1.036 € recuperados por Phishing de CaixaBank
Importe conseguido 1035.99€
Reclamación contra Caixabank
Fecha 03/06/2024
Juzgado Juzgado de Primera Instancia nº 30 de Valencia
Compartimos un nuevo caso de éxito logrado por Indemniza.me en Valencia. Esta vez nuestro trabajo sirvió para defender los intereses de un consumidor que sufrió un episodio de phishing en su cuenta bancaria operada por la entidad CaixaBank. El importe sustraído era de 1.035,99 euros.
¿Cómo se produjo el fraude?
El 8 de septiembre de 2021 a las 19;08 horas nuestro cliente recibió una comunicación mediante correo electrónico, aparentemente remitida por CaixaBank, en la que se le instaba a pinchar con carácter urgente en un enlace facilitado. En ese enlace se le requería para introdujera los datos de su tarjeta y su contraseña.
Tras abrir ese enlace, nuestro cliente procedió a borrar el correo electrónico que acababa de recibir alarmado por la posibilidad de que se tratase de un fraude.
Minutos más tarde, a través de la aplicación móvil de su entidad bancaria, comprobó que se habían realizado tres cargos no autorizados en su cuenta.
Inmediatamente se puso en contacto telefónico con la entidad para informar del carácter fraudulento de dichas operaciones. En esta comunicación, solicitó también su revocación.
Pese a que el aviso dado a la entidad se produjo inmediatamente a continuación del fraude, CaixaBank no realizó gestión alguna para impedir o retrotraer la operación. Todo ello, incluso, tras haber asegurado telefónicamente a nuestro cliente que no había razones para preocuparse porque los tres movimientos sospechosos que detectaban no habían llegado a realizarse «al no tener su autorización».
Al ver cómo pasaban los días y no obtenía una solución por parte del banco, este cliente se puso en contacto con nosotros para tratar de recuperar el dinero perdido.
Conseguimos que nuestro cliente recuperara el dinero
Después de conocer en profundidad el caso y repasar toda la documentación aportada por nuestro cliente, presentamos una reclamación de cantidad a CaixaBank al entender que nuestro cliente había sido víctima de un fraude o estafa.
Tanto nuestra experiencia en procesos similares, como la jurisprudencia existente en casos muy parecidos al de nuestro cliente nos hacía creer que la resolución sería favorable para nuestros intereses.
Esta intuición se convirtió en un hecho el 3 de junio de 2024. En esta fecha el juez condenó a «Caixabank S.A.» a devolver a nuestro cliente el importe sustraído por valor de 1.035,99 euros, más las costas y los intereses legales generados.
De esta manera poníamos fin a un nuevo proceso judicial con un fallo satisfactorio para los intereses de nuestro cliente.
S E N T E N C I A : 178/2024
En la ciudad de VALENCIA, a tres de junio de dos mil veinticuatro
VISTOS por la Ilma. Sra. Dª XXXXXXXXX. Magistrado- Juez del Juzgado de Primera Instancia número TREINTA de los de esta Capital, los presentes autos de Juicio Verbal, número 1364/2023, sobre reclamación de cantidad, promovidos por D. XXXXXXXXX representado por la Procuradora Dª XXXXXXXXX y asistido del letrado D. Iván Metola Rodríguez, contra CAIXABANK, S.A. representada por la Procuradora Dª XXXXXXXXX, actuando bajo la dirección de D. XXXXXXXXX
ANTECEDENTES DE HECHO:
PRIMERO.- D. XXXXXXXXX presentan demanda contra CAIXABANK, S.A. en reclamación de 1.035,99 €, en cuyo suplico interesa:
CONDENE a CAIXABANK, S.A. a abonar a mi representado el importe de 1.035,99 €, junto con los intereses legales de dicha cantidad desde la fecha de su cargo en cuenta.
Todo ello con condena a la demandada al pago de las costas causadas con expresión de temeridad.
Alega:
-que es cliente de la entidad demandada en virtud de contrato de cuenta online con número de cuenta ESXX XXXX XXXX XX XXXXXX, y tarjeta con número XXXXXXXXXXX
-que han sido víctimas de una estafa comúnmente conocida como «PHISHING» que constituye una modalidad específica de fraude informático que visualiza las deficiencias de seguridad del sistema informático de una entidad.
-que en fecha 8 de septiembre de 2.021, a las 19:08 horas recibió una comunicación mediante correo electrónico, aparentemente remitida por CAIXABANK, en la que se le urgía a pinchar con carácter urgente en un enlace que se facilitaba y se le requería para que introdujese los datos de su tarjeta y sus contraseñas.
-que en ese momento procedió al borrado del correo electrónico, alarmado por la posibilidad de que se tratara de un fraude
-que más tarde, a través de la aplicación de su entidad instalada de su teléfono móvil, comprobó que se habían realizado tres cargos consecutivos no autorizados e inmediatamente se puso en contacto telefónico con la entidad para informar del carácter fraudulento de las operaciones y negar su autorización a la mismas, solicitando su revocación -que el aviso dado a la entidad se produjo dentro del mismo día (de hecho, inmediatamente), con las operaciones pendientes según le fue confirmado en ese momento, a pesar de lo cual la demandada no realizó gestión alguna para evitar hacer efectiva o para retrotraer la operación, incluso tras haber asegurado telefónicamente a mi mandante que los tres movimientos sospechosos que detectaban no habían llegado a realizarse “al no tener su autorización”, por lo que no tenía motivos para preocuparse
Cita los artículos 45 y 55 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera y el artículo 2 del Reglamento Delegado (UE) 2018/389 de la Comisión de 27 de noviembre de 2017 por el que se complementa la Directiva (UE) 2015/2366
SEGUNDO.- Admitida a trámite la demanda se sustanció por los trámites establecidos para el juicio verbal
Dándose traslado de la demanda comparecía la demandada que se oponía a la reclamación alegando en síntesis:
-excepción de cosa juzgada en base al Auto nº 742/2023 de 11 de julio de 2023 dictado por el Juzgado de Primera Instancia nº 16 de Valencia en el Juicio Verbal nº 1827/2022 en el que tenía por desistido al actor que no compareció al acto de juicio; y excepción de falta de legitimación pasiva “ad causam” estando legitimada la entidad CaixaBank Payments & Consumer, E.F.C., E.P., S.A. por ser la proveedora de los servicios de tarjeta.
-cuestión prejudicial penal por el procedimiento iniciado vía denuncia por el Sr. XXXXXXXXX ante la Policía Nacional en Miranda de Ebro (Burgos) con fecha 17 de septiembre de 2021
-que no existió incumplimiento alguno de las obligaciones contractuales asumidas por la demandada y ello porque tanto CaixaBank, S.A. como CaixaBank Payments & Consumer, E.F.C., E.P., S.A.U. (en relación a las operaciones vinculadas a la tarjeta en cuestión) contaban con todas las medidas de seguridad necesarias en su plataforma de banca online y en la APP Caixabank Now a través de la cual opera
-que el Sr. Gutiérrez suscribió con fecha 25 de junio de 2019 con la antigua CaixaBank Payments, E.F.C., E.P., S.A.U. el meritado contrato original de la tarjeta Visa & Pay con nº de referencia 9613-18-5945373-12 que fue actualizado posteriormente bajo la nueva entidad acreedora y proveedora de dichos servicios, CaixaBank Payments & Consumer, constando aceptadas sus condiciones telemáticamente por el Sr. Gutiérrez con fecha 10 de diciembre de 2020:
-que las operaciones reclamadas hoy fueron autorizadas previamente por el Sr. XXXXXXXXX, con la verificación y autenticación correspondiente aportando detalle del “PUSH” (esto es, mensajes que se remiten desde un servidor remoto hasta los dispositivos del cliente que tienen instalada la aplicación) enviado al titular para autenticar cada una de las dos operaciones hoy cuestionadas, incluyendo la trazabilidad de cada movimiento asociado a la tarjeta y documentos del ZEUS-REDSYS con el detalle del P22 (Datos Punto de Servicio) donde aparece la autenticación, con detalle, de las tres transacciones realizadas con la tarjeta titulada por el Sr. XXXXXXXXX con el OK confirmatorio de las operaciones realizadas por el actor frente a MONEYGRAM FRANCE y Taptap Send UK Ltd.
-que el envío de las notificaciones “Push” vía SMS relativas a cada una de las operaciones tiene como destino el terminal con número de teléfono titularidad del actor, no de tercero.
-que el banco en su propia página web da instrucciones e ilustra a los usuarios, sobre cómo prevenir este tipo de delitos telemáticos, phising y smishing
TERCERO.- Se señalaba día y hora para la celebración de vista el 14 de mayo del corriente a la que asistieron las partes ratificándose en sus escritos. Por el tribunal se resolvían las excepciones de cosa juzgada y prejudicialidad penal rechazando ambas, dejando la excepción referida a falta de legitimación pasiva para resolver en sentencia
Recibido el pleito a prueba, se propuso documental por la actora y por la demandada documental y oficios estos últimos inadmitidos por innecesario, formulando recurso y protesta a efectos de apelación.
CUARTO.- En la sustanciación de los presentes autos se han observado las prescripciones legales.
FUNDAMENTOS DE DERECHO
PRIMERO.- Falta de legitimación pasiva
Se alega por CAIXABANK SA falta de legitimación pasiva y se basa en que el contrato de tarjeta que vincula a las partes y que sustenta la reclamación del actor por negligencia de la entidad en el cumplimiento de sus obligaciones se concierta con CAIXABANK PAYMENTS & CONSUMER, E.F.C., E.P., S.A, de modo que la reclamación debió dirigirse contra esa entidad, distinta e independiente de CAIXABANK SA aunque puedan tener relación por formar parte del mismo grupo empresarial.
Y sin desconocer la jurisprudencia que refiere que efectivamente la personalidad de ambas entidades es diferente e independiente, sin que el mero hecho de que formen parte del mismo grupo empresarial permita obviar la distinta personalidad jurídica de cada una de ellas, en este caso concreto este tribunal entiende procedente rechazar esta excepción por la misma actuación de CAIXABANK SA que aceptó la reclamación y contestó a la misma en varias ocasiones con el nombre de CAIXABANK SA y no de su filial, sin indicación alguna al demandante de que la responsable era CAIXABANK PAYMENTS & CONSUMER, E.F.C.
Así, el documento n.º 10 de la demanda recoge la contestación que dio la entidad el 4 de noviembre de 2021 a la reclamación del actor a través del Servicio de Atención al Cliente, analizando cada una de las operaciones y en su lateral izquierdo se hacen constar los datos de Caixabank SA y no de la filial. Lo mismo ocurre en todos los documentos del bloque n.º 17 de la contestación. Y aunque en el documento 12, documento del mismo servicio, de 2 de abril de 2022, en contestación a la reclamación del actor dirigida a CAIXABANK SA en febrero (documento n.º 11) se hace mención a CaixaBank Payments & Consumer, lo cierto es que igualmente se hace constar en el margen izquierdo a Caixabank SA, y al final de la hoja se habla en nombre de esta entidad, de modo que claramente dio lugar a confusión y no rechazó la demandada expresamente su legitimación pasiva
Al respecto se trae al caso la reiterada jurisprudencia que tiene indicado que no puede aceptarse la falta de legitimación alegada por quien en las relaciones extrajudiciales estuvo asumiendo dicha legitimación en cuanto conculca la doctrina que prohíbe actuar contra actos propios, sustentada en la prohibición de abuso de derecho y el principio de buena fe establecidos en el artículo 7 del CC ( STS de 7 de abril de 2015 o 20 de abril de 2017, entre otras), pues contradice la postura que vino manteniendo extraprocesalmente.
SEGUNDO.- Normativa aplicable y jurisprudencia
Ninguna duda hay de la condición de consumidor del actor siendo de aplicación por ello el artículo 147 del Texto Refundido de la Ley para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, aprobado por el Real Decreto Legislativo 1/2007, de 16 de noviembre, que dispone: » Los prestadores de servicios serán responsables de los daños y perjuicios causados a los consumidores o usuarios, salvo que prueben que han cumplido las exigencias y requisitos reglamentariamente establecidos y demás cuidados y diligencias que exige la naturaleza del servicio «. Y a su vez el artículo 148 del mismo texto conforme al cual «se responderá de los daños originados en el correcto uso de los servicios, cuando por su propia naturaleza, o por estar así reglamentariamente establecido, incluyan necesariamente la garantía de niveles determinados de eficacia o seguridad, en condiciones objetivas de determinación, y supongan controles técnicos, profesionales o sistemáticos de calidad, hasta llegar en debidas condiciones al consumidor y usuario. »
Más específicamente el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera regula en los artículos 40 a 46 las obligaciones de los usuarios y de la entidad respecto a este tipo de operaciones.
Artículo 41. Obligaciones del usuario de servicios de pago en relación con los instrumentos de pago y las credenciales de seguridad personalizadas.
El usuario de servicios de pago habilitado para utilizar un instrumento de pago:
a) utilizará el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago que deberán ser objetivas, no discriminatorias y proporcionadas y, en particular, en cuanto reciba un instrumento de pago, tomará todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas;
b) en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, lo notificará al proveedor de servicios de pago o a la entidad que este designe, sin demora indebida en cuanto tenga conocimiento de ello.
Artículo 42. Obligaciones del proveedor de servicios de pago en relación con los instrumentos de pago.
1. El proveedor de servicios de pago emisor de un instrumento de pago:
a) Se cerciorará de que las credenciales de seguridad personalizadas del instrumento de pago solo sean accesibles para el usuario de servicios de pago facultado para utilizar dicho instrumento, sin perjuicio de las obligaciones que incumben al usuario de servicios de pago con arreglo al artículo 41
Artículo 43. Notificación y rectificación de operaciones de pago no autorizadas o ejecutadas incorrectamente.
1. El usuario de servicios de pago obtendrá la rectificación por parte del proveedor de servicios de pago de una operación de pago no autorizada o ejecutada incorrectamente únicamente si el usuario de servicios de pago se lo comunica sin demora injustificada, en cuanto tenga conocimiento de cualquiera de dichas operaciones que sea objeto de reclamación, incluso las cubiertas por el artículo 60, y, en todo caso, dentro de un plazo máximo de trece meses contados desde la fecha del adeudo.
Artículo 44. Prueba de la autenticación y ejecución de las operaciones de pago.
1. Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago.
Si el usuario de servicios de pago inicia la operación de pago a través de un proveedor de servicios de iniciación de pagos, corresponderá a éste demostrar que, dentro de su ámbito de competencia, la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable.
2. A los efectos de lo establecido en el apartado anterior, el registro por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 41.
3. Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave.
4. El proveedor de servicios de pago conservará la documentación y los registros que le permitan acreditar el cumplimiento de las obligaciones establecidas en este Título y sus disposiciones de desarrollo y las facilitará al usuario en el caso de que así le sea solicitado, durante, al menos, seis años. No obstante, el proveedor de servicios de pago conservará la documentación relativa al nacimiento, modificación y extinción de la relación jurídica que le une con cada usuario de servicios de pago al menos durante el periodo en que, a tenor de las normas sobre prescripción puedan resultarles conveniente para promover el ejercicio de sus derechos contractuales o sea posible que les llegue a ser exigido el cumplimiento de sus obligaciones contractuales.
Lo dispuesto en este apartado se entiende sin perjuicio de lo establecido en la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, así como en otras disposiciones nacionales o de la Unión Europea aplicables.
Artículo 45. Responsabilidad del proveedor de servicios de pago en caso de operaciones de pago no autorizadas.
1. Sin perjuicio del artículo 43 de este real decreto-ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada.
La fecha de valor del abono en la cuenta de pago del ordenante no será posterior a la fecha de adeudo del importe devuelto.
2. Cuando la operación de pago se inicie a través de un proveedor de servicios de iniciación de pagos, el proveedor de servicios de pago gestor de cuenta devolverá inmediatamente y, en cualquier caso, a más tardar al final del día hábil siguiente, el importe de la operación de pago no autorizada y, en su caso, restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada.
Si el responsable de la operación de pago no autorizada es el proveedor de servicios de iniciación de pagos, deberá resarcir de inmediato al proveedor de servicios de pago gestor de cuenta, a petición de este, por las pérdidas sufridas o las sumas abonadas para efectuar la devolución al ordenante, incluido el importe de la operación de pago no autorizada. De conformidad con el artículo 44.1, corresponderá al proveedor de servicios de iniciación de pagos demostrar que, dentro de su ámbito de competencia, la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable.
3. Podrán determinarse otras indemnizaciones económicas de conformidad con la normativa aplicable al contrato celebrado entre el ordenante y el proveedor de servicios de pago o el contrato celebrado entre el ordenante y el proveedor de servicios de iniciación de pagos, en su caso.
Artículo 46. Responsabilidad del ordenante en caso de operaciones de pago no autorizadas.
1. No obstante lo dispuesto en el artículo 45, el ordenante podrá quedar obligado a soportar, hasta un máximo de 50 euros, las pérdidas derivadas de operaciones de pago no autorizadas resultantes de la utilización de un instrumento de pago extraviado, sustraído o apropiado indebidamente por un tercero, salvo que:
a) al ordenante no le resultara posible detectar la pérdida, la sustracción o la apropiación indebida de un instrumento de pago antes de un pago, salvo cuando el propio ordenante haya actuado fraudulentamente,
o
b) la pérdida se debiera a la acción o inacción de empleados o de cualquier agente, sucursal o entidad de un proveedor de servicios de pago al que se hayan externalizado actividades.
El ordenante soportará todas las pérdidas derivadas de operaciones de pago no autorizadas si el ordenante ha incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41. En esos casos, no será de aplicación el importe máximo contemplado en el párrafo primero.
En todo caso, el ordenante quedará exento de toda responsabilidad en caso de sustracción, extravío o apropiación indebida de un instrumento de pago cuando las operaciones se hayan efectuado de forma no presencial utilizando únicamente los datos de pago impresos en el propio instrumento, siempre que no se haya producido fraude o negligencia grave por su parte en el cumplimiento de sus obligaciones de custodia del instrumento de pago y las credenciales de seguridad y haya notificado dicha circunstancia sin demora.
2. Si el proveedor de servicios de pago del ordenante no exige autenticación reforzada de cliente, el ordenante solo soportará las posibles consecuencias económicas en caso de haber actuado de forma fraudulenta. En el supuesto de que el beneficiario o el proveedor de servicios de pago del beneficiario no acepten la autenticación reforzada del cliente, deberán reembolsar el importe del perjuicio financiero causado al proveedor de servicios de pago del ordenante.
3. Salvo en caso de actuación fraudulenta, el ordenante no soportará consecuencia económica alguna por la utilización, con posterioridad a la notificación a que se refiere el artículo 41.b), de un instrumento de pago extraviado o sustraído.
4. Si el proveedor de servicios de pago no tiene disponibles medios adecuados para que pueda notificarse en todo momento el extravío o la sustracción de un instrumento de pago, según lo dispuesto en el artículo 42.1.c), el ordenante no será responsable de las consecuencias económicas que se deriven de la utilización de dicho instrumento de pago, salvo en caso de que haya actuado de manera fraudulenta.
Sobre la interpretación y aplicación de esta normativa existen resoluciones que consideran que casos como el presente se resuelven en perjuicio del cliente al entender que en estos supuestos media negligencia grave del mismo, no advirtiendo que se trata de un correo manipulado y que por ello ofrece sus datos al ciberdelincuente y las que se inclinan porque el perjuicio se asuma por la entidad si no consta que ha puesto todos los medios a su alcance para evitar estas actuaciones fraudulentas. Así en este última línea pueden traerse al caso las siguientes resoluciones:
AP Zaragoza, sec. 4ª, S 14-05-2013, nº 215/2013, rec. 116/2013 que tras analizar un supuesto de delito de estafa informática o «Phising» con cita de la normativa entonces aplicable (Art 46 de la ley 7/96, de 15 de enero de Ordenamiento del Comercio Minorista (EDL 1996/13741) (transposición de la Directiva 97/7 CE (EDL 1997/23335)) y la ley 22/07 de 11 julio (EDL 2007/58351) (art. 12) de Comercialización a Distancia de Servicios Financieros destinados a Consumidores (transposición de Directiva 2002/65/CE (EDL 2002/41806) actualmente derogadas por la LGDCU que viene a recoger su texto) establece que salvo actuación fraudulenta, incumplimiento deliberado o negligencia grave del ordenante, la responsabilidad será del proveedor del servicio de pago , lo que supone que a él le corresponde la carga de la prueba de que la orden de pago » no se vio afectada por un fallo técnico o cualquier otra deficiencia» y añade que “parece de una obviedad incontestable que no ha de ser el cliente quien tenga que detectar las disfunciones de un sistema que ni ha creado ni manejado, ni tiene posibilidad de ello.” refiriendo que el sistema responsabilístico ha de tender al reequilibrio negocial entre el banco y los clientes, que carecen de posibilidad alguna de modificación del sistema de cobros y pagos electrónicos máxime ante el avance también de los métodos delictivos de estafa informática, lo que significa que el sistema era y es perfectible, no perfecto también cita el Art 46 de la ley 7/96, de 15 de enero de Ordenamiento del Comercio Minorista (EDL 1996/13741) (transposición de la Directiva 97/7 CE (EDL 1997/23335)) y la ley 22/07 de 11 julio (EDL 2007/58351) (art. 12) de Comercialización a Distancia de Servicios Financieros destinados a Consumidores (transposición de Directiva 2002/65/CE (EDL 2002/41806)), que establecen una protección especial al consumidor frente a la incertidumbre jurídica que produce el desarrollo de Internet y las nuevas tecnologías. Protección que se articula en la inmediata reposición o anulación de los cargos indebidos al titular del elemento o medio de pago utilizado indebida o fraudulentamente.
SAP Madrid, sec. 9ª, S 04-05-2015, nº 178/2015, rec. 661/2013 que da un paso más y concluye que en la LSP se establece un sistema de responsabilidad cuasi objetiva de la entidad proveedora del servicio de pago , con inversión de la carga probatoria, al presumirse la falta de autorización, si el titular lo niega, como ocurre en el presente supuesto. Este sistema de responsabilidad civil, tan solo cesa cuando conforme a lo establecido en el artículo 32 LSP, el cliente ha actuado fraudulentamente o con negligencia grave a la hora de aplicar los medios razonables de protección de seguridad personalizados de que haya sido provisto, o en el caso de que no haya comunicado a la entidad el pago no autorizado, en cuanto tenga conocimiento del mismo, siempre y cuando la entidad disponga de un sistema de comunicación adecuado, gratuito y disponible, en todo momento, que le permita al usuario del servicio efectuar la comunicación de la actuación fraudulenta.
Y SAP Alicante de8 del 12 de marzo de 2018 ( ROJ: SAP A 632/2018 – ECLI:ES:APA:2018:632 ) que por su interés se transcribe en lo relevante “que no es cierto que la carga de la prueba sobre la implementación de medidas de seguridad adecuadas, suficientes, eficientes y actuales al nivel de riesgo modalidades de ataques informáticos en la red bancaria de banca online lo sea a cargo del usuario del sistema, pues el marco de responsabilidad establecido para el caso de operaciones de pagos hechos por proveedores de servicios no autorizadas o ejecutadas incorrectamente, es el de la cuasi-objetividad tal cual se desprende de la regulación específica sobre la materia -a la que seguidamente aludiremos-, sin perjuicio del régimen general de la carga de la prueba.”
“la responsabilidad del proveedor de los servicios de banca online , en este caso XXX, es de riesgo y consecuentemente, es por ley que a la entidad corresponde acreditar que la operación ordenada sí fue auténtica y que no estuvo afectada por un fallo técnico o por otra deficiencia como, por ejemplo, por un ataque informático de naturaleza fraudulenta al sistema bancario que hubiera permitido el acceso a las cuentas de sus clientes y disponer ilícitamente, de las mismas ordenando operaciones en detrimento de aquellos.”
“La banca electrónica está siendo objeto de transferencias no autorizadas por el cliente y que vienen antecedidas por el método delictivo conocido como phishing que constituye una modalidad específica de fraude informático que visualiza las deficiencias de seguridad del sistema informático de una entidad y que trae causa en el uso de las redes telemáticas.”
Por último la SAP Valencia Civil sección 9 del 23 de abril de 2013 ( ROJ: SAP V 2148/2013 – ECLI:ES:APV:2013:2148 ) Sentencia: 130/2013 – Recurso: 53/2013 Ponente: XXXXXXXXXX, que cita a su vez la sentencia de la AP de Barcelona, sección 16 de 15 de Septiembre del 2011 ( ROJ: SAP B 8990/2011, Recurso: 923/200 y que confirma la sentencia de instancia que entendía existía culpa concurrente y moderaba la indemnización.
TERCERO.- Aplicación al objeto de esta litis
En este caso concreto la duda esencial radica en si el actor cometió negligencia grave en su actuación pues se indica por la entidad demandada que el acto autorizó las tres operaciones, introduciendo los datos del sms que se le enviaba a su teléfono
Y aunque se indica que el actor autorizaba la operación, este hecho se negaba en la demanda, pues el actor afirma únicamente haber abierto un correo remitido con los caracteres del banco y que tras ver que era posible que fuera fraudulento lo cerraba sin dar sus datos, de modo que la cuestión se centra en valorar si existe prueba suficiente de que se remitieron los sms al teléfono del actor y éste los introdujo autorizando las tres operaciones teniendo en consideración que la carga de la prueba compete a la demandada y que de quedar este extremo dudoso deba pechar la entidad con la falta de prueba
La única prueba al respecto es la documental unida a la demanda, contestación y aportada en el oficio dirigido a la policía nacional de Miranda del Ebro que aportó el atestado realizado con motivo de la denuncia del demandante, teniendo en consideración que la demandada no aporta un informe pericial que, a la vista de los documentos que ella acompaña, esencialmente del n.º 13de su contestación, especialmente difícil de interpretar, pudiera dar certeza a la remisión de los sms al móvil del actor y por ello a que debió introducir la clave enviada para autenticar las operaciones.
Examinado el documento 13 en las fechas en que se producen las operaciones (pág 25 a 87 de 163) no puede este tribunal confirmar que se autenticaron las mismas, pues pese a los datos que plasman los documentos 12 y 14 de la contestación, sin un técnico que aclare los conceptos que recogen no puede este tribunal llegar a confirmar la remisión y el proceso de autenticación, que hubiera requerido de una pericial al respecto no pudiendo pretenderse que el tribunal efectúe todo un proceso de seguimiento respecto de datos que han de ser informados por un técnico. Y lo cierto es que aunque el documento n.º 12 refiere estas tres operaciones como “Autenticadas” no deja de ser documento de parte, el documento n.º 15 detalle de sms no recoge en ninguna de las tres operaciones el número de móvil al que se remitía limitándose a indicar “+3 0” y el atestado unido en el oficio que fue contestado por la policía nacional incorpora unos documento de la tarjeta con los datos de estas operaciones en los que se hace constar en “detalle de la operación” en las tres objeto de este litigio “identificación cliente”: “Sin pin”
Queda por tanto dudosa la afirmación de la entidad de que se remitían “push” al cliente, de modo que no se acredita la negligencia grave del cliente, debiendo por ello entender que la entidad debe responder del daño causado
CUARTO.- Intereses
Se adeudan intereses desde la fecha en que se realizó el pago indebido a fin de que el actor recupere la suma con su valor real según lo solicitado, máxime cuando inmediatamente después ya solicitó a la entidad su reintegro.
QUINTO.- Costas
La estimación íntegra de la demanda lleva consigo la no imposición de las costas procesales a la demandada conforme a lo establecido en el art. 394 de la LEC.
Vistos los preceptos legales citados y demás de pertinente aplicación
FALLO
Que estimando como estimo parcialmente la demanda interpuesta por D. XXXXXXXXXX contra CAIXABANK, S.A. debo condenar y condeno a la demandada a que abone al actor la cantidad de MIL TREINTA Y CINCO EUROS CON NOVENTA Y NUEVE CÉNTIMOS DE EURO ( 1.035,99 €) e intereses legales desde las fechas de los cargos realizados, CON imposición de costas procesales.
Notifíquese la presente resolución haciéndose saber a las partes que contra la misma no cabe recurso alguno
Expídase testimonio de la presente resolución por el Sr. Secretario, el cual se unirá a los autos en los que se dictó, llevando su original al libro de sentencias (conforme lo establecido en el artículo 265 de la L.O.P.J.).
Así por esta mi sentencia, Juzgando en primera instancia, la pronuncio, mando y firmo.