2.900 € recuperados por Phishing en Bankinter

SENTENCIA Nº 193/2026

JUEZ/MAGISTRADO- JUEZ: D./Dña. [JUEZ]

Lugar: Madrid

Fecha: diecinueve de mayo de dos mil veintiséis

Vistos por mí, Doña [JUEZ], Magistrada Juez de la plaza nº 21 de la Sección Civil del Tribunal de Instancia de Madrid, los presentes autos del juicio declarativo verbal, tramitados en este juzgado bajo el nº 2341/2024, a instancia como demandante de DOÑA [DEMANDANTE], representada por el procurador D. [PROCURADOR_DEMANDANTE] y asistida por el letrado D. Iván Metola Rodríguez contra BANKINTER S.A, representado por la procuradora Doña [PROCURADOR_DEMANDADO] y asistido por el letrado D. [ABOGADO_DEMANDADO], en reclamación de 2.900 €, más intereses y costas.

ANTECEDENTES DE HECHO

PRIMERO: Por el procurador Sr. [PROCURADOR_DEMANDANTE], en nombre y representación de Doña [DEMANDANTE] se presentó demanda de juicio verbal contra Bankinter S.A, que por turno de reparto ha correspondido a esta plaza judicial. La demanda se basaba en los siguientes hechos, en síntesis: la demandante tiene contratados con el demandado una cuenta corriente y una tarjeta bancaria. El 8 de mayo del 2023 la demandante intentó entrar en el banco a través de su aplicación y no fue posible porque la aplicación no le reconocía las claves como válidas. Tras ello accedió a través de la web donde se le comunicó que la operativa había sido bloqueada por un intento de acceso fraudulento. En ese momento recibió dos SMS en la cadena habitual de Bankinter con los datos para volver a acceder a la banca on line. Al día siguiente recibió una llamada de una persona que dijo ser de Bankinter y que le informó que el día anterior se había intentado realizar una operación fraudulenta, y le envió un falso enlace al móvil, a través del cual la demandante accedió y tecleó los datos solicitados. La llamada se cortó y llamó al servicio de Atención al cliente donde se le informó que había sido víctima de una estafa. Como consecuencia de ello se realizó una compra de 2.900 € a una tarjeta revolut. La parte demandada debió actuar de forma diligente, puesto que se trataba de una operación realizada desde el extranjero y fuera de la operativa habitual de la demandante. Hay una falta de seguridad en la actuación del banco. Por ello se interesa la devolución de los 2.900 €, más intereses y costas.

A continuación, y tras alegar los fundamentos de derecho que estimó oportunos, concluyó suplicando a este Juzgado que, en su día y previos los trámites legales que correspondan, se dictara sentencia estimando la totalidad de sus pedimentos y condenando a la parte demandada en los términos interesados.

SEGUNDO: Admitida a trámite la demanda por decreto de 5 de febrero del 2025, se emplazó a la demandada para que contestara a la demanda.

Por la procuradora Sra. [PROCURADOR_DEMANDADO], en nombre y representación de Bankinter S.A se presentó escrito de contestación a la demanda alegando que la demandante no acredita la estafa, no aporta la llamada ni otro elemento indiciario. En todo caso, la operación fue correctamente autorizada por la demandante. El banco siempre informa de que no se pedirán por teléfono claves ni datos personales. La operación se realizó siguiendo los mecanismos de seguridad establecidos, la demandante introdujo sus claves y contraseña y se le envía una clave de un solo uso mediante un SMS al móvil que le consta autorizado. El SMS ponía claramente que era para autorizar un pago, no para cancelarlo. La demandante compartió sus datos y contraseña con el defraudador y autorizó una orden de pago que constaba de forma clara en el SMS. Bankinter cumplió con el doble factor de autenticación. Además, realiza numerosas campañas de prevención, que aparecen en la aplicación y en la web. Hay una grave negligencia de la demandante. Por ello, se debe desestimar la demanda.

Por diligencia de ordenación de 25 de febrero del 2025 se tuvo por contestada la demanda. Interesada la celebración de vista, por diligencia de ordenación de 4 de marzo del 2025 se convocó a las partes a la celebración de la vista.

TERCERO: En el día y hora señalada comparecieron las partes debidamente representadas y asistidas por sus respectivos procuradores y letrados. Concedida la palabra a la parte actora se ratificó en su escrito de demanda e interesó el recibimiento del pleito a prueba. Concedida la palabra a la parte demandada se ratificó en su escrito de contestación a la demanda e interesó el recibimiento del pleito a prueba. Recibido el pleito a prueba por la actora se propuso documental, más documental y requerimiento a la demandada. Por la demandada se propuso documental y testifical. Toda la prueba propuesta fue declarada pertinente, practicándose con el resultado que consta en autos. A continuación, quedó el procedimiento visto para sentencia.

CUARTO: En la tramitación de estos autos se han observado y cumplido todas las prescripciones legales, salvo el plazo para dictar sentencia, atendiendo a la elevada carga de trabajo que soporta esta plaza judicial, cuyo volumen de entrada supera en más del 200% el fijado por el CGPJ, según informe elaborado por el Servicio de Estadística del citado órgano.

FUNDAMENTOS JURIDICOS

PRIMERO: En el presente caso la parte demandante reclama a la entidad demandada el importe de una operación fraudulenta. La parte demandante sostiene que tiene contratados con el demandado una cuenta corriente y una tarjeta bancaria. El 8 de mayo del 2023 la demandante intentó entrar en el banco a través de su aplicación y no fue posible porque la aplicación no le reconocía las claves como válidas. Tras ello accedió a través de la web donde se le comunicó que la operativa había sido bloqueada por un intento de acceso fraudulento. En ese momento recibió dos SMS en la cadena habitual de Bankinter con los datos para volver a acceder a la banca on line. Al día siguiente recibió una llamada de una persona que dijo ser de Bankinter y que le informó que el día anterior se había intentado realizar una operación fraudulenta, y le envió un falso enlace al móvil, a través del cual la demandante accedió y tecleó los datos solicitados. La llamada se cortó y llamó al servicio de Atención al cliente donde se le informó que había sido víctima de una estafa. Como consecuencia de ello se realizó una compra de 2.900 € a una tarjeta revolut. La parte demandada debió actuar de forma diligente, puesto que se trataba de una operación realizada desde el extranjero y fuera de la operativa habitual de la demandante. Hay una falta de seguridad en la actuación del banco. Por ello se interesa la devolución de los 2.900 €, más intereses y costas.

Frente a esta pretensión la parte demandada se opone alegando que la demandante no acredita la estafa, no aporta la llamada ni otro elemento indiciario. En todo caso, la operación fue correctamente autorizada por la demandante. El banco siempre informa de que no se pedirán por teléfono claves ni datos personales. La operación se realizó siguiendo los mecanismos de seguridad establecidos, la demandante introdujo sus claves y contraseña y se le envía una clave de un solo uso mediante un SMS al móvil que le consta autorizado. El SMS ponía claramente que era para autorizar un pago, no para cancelarlo. La demandante compartió sus datos y contraseña con el defraudador y autorizó una orden de pago que constaba de forma clara en el SMS. Bankinter cumplió con el doble factor de autenticación. Además, realiza numerosas campañas de prevención, que aparecen en la aplicación y en la web. Hay una grave negligencia de la demandante.

Debemos analizar las cuestiones planteadas.

SEGUNDO: Se centra el presente procedimiento en un supuesto de fraude informático conocido como «phishing», denominación que proviene del inglés «fishing» (pesca) y que es resultado de la contracción de la frase «password harvesting fishing» (cosecha y pesca de contraseñas).

De acuerdo con la definición dada por la Agencia Española de Protección de Datos, en resolución de fecha 24 de mayo de 2006 «el objetivo de los ataques de «phishing» es la obtención de forma engañosa y fraudulenta de los códigos de usuarios y contraseñas de clientes de Banca Electrónica, al objeto de realizar transferencias no autorizadas… Su operatoria comienza con la adquisición en internet de un «paquete de herramientas», que incluyen programas informáticos e información necesaria para realizar los ataques. Esta información incluye «listas de equipos comprometidos» que pueden ser utilizados bien para mandar correos electrónicos, bien para alojar páginas web falsificadas. Incluyen además «bases de datos de direcciones de correo electrónico». Una vez en posesión del paquete, se remiten los correos electrónicos con carácter indiscriminado (buscando contactar con clientes de la entidad financiera) informando de la necesidad de conectarse a una página web que parece pertenecer a la citada entidad y portar los códigos de acceso y contraseñas de clientes. Dicha página web se suele alojar en un equipo conectado a Internet cuya seguridad se haya visto comprometida», sin conocimiento de su usuario, y que se encuentra normalmente en un país distinto al de los destinatarios del ataque. De esta forma se constituye «un fichero de datos personales con códigos de usuarios y contraseñas de clientes» recabados de forma engañosa y fraudulenta, que se ubica normalmente en el mismo «equipo remoto comprometido» en el que se aloja la página web falsificada. Con los datos obtenidos se realizan trasferencias a cuentas de colaboradores situados en España los cuales a su vez retiran el dinero en efectivo y tras descontar una comisión realizan transferencias monetarias internacionales mediante entidades especializadas.»

Habitualmente se hace efectiva a través del envío de correos electrónicos o SMS engañosos, en los que se imita el lenguaje, formato e imagen de las entidades bancarias o financieras suplantando su identidad y, solicitando los datos personales de las víctimas alegando diferentes motivos. Los métodos empleados para este tipo fraude son diversos (clonación de tarjetas, skimming o carcasa superpuesta, el pharming o introducirse en un servidor a través de hackers, capturando claves, contraseñas, etc.) y no necesariamente llega a descubrirse en todos los supuestos el concreto método empleado; si bien es evidente, en cualquier caso, que se trata de una operación no autorizada por el titular de la cuenta corriente, el cual ve sustraído sus datos y claves de una manera fraudulenta, a través de medios técnicos.

Las obligaciones exigibles a las entidades bancarias como proveedoras de pago, en relación con los instrumentos de y sistemas de pago que ponen a disposición de sus clientas en cuanto a la garantía del buen funcionamiento de los mismos preservándolos frente al fraude, se recoge, en el ámbito de la legislación nacional, en el Real Decreto Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (en adelante, LSP),aprobado para transponer, entre otras, la directiva UE 2015/2366 en materia de servicios de – la denominada «PSD2»-, complementada por el Reglamento Delegado (UE) 2018/396 de la Comisión de 27 de noviembre de 2017, con el objetivo de mejorar la protección de los usuarios de los servicios de pago, obligando a las entidades a usar la autentificación reforzada incrementando la protección de los clientes frente a sus pagos.

El Real Decreto Ley 19/2018 en sus arts. 36 a 41 reproduce el contenido de las directivas, con la siguiente regulación.

Así, el art. 36.1 proclama:» Las operaciones de pago se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución. A falta de tal consentimiento la operación de pago se considerará no autorizada. El consentimiento para la ejecución de una operación de pago podrá darse también por conducto del beneficiario o del proveedor de servicios de iniciación de pagos.

El ordenante y su proveedor de servicios de pago acordarán la forma en que se dará el consentimiento, así como el procedimiento de notificación del mismo.»

Artículo 41, sobre obligaciones del usuario de servicios de pago en relación con los instrumentos de pago y las credenciales de seguridad personalizadas establece: el usuario de servicios de pago habilitado para utilizar un instrumento de pago: a) utilizará el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago que deberán ser objetivas, no discriminatorias y proporcionadas y, en particular, en cuanto reciba un instrumento de pago, tomará todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas.

Artículo 42. Obligaciones del proveedor de servicios de pago en relación con los instrumentos de pago. 1. El proveedor de servicios de pago emisor de un instrumento de pago: a) Se cerciorará de que las credenciales de seguridad personalizadas del instrumento de pago solo sean accesibles para el usuario de servicios de pago facultado para utilizar dicho instrumento, sin perjuicio de las obligaciones que incumben al usuario de servicios de pago con arreglo al artículo 41. b) Se abstendrá de enviar instrumentos de pago que no hayan sido solicitados, salvo en caso de que deba sustituirse un instrumento de pago ya entregado al usuario de servicios de pago. Esta sustitución podrá venir motivada por la incorporación al instrumento de pago de nuevas funcionalidades, no expresamente solicitadas por el usuario, siempre que en el contrato marco se hubiera previsto tal posibilidad y la sustitución se realice con carácter gratuito para el cliente. c) Garantizará que en todo momento estén disponibles medios adecuados y gratuitos que permitan al usuario de servicios de pago efectuar una notificación en virtud del artículo 41.b), o solicitar un desbloqueo con arreglo a lo dispuesto en el artículo 40.4. A este respecto, el proveedor de servicios de pago facilitará, también gratuitamente, al usuario de dichos servicios, cuando éste se lo requiera, medios tales que le permitan demostrar que ha efectuado dicha comunicación, durante los 18 meses siguientes a la misma. d) Ofrecerá al usuario de servicios de pago la posibilidad de efectuar una notificación en virtud del artículo 41.b), gratuitamente y cobrar, si acaso, únicamente los costes de sustitución directamente imputables al instrumento de pago. e) Impedirá cualquier utilización del instrumento de pago una vez efectuada la notificación en virtud del artículo 41.b). 2. El proveedor de servicios de pago soportará los riesgos derivados del envío de un instrumento de pago al usuario de servicios de pago o del envío de cualesquiera elementos de seguridad personalizados del mismo.

Artículo 43. Notificación y rectificación de operaciones de pago no autorizadas o ejecutadas incorrectamente. 1. El usuario de servicios de pago obtendrá la rectificación por parte del proveedor de servicios de pago de una operación de pago no autorizada o ejecutada incorrectamente únicamente si el usuario de servicios de pago se lo comunica sin demora injustificada, en cuanto tenga conocimiento de cualquiera de dichas operaciones que sea objeto de reclamación, incluso las cubiertas por el artículo 60, y, en todo caso, dentro de un plazo máximo de trece meses contados desde la fecha del adeudo. Los plazos para la notificación establecidos en el párrafo primero no se aplicarán cuando el proveedor de servicios de pago no le haya proporcionado ni puesto a su disposición la información sobre la operación de pago con arreglo a lo establecido en el título II.

Artículo 44. Prueba de la autenticación y ejecución de las operaciones de pago. 1. Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago. Si el usuario de servicios de pago inicia la operación de pago a través de un proveedor de servicios de iniciación de pagos, corresponderá a éste demostrar que, dentro de su ámbito de competencia, la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable. 2. A los efectos de lo establecido en el apartado anterior, el registro por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 41. 3. Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave. 4. El proveedor de servicios de pago conservará la documentación y los registros que le permitan acreditar el cumplimiento de las obligaciones establecidas en este Título y sus disposiciones de desarrollo y las facilitará al usuario en el caso de que así le sea solicitado, durante, al menos, seis años. No obstante, el proveedor de servicios de pago conservará la documentación relativa al nacimiento, modificación y extinción de la relación jurídica que le une con cada usuario de servicios de pago al menos durante el periodo en que, a tenor de las normas sobre prescripción puedan resultarles conveniente para promover el ejercicio de sus derechos contractuales o sea posible que les llegue a ser exigido el cumplimiento de sus obligaciones contractuales. Lo dispuesto en este apartado se entiende sin perjuicio de lo establecido en la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, así como en otras disposiciones nacionales o de la Unión Europea aplicables.

Artículo 45. Responsabilidad del proveedor de servicios de pago en caso de operaciones de pago no autorizadas. 1. Sin perjuicio del artículo 43 de este real decreto-ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada. La fecha de valor del abono en la cuenta de pago del ordenante no será posterior a la fecha de adeudo del importe devuelto. 2. Cuando la operación de pago se inicie a través de un proveedor de servicios de iniciación de pagos, el proveedor de servicios de pago gestor de cuenta devolverá inmediatamente y, en cualquier caso, a más tardar al final del día hábil siguiente, el importe de la operación de pago no autorizada y, en su caso, restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada. Si el responsable de la operación de pago no autorizada es el proveedor de servicios de iniciación de pagos, deberá resarcir de inmediato al proveedor de servicios de pago gestor de cuenta, a petición de este, por las pérdidas sufridas o las sumas abonadas para efectuar la devolución al ordenante, incluido el importe de la operación de pago no autorizada. De conformidad con el artículo 44.1, corresponderá al proveedor de servicios de iniciación de pagos demostrar que, dentro de su ámbito de competencia, la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable. 3. Podrán determinarse otras indemnizaciones económicas de conformidad con la normativa aplicable al contrato celebrado entre el ordenante y el proveedor de servicios de pago o el contrato celebrado entre el ordenante y el proveedor de servicios de iniciación de pagos, en su caso.

Artículo 46. Responsabilidad del ordenante en caso de operaciones de pago no autorizadas. 1. No obstante lo dispuesto en el artículo 45, el ordenante podrá quedar obligado a soportar, hasta un máximo de 50 euros, las pérdidas derivadas de operaciones de pago no autorizadas resultantes de la utilización de un instrumento de pago extraviado, sustraído o apropiado indebidamente por un tercero, salvo que: a) al ordenante no le resultara posible detectar la pérdida, la sustracción o la apropiación indebida de un instrumento de pago antes de un pago, salvo cuando el propio ordenante haya actuado fraudulentamente, o b) la pérdida se debiera a la acción o inacción de empleados o de cualquier agente, sucursal o entidad de un proveedor de servicios de pago al que se hayan externalizado actividades. El ordenante soportará todas las pérdidas derivadas de operaciones de pago no autorizadas si el ordenante ha incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41. En esos casos, no será de aplicación el importe máximo contemplado en el párrafo primero. En todo caso, el ordenante quedará exento de toda responsabilidad en caso de sustracción, extravío o apropiación indebida de un instrumento de pago cuando las operaciones se hayan efectuado de forma no presencial utilizando únicamente los datos de pago impresos en el propio instrumento, siempre que no se haya producido fraude o negligencia grave por su parte en el cumplimiento de sus obligaciones de custodia del instrumento de pago y las credenciales de seguridad y haya notificado dicha circunstancia sin demora. 2. Si el proveedor de servicios de pago del ordenante no exige autenticación reforzada de cliente, el ordenante solo soportará las posibles consecuencias económicas en caso de haber actuado de forma fraudulenta. En el supuesto de que el beneficiario o el proveedor de servicios de pago del beneficiario no acepten la autenticación reforzada del cliente, deberán reembolsar el importe del perjuicio financiero causado al proveedor de servicios de pago del ordenante. 3. Salvo en caso de actuación fraudulenta, el ordenante no soportará consecuencia económica alguna por la utilización, con posterioridad a la notificación a que se refiere el artículo 41.b), de un instrumento de pago extraviado o sustraído. 4. Si el proveedor de servicios de pago no tiene disponibles medios adecuados para que pueda notificarse en todo momento el extravío o la sustracción de un instrumento de pago, según lo dispuesto en el artículo 42.1.c), el ordenante no será responsable de las consecuencias económicas que se deriven de la utilización de dicho instrumento de pago, salvo en caso de que haya actuado de manera fraudulenta».

Al margen de la normativa expuesta, como recuerda la recentísima STS 571/2025, del 9 de abril, tras exponer de modo detallado la normativa europea y nacional en la materia, la sentencia del Tribunal de Justicia de 2 de septiembre de 2021 (C-337/20), con ocasión de examinar el alcance del art. 58 de la anterior Directiva 2007/64, aporta siquiera sea de modo indirecto unas pautas orientativas sobre la diligencia exigible al usuario de los servicios de pago, y en las conclusiones del abogado general Sr. Henrik Saugmandsgaard, presentadas el 8 de julio de 2021 y asumidas por el Tribunal de Justicia, se dice:

«38. Por lo que respecta, en primer lugar, al tenor de los artículos 58 y 60 de la Directiva 2007/64 , cabe señalar que el artículo 58 introduce una obligación general de notificación de cualquier operación no autorizada o ejecutada incorrectamente, de modo que el usuario del servicio solo obtendrá la rectificación de una operación no autorizada o ejecutada incorrectamente si notifica dicha operación a su proveedor de servicios, notificación que deberá efectuarse a más tardar en los trece meses de la fecha del adeudo correspondiente.

39. El artículo 60 de dicha Directiva se refiere específicamente a la responsabilidad del proveedor de servicios de pago en caso de operaciones no autorizadas. Su apartado 1 establece que, sin perjuicio del artículo 58, los Estados miembros velarán por que el proveedor de servicios devuelva de inmediato al ordenante el importe de la operación no autorizada.

40. La expresión «sin perjuicio del artículo 58» que figura en el artículo 60 de la Directiva 2007/64 significa que lo dispuesto en este artículo no se establece en detrimento del artículo 58 de dicha Directiva. De ello se desprende que la responsabilidad del proveedor en caso de operaciones no autorizadas está supeditada a que el usuario del servicio respete el procedimiento de notificación previsto en el artículo 58 de dicha Directiva, cuyo plazo no puede exceder de los trece meses siguientes a la fecha del adeudo.

41. El considerando 31 de la Directiva 2007/64 pone de manifiesto que se trata efectivamente de una condición al establecer que, si el usuario del servicio de pago respeta el plazo de la notificación, debe tener la posibilidad de presentar su reclamación relativa al carácter no autorizado del pago.

51. A continuación, tanto en el caso de operaciones no autorizadas como de operaciones ejecutadas de manera incorrecta, el artículo 59 de la Directiva 2007/64, relativo a la carga de la prueba, establece que corresponde al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada.

52. Debo subrayar que este artículo 59 efectúa una inversión de la carga de la prueba, haciendo que esta no recaiga sobre quien alega la existencia de una operación no autorizada, a saber, el usuario del servicio de pago, sino sobre el proveedor de servicios de pago. De ello se desprende que, durante un período de trece meses, este último está sujeto a una obligación de devolución casi automática e inmediata de la operación que el usuario no ha autorizado.

53. De este modo, el legislador de la Unión ha establecido un régimen de responsabilidad basado en tres elementos esenciales y vinculados entre sí, a saber: una obligación de notificación que recae sobre el usuario del servicio de pago, establecida en el artículo 58 de la Directiva 2007/64 ; la atribución de la carga de la prueba al proveedor de esos servicios, que figura en el artículo 59 de dicha Directiva, y, por último, en caso de falta de prueba, la responsabilidad de ese proveedor, de conformidad con los artículos 60 y 75 de dicha Directiva, en función de que la operación no haya sido autorizada, no haya sido ejecutada o haya sido ejecutada incorrectamente.

86. De este modo, existe un equilibrio entre, en primer lugar, la obligación de información que recae sobre el proveedor de servicios de pago, en segundo lugar, el deber de diligencia que incumbe al usuario del servicio de pago asociado a una obligación de notificación dentro de un plazo concreto y, en tercer lugar, la responsabilidad estricta del proveedor, sin que el usuario tenga que demostrar una falta o negligencia.»

También recuerda el Tribunal Supremo la posterior sentencia del Tribunal de Justicia de la Unión Europea, de 2 de septiembre de 2021 (C-337/20), que, tras indicar que, para interpretar una disposición del Derecho de la Unión, no solo debe tenerse en cuenta su tenor literal, sino también el contexto en el que se inscribe y los objetivos perseguidos por la normativa de la que forma parte, declara:

«32. En primer lugar, por lo que respecta, por una parte, al texto del apartado 1 del artículo 60 de la Directiva 2007/64 , titulado «Responsabilidad del proveedor de servicios de pago en caso de operaciones de pago no autorizadas», conviene indicar que este artículo dispone que, sin perjuicio del artículo 58 de la citada Directiva, los Estados miembros velarán por que, en el caso de una operación de pago no autorizada, el proveedor de servicios de pago devuelva de inmediato al ordenante el importe de tal operación y, en su caso, por que restablezca en la cuenta de pago en la cual se haya adeudado el importe el estado que habría existido de no haberse efectuado la operación de pago no autorizada.

39. En el sistema de este régimen de responsabilidad, la obligación de notificación por el usuario de servicios de pago de cualquier operación no autorizada es condición para que dicho régimen pueda aplicarse en favor del usuario, denominado también ordenante en determinadas disposiciones de la Directiva 2007/64.

40. A continuación, el artículo 59 de esta Directiva incluye en el régimen de responsabilidad por operaciones no autorizadas un mecanismo de carga de la prueba favorable al usuario de servicios de pago. En esencia, la carga de la prueba recae sobre el proveedor de servicios de pago, que debe probar que la operación de pago fue autenticada, registrada con exactitud y contabilizada. En la práctica, el régimen de prueba establecido en dicho artículo 59 lleva, desde el momento en que la notificación prevista en el artículo 58 de la citada Directiva se ha efectuado dentro del plazo previsto en él, a someter al proveedor de servicios de pago a una obligación de devolución inmediata, de conformidad con el artículo 60, apartado 1, de dicha Directiva.

63. Así, como ha señalado, en esencia, el Abogado General en el punto 86 de sus conclusiones, el régimen de responsabilidad previsto en el artículo 60, apartado 1, de la Directiva 2007/64 se basa en un equilibrio entre la obligación de información que recae sobre el proveedor de servicios de pago y la obligación de notificación de cualquier operación no autorizada dentro de un plazo de trece meses que incumbe al usuario de servicios de pago, que permite fundamentar la responsabilidad estricta del proveedor, sin que el usuario tenga que demostrar una falta o negligencia.»

Conforme a la normativa comunitaria y nacional aplicable y a la jurisprudencia comunitaria recaída en interpretación de la regulación de la que trae causa la primera, el TS en la sentencia 571/2025, formula las siguientes conclusiones:

«1.º El usuario de servicios de pago debe adoptar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas y, en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, ha de notificarlo al proveedor de servicios de pago de manera inmediata, tan pronto tenga conocimiento de ello.

2.º En caso de que se produzca una operación de pago no autorizada o ejecutada incorrectamente, si el usuario de servicios de pago se lo comunica sin demora injustificada, el proveedor debe proceder a su rectificación y reintegrar el importe de inmediato, salvo que tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España.

3.º Cuando un usuario niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, incumbe al proveedor la carga de demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago.

4.º El mero hecho del registro por el proveedor de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones, correspondiendo al proveedor la prueba de que el usuario del servicio de pago cometió fraude o negligencia grave.

En suma, la responsabilidad del proveedor de los servicios de pago, en los casos de operaciones no autorizadas o ejecutadas incorrectamente, tiene carácter cuasi objetivo, en el doble sentido de que, primero, notificada la existencia de una operación no autorizada o ejecutada incorrectamente, el proveedor debe responder salvo que acredite la existencia de fraude; y, segundo, cuando el usuario niegue haber autorizado la operación o alegue que ésta se ejecutó incorrectamente, corresponde al proveedor acreditar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio, sin que el simple registro de la operación baste para demostrar que fue autorizada ni que el usuario ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave.

Profundizando en este último punto, la expresión «operaciones no autorizadas» incluye aquellas que se han iniciado con las claves de usuario y contraseña del usuario -necesarias para acceder al sistema de banca digital- y confirmado mediante la inserción del SMS enviado por el propio sistema al dispositivo móvil facilitado por el usuario, siempre que éste niegue haberlas autorizado, en cuyo caso el banco deberá acreditar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio que presta.

A este respecto, la mención «deficiencia del servicio» no significa error o fallo del sistema informático o electrónico -posibilidad que estaría prevista en el concepto de «fallo técnico»-, sino que abarca cualquier falta de diligencia o mala praxis en la prestación del servicio, en el entendimiento de que el grado de diligencia exigible al proveedor de los servicios de pago no es el propio del buen padre de familia, sino que la naturaleza de la actividad y los riesgos que entraña el servicio que se presta, sobre todo en una relación empresario/consumidor, obliga a elevar el nivel de diligencia a un plano superior, como es el del ordenado y experto comerciante.

Lógicamente, las buenas prácticas pasan por adoptar las medidas de seguridad necesarias para garantizar el correcto funcionamiento del sistema de servicios de pago, entre las cuales destacan las orientadas a detectar de forma automática la concurrencia de indicios de que puede tratarse de una operación anómala y generar una alerta o un bloqueo temporal (v.gr. reiteración de transferencias sin solución de continuidad, horario en que se producen, importe de las mismas, destinatarios, antecedentes en el uso de la cuenta…), o las dirigidas a incrementar el control y vigilancia cuando se han recibido noticias o alertas de un posible aumento del riesgo».

TERCERO: En nuestro caso concreto, la parte demandada afirma que la demandante no acredita ni siquiera la existencia del fraude.

Pues bien, es cierto que no se aporta la llamada realizada por el estafador haciéndose pasar por empleado de Bankinter, ni se acredita la imposibilidad de acceder el día previo a la aplicación de la entidad por un intento fraudulento de entrada, pero es igualmente cierto que como norma general nadie graba sus propias llamadas y por lo tanto es lógico que la demandante no tenga ni conserve tal conversación. No obstante, la existencia de ese fraude se deduce de una serie de elementos. En primer lugar, la parte demandante aporta dos SMS del canal Bankinter del día anterior a la llamada, el 8 de mayo del 2023 en el que se aporta un usuario para poder acceder a la web o a la app, lo que coincide con la versión de la demandante. En segundo lugar, tal y como resulta de la documentación aportada por la parte demandada a requerimiento de la demandante, se procedió a la cancelación de la tarjeta de forma inmediata al cargo fraudulento. El SMS para autorizar el movimiento fraudulento tiene lugar a las 13:59, tal y como resulta del documento nº 5 de la contestación a la demanda, y la entidad bancaria procedió a bloquear preventivamente la tarjeta a las 14:01, tras la llamada de la propia actora, como se indica en la demanda. En tercer lugar, dos días después del movimiento fraudulento, la demandante procedió a denunciar los hechos ante la Policía Nacional, manteniendo una versión similar a la recogida en la demanda.

Por todo ello, si bien no contamos con la llamada en la que se produce el engaño, si existen toda una serie de indicios que acreditan que efectivamente tuvo lugar la llamada y se produjo la estafa fraudulenta.

Dicho esto, la siguiente cuestión es valorar si la demandante incurrió en negligencia grave, en los términos recogidos por la normativa y especialmente por la interpretación jurisprudencial.

Queda acreditada que la demandante recibió una llamada de una persona que decía ser de Bankinter y que no le ofreció ningún tipo de sospecha, haciéndole referencia a un intento de fraude en su cuenta, que coincidía con lo ocurrido el día anterior y que daba mayor verosimilitud a la llamada. Esa persona le envía un enlace a la demandante y ésta lo pincha y pensando que está en la aplicación del banco introduce los datos personales, para supuestamente evitar una operación fraudulenta. No se duda que la demandante introdujo su usuario y contraseña, pero, tal y como ha indicado el Tribunal Supremo, esto no se puede considerar en sí mismo una negligencia grave. La demandante, siguiendo las indicaciones del defraudador, autoriza una operación a favor del banco Revolut por importe de 2.900 €. Queda acreditado que para realizar esta operación la demandante tuvo que introducir el código OTP que le envió por SMS a su teléfono la entidad bancaria. Así resulta acreditado mediante el documento nº 5 de la contestación a la demanda. La demandada considera que la negligencia de la demandante se basa no sólo en que para operaciones de cancelación no se requiere el doble factor de autenticación, sino que en el SMS constaba que lo que estaba autorizando era un pago y no una cancelación. Efectivamente así resulta del documento n 5 de la contestación a la demanda. El SMS enviado a las 13:59 indica «autoriza pago 2.900 € con tu tarjeta [TARJETA] en revolut». El contenido del mensaje es claro, se está autorizando un pago y no una cancelación de una operación fraudulenta, pero no por ello debemos entender automáticamente que la conducta de la demandante fue negligente, sino que debemos tener en cuenta el contexto en el que se desarrolla este tipo de fraudes. Normalmente se intenta crear una situación de nerviosismo en la persona para que actúe de forma rápida y sin darle tiempo a pensar, haciendo referencia a una situación de riesgo para su dinero y sus cuentas bancarias, y ello explicaría que la demandante no procediera a leer con el detenimiento necesario el mensaje y autorizara la operación.

Es cierto que la entidad bancaria realizó la operación tras el doble factor de autenticación, pero como ha indicado el Tribunal Supremo en la citada sentencia 571/2025, de 9 de abril de 2025 (recurso 1151/2023), dictada precisamente en un caso de fraude tipo «SIM phishing», el régimen de responsabilidad del proveedor es cuasi-objetivo y solo se quiebra si el banco demuestra la negligencia grave o dolo del cliente, reiterando que esa prueba corresponde al proveedor. En dicho caso el Tribunal Supremo entendió que no podía imputarse negligencia grave a la víctima por haber sido engañada mediante ingeniería social (pese a haber facilitado un código OTP. Y además subraya, por el contrario, las posibles «deficiencias del servicio» bancario en estos casos, señalando que la mera existencia de sistemas de autenticación de doble factor no agota el deber de diligencia de la entidad.

Pero es más, si bien es cierto que la operación fue correctamente autorizada por la demandante, también es igualmente cierto que si analizamos los movimientos ordinarios de la demandante, no estamos ante un tipo de operación ordinaria, tanto por lo elevado del importe como en su caso por el destino del dinero, Banco Revolut, situado en el extranjero y utilizado de manera muy frecuente para cometer este tipo de estafas, por lo que el sistema de la entidad bancaria, atendiendo al perfil de la demandante, al destino de la operación y a la cuantía de la misma, debió advertir a la misma del riesgo de la operación por cualquiera de los medios o canales habituales de comunicación de la misma, reforzando así el sistema de control. Pero no lo hizo y por ello, entendemos que la demandante no incurrió en una negligencia grave por el mero hecho de no haber leído correctamente el contenido del SMS, teniendo en cuenta que estaba hablando con una persona profesional en embaucar a clientes bancarios medios.

Atendiendo a lo expuesto, procede la estimación de la demanda, condenando a la parte demandada a abonar a la actora la cantidad de la operación fraudulenta y que asciende a 2.900 €.

CUARTO: En cuanto a los intereses, son de aplicación los intereses legales de los artículos 1.100 y 1.108 del Código civil, a partir de la primera reclamación extrajudicial fechada por correo electrónico de 5 de octubre del 2023 y hasta sentencia.

QUINTO: En cuanto a las costas, dado que se ha producido la estimación de la demanda, se deben imponer a la parte demandada.

Vistos los preceptos legales citados y demás de general y pertinente aplicación al caso:

FALLO

QUE DEBO ESTIMAR Y ESTIMO LA DEMANDA interpuesta por el procurador Sr. [PROCURADOR_DEMANDANTE], en nombre y representación de DOÑA [DEMANDANTE] contra BANKINTER S.A CONDENANDO A LA PARTE DEMANDADA A ABONAR A LA ACTORA LA CANTIDAD DE DOS MIL NOVECIENTOS EUROS (2.900 €) más los intereses legales desde la reclamación extrajudicial de 5 de octubre del 2023. Todo ello con condena en costas del demandado.

Notifíquese esta resolución a las partes.

Contra la presente resolución no cabe recurso, conforme al artículo 455 de la LEC.

Así por esta sentencia, juzgando definitivamente en primera instancia, la pronuncio, mando y firmo.

PUBLICACIÓN.- La presente sentencia ha sido dada, leída y publicada por la Ilma. Sra. Magistrada juez que la ha dictado estando celebrando audiencia pública en mi presencia, el Letrado de la Administración de Justicia de esta plaza judicial. Doy fe.