de pago en caso de operaciones de pago no autorizadas.

1. Sin perjuicio del artículo 43 de este real decreto-ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada.

Artículo 46. Responsabilidad del ordenante en caso de operaciones de pago no autorizadas.

1. No obstante lo dispuesto en el artículo 45, el ordenante podrá quedar obligado a soportar, hasta un máximo de 50 euros, las pérdidas derivadas de operaciones de pago no autorizadas resultantes de la utilización de un instrumento de pago extraviado, sustraído o apropiado indebidamente por un tercero, salvo que:

a) al ordenante no le resultara posible detectar la pérdida, la sustracción o la apropiación indebida de un instrumento de pago antes de un pago, salvo cuando el propio ordenante haya actuado fraudulentamente, o

b) la pérdida se debiera a la acción o inacción de empleados o de cualquier agente, sucursal o entidad de un proveedor de servicios de pago al que se hayan externalizado actividades.

El ordenante soportará todas las pérdidas derivadas de operaciones de pago no autorizadas si el ordenante ha incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41. En esos casos, no será de aplicación el importe máximo contemplado en el párrafo primero.

En todo caso, el ordenante quedará exento de toda responsabilidad en caso de sustracción, extravío o apropiación indebida de un instrumento de pago cuando las operaciones se hayan efectuado de forma no presencial utilizando únicamente los datos de pago impresos en el propio instrumento, siempre que no se haya producido fraude o negligencia grave por su parte en el cumplimiento de sus obligaciones de custodia del instrumento de pago y las credenciales de seguridad y haya notificado dicha circunstancia sin demora.

Del contenido expuesto resulta que se establece una especie de presunción de culpa o de responsabilidad cuasiobjetiva del banco de manera que debe ser éste el que demuestre que hubo una actuación dolosa o constitutiva de imprudencia grave por parte del cliente.

Nuestra jurisprudencia ha analizado recientemente supuestos análogos al presente pudiendo citarse a titulo de ejemplo la SAP, Civil sección 4 del 12 de julio de 2024 ( ROJ: SAP S 1082/2024 – ECLI:ES:APS:2024:1082 ) SAP, Civil sección 4 del 12 de julio de 2024 ( ROJ: SAP S 1080/2024 – ECLI:ES:APS:2024:1080 ) SAP, Civil sección 4 del 01 de julio de 2024 (ROJ: SAP S 1093/2024 – ECLI:ES:APS:2024:1093 ) SAP, Civil sección 4 del 31 de mayo de 2024 ( ROJ: SAP S 997/2024 – ECLI:ES:APS:2024:997) SAP, Civil sección 2 del 13 de marzo de 2024 ( ROJ: SAP S 233/2024 – ECLI:ES:APS:2024:233 )que establecen lo siguiente:

“la negligencia que se exige en el usuario para que quede neutralizada la responsabilidad del proveedor de pagos ha de ser grave, es decir, no resulta suficiente con que dejara de observar una diligencia extrema.

Como señala la reciente SAP de A Coruña, 86/2023, de 29 de marzo , » La negligencia grave supone una falta de la diligencia más elemental que consiste en no hacer lo que todos hacen.»

O, según la SAP de Pontevedra, 177/2023, de 23 de marzo : » En interpretación de directiva 2015/2366 , la negligencia que hace responder al cliente es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional. Como parámetro del actuar negligente también cabrá acudir al art. 1.104 CC , que exige la diligencia asociada a la naturaleza de la obligación y a las circunstancias personales, de tiempo y lugar. Ello destacándose la complejidad y grado de perfección que presenta en la actualidad el método de » phishing» de difícil detección por persona de formación media, así como el deber de la proveedora, del servicio de dotarse de tecnología suficiente y adecuada con exigencia de medidas implantadoras activas, sin entenderse suficientes avisos generales o en página web de mero carácter informativo o divulgativo. En el mismo sentido sentencias de la Audiencia Provincial de Pontevedra de 21 diciembre 2021 ; Audiencia provincial de Madrid de 20 mayo 2022 , Audiencia provincial de Valencia de 13 junio 2022 .

TERCERO.- APLICACIÓN AL CASO

Pues bien tras el análisis y valoración de la prueba practicada cabe concluir que en este caso no resulta acreditada la existencia de dicha imprudencia por parte del actor.

Consta acreditado y así ha sido reconocido en prueba de interrogatorio lo siguiente:

-El actor recibió el SMS con un enlace https://bancosantander.rectificar-datos.com// que es diferente de la dirección correcta de la entidad https://www.bancosantander.es/.

Ese acceso por tanto es diferente del que habitualmente utiliza el actor a través de la app.

– pinchó en el enlace y a partir de ese momento no recuerda con exactitud que le apareció en la pantalla.

-a continuación recibió una llamada telefónica de una persona que se identifico como un empleado del departamento antifraude del banco. Le indico que se había detectado un intento de movimiento extraño en su cuenta y que si no lo había realizado él, le informo de cómo proceder para cancelarlo siendo necesario para ello que el facilitase el CVV de su tarjeta a lo cual accedió.

No se ha aportado más documentación acerca del modo en que se pudo autorizar las dos compras.

La demandada alega en su contestación que “el demandante reveló los códigos OTP para autorizar el registro de dispositivo seguro en su cuenta de banca digital y la visualización del CVV y PIN de su tarjeta bancaria” asi como que “necesariamente debe concluirse que: o bien, el demandante viene ocultando los datos bancarios que verdaderamente fueron objeto de cesión para así encubrir su grave negligencia; o, bien, que su dispositivo móvil fue hackeado tras pulsar en el enlace; o la tarjeta SIM de su línea móvil duplicada.”

En virtud de lo anteriormente expuesto debe ser la entidad de servicios de pago la que acredite la negligencia grave del actor y en este caso no basta con plantear una serie de hipótesis acerca de cómo se pudieron producir y autorizar las compras sino que debe demostrar que se hizo por una imprudencia grave lo que como se ha dicho aquí no ha ocurrido.

Tal y como se ha resuelto en los supuestos analizados en las sentencias antes citadas el actor fue víctima de un engaño, perpetrado con evidente pericia por el delincuente, y la conducta del usuario no puede calificarse como de gravemente negligente.

El hecho de pinchar en el link, después de recibir un mensaje de un cargo no autorizado y que debía acceder a una pagina web concreta con cierta similitud con la de su banco no implica que actuase con negligencia grave.

Igualmente, el hecho de facilitar el CVV a quien se identifica como empleado del departamento antifraude del banco dada la coincidencia temporal con el SMS tampoco merece ese calificativo.

Como se razona en una de las sentencias antes citadas “no es posible afirmar, con la necesaria seguridad, que la suplantación de la apelante en dos importantes servicios de comunicación como son el canal de SMS y el servicio telefónico no enerven ni reduzcan la negligencia grave con que pudo actuar la demandante (cfr. fundamento de derecho segundo de esta resolución). Como acertadamente resuelve el juzgador de primera instancia, era razonable que la demandante confiara en que quien con ella habló por teléfono durante el curso de la operación de fraude fuera un empleado de la demandada, pues esa llamada procedía de un número de teléfono que aparentemente pertenecía a Unicaja Banco.”

De lo expuesto puede concluirse que tal vez el actor no agotó al máximo toda la diligencia que podría haber observado al facilitar su CVV a su interlocutor pero “dicha actuación aislada, cuyas consecuencias dañosas no están al alcance de ser previstas por una persona media, habida cuenta el uso generalizado de la operativa bancaria online, no podemos conceptuarla como de negligencia grave.”

Por tanto a la vista de esta falta de actividad probatoria debe operar la presunción de responsabilidad legalmente establecida por lo que la demandada deberá abonar a la actora la cantidad reclamada

CUARTO.- COSTAS PROCESALES

Las costas se impondrán a la demandada al haber sido estimada íntegramente la pretensión formulada (Art. 394 Ley de Enjuiciamiento civil )

FALLO

ESTIMANDO LA DEMANDA interpuesta por XXXXXXXX frente a BANCO SANTANDER S.A. representado por el procurador sr.MATEO PEREZ debo condenar a este a abonar a aquel la suma de 1.499 € más los intereses legales desde su cargo en cuenta (22-09-2022)así como al pago de las costas procesales.

Esta resolución ES FIRME y frente a ella no cabe recurso. (art.455 LEC).

Así por esta sentencia, lo pronuncio, mando y firmo.

El/ Magistrado-Juez

PUBLICACIÓN.- De conformidad con lo que se dispone en el artículo 212 de la LEC, firmada la sentencia por el Juez que la dictó, se acuerda por el Sr./Sra. Letrado/a de la Admón. de Justicia su notificación a las partes del procedimiento y el archivo de la misma en la oficina judicial, dejando testimonio en los autos, de lo que yo el/la Letrado/a de la Admón. de Justicia doy fe.