2.200 € recuperados por Phishing en BBVA

SENTENCIA N.º 334/2025

En Málaga, a once de diciembre de dos mil veinticinco.

Dª. XXXXXXXXXXX, Juez de Adscripción Territorial del TSJA del Juzgado de Primera Instancia número 8 de los de Málaga como refuerzo, ha visto los presentes autos de Juicio Verbal número 1979/2024, seguidos como demandante por Dª. XXXXXXXXXXX que comparece representada por el Procurador Sr. XXXXXXXXXXX y asistido del Letrado Sr. Metola Rodríguez frente a la entidad bancaria BANCO BILBAO ARGENTARIA S.A., representada por el Procurador Sr. XXXXXXXXXXX y asistida del Letrado Sr. XXXXXXXXXXX, sobre RECLAMACIÓN DE CANTIDAD.

ANTECEDENTES DE HECHO

PRIMERO.- Por la representación procesal de la actora, anteriormente referida, se presentó demanda de juicio verbal en la que, previa alegación de los hechos y fundamentos de derecho que consideró de aplicación, solicitó el dictado de una sentencia por la que condene a la entidad a abonar a la parte actora la cantidad de 2.200 euros en concepto de daños y perjuicios más los intereses legales correspondientes y costas.

Alega sucintamente los siguientes hechos:

1) La parte actora es titular de la tarjeta nº XXXXXXXXXXX de la entidad demandada.

2) El 17 de diciembre de 2022, la actora recibió una comunicación mediante SMS, aparentemente remitida por su entidad bancaria, en la que se le informaba de que su tarjeta había sido limitada temporalmente por razones de seguridad y se le instaba a acceder a un enlace web para poder reactivar la misma. El enlace le redirigió a una página web de idénticas características a la de su entidad, en la cuál se le requería para que introdujese el CVV de su tarjeta para poder confirmar la misma y reactivar así el acceso a ésta. 3) El 21 de diciembre de 2022, al revisar su cuenta se habían detraído de su cuenta 2.200 euros sin su autorización. 4) Que interpuso denuncia por tales hechos y reclamó de forma extrajudicial al banco, que no asume la responsabilidad.

SEGUNDO.- Que admitida a trámite la demanda, se acordó emplazar a la demanda que procedió a contestar a través de su representación procesal por medio de escrito en el que se opone solicitando el dictado de sentencia desestimatoria con expresa condena en costas a la actora.

Sucintamente basa su oposición en: 1) Que el fraude sufrido por el actor no se debe a la falta de medidas de seguridad del banco que si cumplió con las medidas de seguridad al haber sido autorizadas con el móvil, donde previamente se había enrolado la tarjeta. 2) Concurre negligencia del actor en la custodia de las credenciales, pues para enrolar la tarjeta se debieron introducir la numeración de la tarjeta, fecha de caducidad, dígitos de control y la clave recibida en su teléfono móvil, que sólo conoce el cliente.

TERCERO.- Presentada la contestación a la demanda, y solicitada la celebración de vista, las partes fueron convocadas al acto de juicio oral que tuvo lugar el día señalado. Al comienzo las partes ratificaron sus respectivos escritos y, tras practicarse la prueba que por pertinente fue admitida, quedaron los autos pendiente de resolución.

CUARTO.- En la tramitación del presente procedimiento se han observado las prescripciones legales.

FUNDAMENTOS JURÍDICOS

PRIMERO.- La parte actora ejercita acción de reclamación de cantidad por responsabilidad contractual, al haberse efectuado varios cargos en una cuenta bancaria de la que es titular, por un tercero y sin su consentimiento.

Por su parte, la entidad bancaria demandada alega que los movimientos objeto de reclamación fueron emitidos con consentimiento por parte de la actora, que debió facilitar todos los datos de su tarjeta para que esta se pudiera enrolar en otro dispositivo con el que se realizaron las compras, y no incurrió en negligencia alguna, debiendo imputarse la responsabilidad al titular de la cuenta por negligencia en la custodia de sus claves.

En definitiva, la cuestión controvertida se centra en la responsabilidad en los movimientos, supuestamente fraudulentos, efectuados entre el 21 de diciembre 2022 en la cuenta de la demandante por un importe total de 2.200 euros.

SEGUNDO.- Sobre el contrato de cuenta corriente, señala la STS de 19 de diciembre de 1995 que «es en el Derecho español una figura atípica que encuentra su singularidad o elemento causal, desde el punto de vista de los titulares de la cuenta, en el llamado «Servicio de Caja», encuadrable en nuestro Derecho dentro del marco general del contrato de comisión; el Banco en cuanto mandatario ejecuta las instrucciones del cliente (abonos, cargos…) y como contraprestación recibe unas determinadas comisiones, asumiendo la responsabilidad propia de un comisionista». La STS de 15 de julio de 1993 establece: «Ha de hacerse constar que la cuenta corriente bancaria va adquiriendo cada vez más autonomía contractual, despegándose del depósito bancario que le servía de base y sólo actúa como soporte contable. En todo caso la cuenta corriente bancaria expresa siempre una disponibilidad de fondos a favor de los titulares de la misma contra el Banco que los retiene…», y añade: «el Banco en cuanto mandatario, ejecuta las instrucciones del cliente, con sus abonos y cargos». Por su parte, la STS de 25 de julio de 1991 recoge como una obligación esencial de la entidad bancaria la de conservar y devolver el dinero depositado, respondiendo de los menoscabos, datos y perjuicios que este haya sufrido por su negligencia. En el mismo sentido, la STS de 12 de mayo de 2016 establece: «con carácter general debe señalarse que, conforme a la naturaleza y función del contrato de cuenta corriente bancaria, el cercioramiento o comprobación de la veracidad de la firma del ordenante constituye un presupuesto de la diligencia profesional exigible a la entidad bancaria con relación a sus obligaciones esenciales de gestión y custodia de los fondos depositados por el titular de la cuenta, cuyo incumplimiento da lugar a la indemnización de daños y perjuicios, conforme a lo dispuesto en los artículos 1101 y 1106 del Código Civil «. La STS de 16 de diciembre de 2011 ya señalaba que «[l]a disposición de fondos en una cuenta corriente o de depósito bancaria por parte de una persona que no podía hacerlo por no ser la titular ni estar autorizada por ésta supone un incumplimiento contractual ( SS., entre otras, 23 de noviembre de 2000 , 26 de noviembre de 2003 , 9 de marzo de 2006 ) dada la obligación esencial del Banco de conservar y devolver los fondos depositados como se haya previsto en el contrato y se haya ordenado por las personas autorizadas para disponer de ellos, que, caso de incumplirse, da lugar a la indemnización de daños y perjuicios conforme a los arts. 1101 y 1106 del Código Civil «.

Ha de hacerse una breve referencia a la normativa aplicable al caso, siendo ésta el Real Decreto Ley 19/2018 de 29 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, que normativo de que debe partirse viene constituido por el RDL 19/2018, que derogó la Ley 16/2009; la Directiva 2015/2366 y el Reglamento delegado 2018/389 de la Comisión. La Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior ; Considerando: (72) A la hora de evaluar la posible negligencia o la negligencia grave del usuario de servicios de pago, deben tomarse en consideración todas las circunstancias. Las pruebas de una presunta negligencia, y el grado de esta, deben evaluarse con arreglo a la normativa nacional. No obstante, si el concepto de negligencia supone un incumplimiento del deber de diligencia, la negligencia grave tiene que significar algo más que la mera negligencia, lo que entraña una conducta caracterizada por un grado significativo de falta de diligencia. Un ejemplo sería el guardar las credenciales usadas para la autorización de una operación de pago junto al instrumento de pago, en un formato abierto y fácilmente detectable para terceros. Se deben considerar nulas las cláusulas contractuales y las condiciones de prestación y utilización de instrumentos de pago mediante las cuales aumente la carga de la prueba sobre el consumidor o se reduzca la carga de la prueba sobre el emisor. Además, en situaciones específicas y, más concretamente, cuando el instrumento de pago no esté presente en el punto de venta, como en el caso de los pagos en línea, resulta oportuno que el proveedor de servicios aporte pruebas de la presunta negligencia, puesto que los medios a disposición del ordenante son limitados en esos casos. Reglamento Delegado (UE) 2018/389 de la Comisión de 27 de noviembre de 2017 por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros . En vigor desde el 14 de septiembre de 2019 (artículo 38).

En cuanto al RDL 19/2018, la SAP Madrid, secc.9ª, 26/01/2023 expresa o resume los preceptos aplicables a este caso concreto con el siguiente contenido: “Dicha norma en su artículo 41 regula como obligaciones del usuario de servicios de pago en relación con los instrumentos de pago y las credenciales de seguridad personalizada las de utilizar el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago que deberán ser objetivas, no discriminatorias y proporcionadas y, en particular, en cuanto reciba un instrumento de pago, tomar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas , así como la de en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, notificarlo al proveedor de servicios de pago o a la entidad que este designe, sin demora indebida en cuanto tenga conocimiento de ello.

El Art 45.1 establece que «1. Sin perjuicio del artículo 43 de este real decreto-ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada.»

Además el artículo 46 de la citada ley se refiere a la responsabilidad del ordenante del pago, y señala que:

«1. No obstante lo dispuesto en el artículo 45, el ordenante podrá quedar obligado a soportar, hasta un máximo de 50 euros, las pérdidas derivadas de operaciones de pago no autorizadas resultantes de la utilización de un instrumento de pago extraviado, sustraído o apropiado indebidamente por un tercero, salvo que:

a) al ordenante no le resultara posible detectar la pérdida, la sustracción o la apropiación indebida de un instrumento de pago antes de un pago, salvo cuando el propio ordenante haya actuado fraudulentamente, o

b) la pérdida se debiera a la acción o inacción de empleados o de cualquier agente, sucursal o entidad de un proveedor de servicios de pago al que se hayan externalizado actividades.

El ordenante soportará todas las pérdidas derivadas de operaciones de pago no autorizadas si el ordenante ha incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41 . En esos casos, no será de aplicación el importe máximo contemplado en el párrafo primero.

En todo caso, el ordenante quedará exento de toda responsabilidad en caso de sustracción, extravío o apropiación indebida de un instrumento de pago cuando las operaciones se hayan efectuado de forma no presencial utilizando únicamente los datos de pago impresos en el propio instrumento , siempre que no se haya producido fraude o negligencia grave por su parte en el cumplimiento de sus obligaciones de custodia del instrumento de pago y las credenciales de seguridad y haya notificado dicha circunstancia sin demora.

2. Si el proveedor de servicios de pago del ordenante no exige autenticación reforzada de cliente, el ordenante solo soportará las posibles consecuencias económicas en caso de haber actuado de forma fraudulenta. En el supuesto de que el beneficiario o el proveedor de servicios de pago del beneficiario no acepten la autenticación reforzada del cliente, deberán reembolsar el importe del perjuicio financiero causado al proveedor de servicios de pago del ordenante.

3. Salvo en caso de actuación fraudulenta, el ordenante no soportará consecuencia económica alguna por la utilización, con posterioridad a la notificación a que se refiere el artículo 41.b), de un instrumento de pago extraviado o sustraído.»

Por último, reseñar, respecto de la prueba de la autenticación y ejecución de las operaciones de pago, que el art. 44 dispone lo siguiente:

«1. Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago.

Si el usuario de servicios de pago inicia la operación de pago a través de un proveedor de servicios de iniciación de pagos, corresponderá a éste demostrar que, dentro de su ámbito de competencia, la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable.

2. A los efectos de lo establecido en el apartado anterior, el registro por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 41.

3. Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave.”

TERCERO.- Pues bien, a la vista de la prueba practicada y aplicando la normativa que se ha recogido anteriormente la demanda ha de ser estimada a la luz del artículo 217 de la Ley de Enjuiciamiento Civil.

En primer lugar queda acreditada la disposición fraudulenta del importe reclamado pues por un lado, los cargos se realizaron en ubicaciones diferente a la ciudad del actor, en el extranjero, y con un dispositivo distinto, habiendo interpuesto denuncia desde el momento en el que tiene conocimiento, como se refleja en el documento 2 y 3 de la demanda, consistente en los movimientos de dicha fecha, reclamados en este procedimiento, y la denuncia así como se aporta la reclamación a la entidad bancaria. Por otro lado, no queda acreditada la negligencia grave del actor, cuya prueba incumbe a la demandada y le eximiría de responsabilidad, pues es él quien pone en conocimiento de la entidad el fraude y los movimientos inconsentidos desde el extranjero, donde no viajó, con otra IP y dispositivo, niega la pérdida de la tarjeta o un uso imprudente, que por otro lado no se prueba, así como autorización de las operaciones.

La parte demandada ha aportado con su contestación a la demanda las certificaciones expedidas por la entidad «Redsys Servicios de Procesamiento, S.L.» (documentos 1 a 4) que, según se indica en la contestación a la demanda, es la procesadora de pagos por excelencia en la industria de pagos en España y, en consecuencia, un tercero imparcial en las que se hace constar que las operaciones que son objeto de controversia fueron autorizadas, registradas con exactitud y contabilizadas y no se vieron afectadas por un fallo técnico o cualquier otra deficiencia. Se certifica igualmente que dichas operaciones fueron de comercio electrónico y el cliente fue autenticado por las trazas de Enrolamiento de las tarjetas al sistema de pago, lo que ratifica el perito que depone en el acto del juicio, así como su informe.

De la prueba practicada, no cabe apreciar negligencia grave por parte de la demandante en el cumplimiento de su obligación de proteger sus credenciales de seguridad. No puede tacharse de gravemente negligente la conducta de quien, tras recibir en el mismo canal en el que recibe habitualmente las comunicaciones procedentes de su banco, un mensaje de texto en el que se le informa del bloqueo temporal de su cuenta, facilitándole un enlace para poder activarla, decide pulsar en ese enlace e introducir su usuario y contraseña, dado que, para una persona no experta, no es fácil detectar que el mensaje recibido es fraudulento o que la web a la que ha accedido a través del enlace facilitado es falsa.

Pues bien, entiende esta Juzgadora que la intervención del banco existió desde el momento en el que los cargos de las operaciones, se realizan en una cuenta de la entidad demandada que está asociada a la tarjeta de crédito del demandante en las que BBVA es parte en el contrato de vinculada a esa cuenta.

CUARTO.- Al no resultar acreditado que la actora incurriera en negligencia grave en el deber de custodia de sus credenciales, siendo la parte demandada la que debería haber implementado un mecanismo antiphishing de protección de los usuarios frente al uso fraudulento por parte de terceros de páginas que imitan a las oficiales para hacerse con las credenciales de los clientes, procede estimar las pretensiones de la parte actora, condenando a la entidad que debe responder de las pérdidas sufridas por el demandante con tales operaciones, responsabilidad que se hace extensible a la totalidad de la pérdida y perjuicios y sin que la cuantía haya sido discutida, al pago de la cantidad reclamada, más los intereses legales (artículos 1.100 , 1.101 y 1.108 del Código Civil).

QUINTO.- Costas.

Al haber sido estimada la demanda interpuesta, procede imponer las costas del presente procedimiento a la parte demandada ( artículo 394.1 de la Ley de Enjuiciamiento Civil ).

Vistos los preceptos legales citados y demás de general y pertinente aplicación.

FALLO

Que estimando la demanda presentada por XXXXXXXXXXX que comparece representada por el Procurador Sr. XXXXXXXXXXX frente a la entidad bancaria BANCO BILBAO ARGENTARIA S.A., representada por el Procurador Sr. XXXXXXXXXXX, ACUERDO:

1º.- Condenar a la demandada a que abone a la actora la suma reclamada como principal ascendente a 2.200 euros, incrementado con los intereses legales conforme a lo señalado en el FJ 4º de la presente resolución.

2º.- La parte demandada deberá hacer pago de las costas causadas de conformidad con lo acordado en el FJ 5º.

Contra esta resolución cabe recurso de APELACIÓN ante la Audiencia Provincial de MALAGA (artículo 455 L.E.C.). El recurso se interpondrá por medio de escrito presentado en este Juzgado en el plazo de VEINTE DÍAS hábiles contados desde el día siguiente de la notificación, limitado a citar la resolución apelada, con expresión de los pronunciamientos que impugna (artículo 458 L.E.C.).

Para la admisión a trámite del recurso previamente deberá efectuarse constitución de depósito en cuantía de 50 euros, debiendo ingresarlo en la cuenta de este Juzgado de Banco Santander nº , indicando en las Observaciones del documento de ingreso que se trata de un recurso de apelación seguido del código ‘02’, de conformidad en lo establecido en la Disposición adicional Decimoquinta de la L.O 6/1985 del Poder Judicial, salvo concurrencia de los supuestos de exclusión previstos en la misma (Ministerio Fiscal, Estado, Comunidades Autónomas, Entidades Locales y organismos autónomos dependientes de todos ellos) o beneficiarios de asistencia jurídica gratuita.

Así por esta sentencia, lo pronuncio, mando y firmo.

PUBLICACIÓN.- Dada, leída y publicada fue la anterior Sentencia por el/la Sr./Sra. MAGISTRADO/JUEZ que la dictó, estando el/la mismo/a celebrando audiencia pública en el mismo día de la fecha, de lo que yo, el/la Letrado/a de la Administración de Justicia doy fe, en MALAGA, a 11/12/2025.