12.720 € recuperados por Phishing de CaixaBank

SENTENCIA Nº 166/2024

Jueza: XXXXXXXXX

Mollet Del Vallès, 8 de julio de 2024

ANTECEDENTES DE HECHO

PRIMERO.- La parte actora, DOÑA XXXXXXXXX, presentó demanda de juicio ordinario contra entidad CAIXABANK S.A en la que suplicaba que se condenara a la demandada al abono de 12. 720 euros, más intereses legales desde la fecha de su cargo en cuenta y costas.

Por decreto se admitió a trámite la demanda, dando traslado de la misma a la parte demandada, quien contestó a la demanda oponiéndose e interesando la desestimación, con costas.

Finalmente, se señaló fecha para audiencia previa.

SEGUNDO.- Llegado el referido día comparecieron las partes en la forma descrita en el encabezamiento y constatada la imposibilidad de llegar a un acuerdo, continuó para el cumplimiento de sus demás fines legales.

Abierto el trámite de proposición de prueba, la parte actora solicitó la reproducción de la documental acompañada a la demanda y la práctica de diversos oficios. La parte demandada, por su lado, la documental por reproducida.

Habiéndose admitido únicamente prueba documental, al amparo del art. 429.8 LEC, quedaron los autos conclusos para dictar sentencia.

FUNDAMENTOS DE DERECHO

PRIMERO.- La parte demandante ejercita una acción de condena con fundamento en los siguientes hechos: el día 13 de abril de 2021, sobre las 15:53 horas, la actora recibió un mensaje de texto aparentemente remitido por la demandada en el que se le facilitaba una clave para otorgar una autorización, y al desconocer de que se trataba lo ignoró. Ese mismo día recibió un correo electrónico en el que se le alertaba de una utilización fraudulenta de su tarjeta, instándole a acceder a una ventana segura para proteger su cuenta. La actora accedió al enlace y siguió unas instrucciones a través de una página web aparentemente idéntica a la de la entidad demandada. Como consecuencia de ello, se efectuaron cargos en la cuenta de la demandada que no han sido reintegrados por importe de 12.720 euros. Sostiene que, al no haber actuado de manera fraudulenta o con negligencia grave, le corresponde a la entidad bancaria demandada, reembolsar el citado importe y por ello interesa la condena al abono del mismo, más intereses y costas.

La parte demandada se opone a las pretensiones deducidas de adverso y alega, que la actora, al haber compartido sus datos personales de seguridad, sí actuó con negligencia grave. Además, sostiene que la entidad demandada no incumplió sus obligaciones, pues cuenta con un mecanismo de autenticación de seguridad. Por todo ello, interesa la desestimación de la demanda con expresa condena en costas.

SEGUNDO.- Para resolver la controversia, hay que acudir a lo dispuesto en el art. 217 de la Ley de Enjuiciamiento Civil (en adelante, LEC) cuando establece que «1. Cuando, al tiempo de dictar sentencia o resolución semejante, el tribunal considerase dudosos unos hechos relevantes para la decisión, desestimará las pretensiones del actor o del reconviniente, o las del demandado o reconvenido, según corresponda a unos u otros la carga de probar los hechos que permanezcan inciertos y fundamenten las pretensiones.

2. Corresponde al actor y al demandado reconviniente la carga de probar la certeza de los hechos de los que ordinariamente se desprenda, según las normas jurídicas a ellos aplicables, el efecto jurídico correspondiente a las pretensiones de la demanda y de la reconvención.

3. Incumbe al demandado y al actor reconvenido la carga de probar los hechos que, conforme a las normas que les sean aplicables, impidan, extingan o enerven la eficacia jurídica de los hechos a que se refiere el apartado anterior».

Llegados a este punto conviene repasar el marco legal aplicable, constituido fundamentalmente por el Real Decreto- Ley 19/2018, de 23 de noviembre, de Servicios de pago. Entre las finalidades de dicho Decreto- Ley a ley se incluyen la de regular los derechos y obligaciones respectivas tanto de los usuarios de los servicios de pago como de los proveedores de los mismos (art.1.1).

Dicha norma en su artículo 41 regula como obligaciones del usuario de servicios de pago en relación con los instrumentos de pago y las credenciales de seguridad personalizada las de utilizar el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago que deberán ser objetivas, no discriminatorias y proporcionadas y, en particular, en cuanto reciba un instrumento de pago, tomar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas , así como la de en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, notificarlo al proveedor de servicios de pago o a la entidad que este designe, sin demora indebida en cuanto tenga conocimiento de ello.

El Art 45.1 establece que «1. Sin perjuicio del artículo 43 de este real decreto- ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada.»

Por último, reseñar, respecto de la prueba de la autenticación y ejecución de las operaciones de pago, que el art. 44 dispone lo siguiente:

«1. Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago.

Si el usuario de servicios de pago inicia la operación de pago a través de un proveedor de servicios de iniciación de pagos, corresponderá a éste demostrar que, dentro de su ámbito de competencia, la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable.

2. A los efectos de lo establecido en el apartado anterior, el registro por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 41.

3. Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave.»

La SAP A 632/2018 – ECLI:ES: APA: 2018:632 Id Cendoj: 03014370082018100070 Sección: 8 Fecha: 12/03/2018 Nº de Recurso: 622/2017 Nº de Resolución: 107/2018, es especialmente apropiada para servir de referencia en la presente resolución por su claridad y extensión, aclarando el tema de la carga de la prueba referenciada anteriormente, señalando:

….. » Y es que no es cierto que la carga de la prueba sobre la implementación de medidas de seguridad adecuadas, suficientes, eficientes y actuales al nivel de riesgo modalidades de ataques informáticos en la red bancaria de banca online lo sea a cargo del usuario del sistema, pues el marco de responsabilidad establecido para el caso de operaciones de pagos hechos por proveedores de servicios no autorizadas o ejecutadas incorrectamente, es el de la cuasi-objetividad tal cual se desprende de la regulación específica sobre la materia -a la que seguidamente aludiremos-, sin perjuicio del régimen general de la carga de la prueba. Tres son las razones que abogan la contrariedad del argumento del recurrente, a saber, el contenido del precepto que se dice infringido – art 217 LEC – y, por llamada del mismo, la legislación de consumo y la legislación específica de servicios de pago. Por lo que hace al contenido del art. 217 LEC, hemos de recordar que párrafo séptimo establece que » para la aplicación de lo dispuesto en los apartados anteriores de este artículo el Tribunal deberá tener presente la disponibilidad y facilidad probatoria que corresponde a cada una de las partes del litigio». Para valorar el alcance de esta norma al caso hemos de entender que la regla general aplicable a la prestación de servicios que no tenga adjetivada una especial peligrosidad o requiera de un particular cuidado ha de ser la regla general del art. 217 LEC, de manera que cuando se trata de prestaciones contractuales o no contractuales, del tenor del art. 1101 y 1902 CC. en relación al art. 217.2 LEC se desprenderá que corresponde al perjudicado demandante la carga de la prueba de la culpa del causante del daño demandado. Ahora bien, no es así cuando » una disposición legal expresa» -art 217.6- imponga al demandado la carga de probar que hizo cuanto le era exigible para prevenir el daño; o cuando tal inversión de la carga de la prueba venga reclamada por los principios de » disponibilidad y facilidad probatoria » a los que se refiere el artículo 217.7 LEC , y ello sin perjuicio de que en aplicación de lo dispuesto en el artículo 386 LEC el tribunal pueda imputar la culpa al demandado del resultado dañoso acaecido cuando, por las especiales características de éste y conforme a una máxima de la experiencia, pertenezca a una categoría de resultados que típicamente se produzcan (sean realización de un riesgo creado) por impericia o negligencia, y no proporcione el demandado al tribunal una explicación causal de ese resultado dañoso que, como excepción a aquella máxima, excluya la culpa por su parte. La lógica de la norma de acceso a la fuente de la prueba y facilidad probatoria en lo que hace a la implementación de medidas de seguridad en la prestación de un servicio que se da por las entidades de crédito a sus clientes a través de una oficina virtual que se desenvuelve en redes bien de internet, bien de comunicaciones móviles, se presenta como criterio más que de razonable atención al caso en el que la propia seguridad y debida reserva de la red se contrapone al acceso por parte de un tercero distinto al titular de la misma que asume poner en la red pública un conjunto de comunicaciones para permitir operaciones bancarias que requiere de soluciones tecnológicas muy avanzadas que minimicen las amenazas contra la autenticidad, integridad y la confidencialidad de los datos que circulan a través de la red. Por otro lado, el apartado 6 del artículo 217 LEC dispone que las normas contenidas en los apartados precedentes «se aplicarán siempre que una disposición legal expresa no distribuya con criterios especiales la carga de probar los hechos relevantes». (…) Así resulta además del particular régimen jurídico de responsabilidad en la prestación de servicios de pago que, con la llamada del 217.6 LEC, penetra en la configuración de la específica modalidad de responsabilidad que asume este prestador y con ello, la variación del régimen legal del sistema de gravamen probatorio, regulación legal de los servicios de pago que constituye una legislación ad hoc a no ignorar por el hecho de que se haya positivizado en la ley posterior a los hechos que nos ocupa -la Ley 16/2009, de 13 de noviembre, de servicios de pago (en vigor desde el día 4 de diciembre de ese mismo año) porque dicha norma transpone (fuera del plazo dado en la misma) la Directiva 2007/64/CE, del Parlamento Europeo y del Consejo Europeo de 13 de noviembre de 2007 vigente al tiempo de los hechos (hoy derogada por la Directiva 2015/2366, de 25 de noviembre), donde se establece -art 59 – el siguiente contenido normativo que ha sido traspuesto al art. 30 de la Ley 16/2009 , de servicios de pago: » Los Estados miembros exigirán que, cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que esta se ejecutó de manera incorrecta, corresponda a su proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico o cualquier otra deficiencia..» .

TERCERO.- En el caso que nos ocupa, la actora sostiene haber sido víctima de un caso de smishing, esto es, un ciberataque que se dirige a las personas a través de SMS (servicio de mensajes cortos) o mensajes de texto.

A propósito de esta cuestión, declara la Sentencia núm. 303/2024 de la Audiencia Provincial de Lleida de fecha 19 de abril de 2024 lo siguiente: “El término es una combinación de «SMS» y «phishing». En un ataque de smishing, los ciberdelincuentes envían mensajes de texto engañosos para inducir a las víctimas a compartir información personal o financiera, hacer clic en enlaces malintencionados o descargar software o aplicaciones dañinas. Al igual que los ataques de phishing basados en el correo electrónico, estos mensajes engañosos suelen parecer proceder de fuentes fiables y utilizan tácticas de ingeniería social para crear una sensación de urgencia, curiosidad o miedo con el fin de manipular al destinatario para que realice una acción no deseada.

La jurisprudencia reciente es unánime a la hora de sentenciar que el banco debe reembolsar las cantidades sustraídas a su cliente, y ello porque, el Tribunal entiende que el banco está obligado a custodiar la información confidencial de los usuarios. Por lo tanto, generalmente son los bancos los que tienen la obligación de devolver el dinero a la víctima del phishing. La excepción a este criterio es, como hemos adelantado, que el cliente haya cometido una negligencia grave. Es importante considerar el carácter de «grave» de la negligencia del usuario. Aunque se reconozca que el cliente cometió un descuido, este descuido tiene que ser grave para que se le adjudique la responsabilidad. Y aquí es donde entra el análisis de la carga de la prueba y de la consideración de cuando es y cuando no tributaria la negligencia de ser considerada o calificada de grave. Pues bien, para empezar, hay que recordar que la condición de grave de la negligencia es cuestión que ha de ser atribuida por el Tribunal. Y así la Audiencia Provincial de Madrid ha definido la negligencia grave del cliente como una conducta que se produce por iniciativa del usuario y no por consecuencia del engaño realizado por un delincuente profesional. Según esta definición, la persona que ha sido engañada para robarle su identidad no estaría cometiendo negligencia grave. Casos de negligencias graves son, por ejemplo: la persona extravía los datos personales y de su cuenta bancaria con las contraseñas anotadas en el mismo papel, en una libreta o similar; la web o correo electrónico de los estafadores es muy diferente de la real del banco, y a simple vista es fácil deducir que no es la legítima. (…) Así pues, la negligencia grave debe surgir como consecuencia de la iniciativa del usuario, no como consecuencia de la iniciativa de un delincuente profesional, porque el engaño típico de la estafa excluye la negligencia grave.

Si el phishing está caracterizado por el «engaño bastante», que es algo más que un burdo engaño, en el que caen multitud de personas, la víctima nunca puede haber actuado con negligencia grave, que es la más grave falta de diligencia, hacer lo que nadie más hace o no prever lo que todos prevén, o como dice el Considerando 72 de la DSP2 » una conducta caracterizada por un grado significativo de falta de diligencia». En caso de «criminalizar» a la víctima por dejarse engañar no sólo se subvierte la finalidad de la norma, sino que, además, se puede llegar al absurdo de descriminalizar estas estafas, porque la declaración de que el cliente actúa con negligencia grave podría excluir el engaño bastante y con ello la rebaja del tipo penal. Por ello, una interpretación errónea del concepto de » negligencia grave» que lleve a penalizar a los clientes por su falta de diligencia por el hecho de haber sido víctimas de una estafa punible, puede llevar al absurdo de proteger a los delincuentes.”

Continúa la sentencia interpretando que, los proveedores de servicios de pago no sólo están obligados a rastrear las páginas web que suplantan su identidad, también están 10obligados a realizar un análisis de riesgo de las operaciones y a implementar medidas de seguridad acorde a los riesgos presentes. Como dice la Sentencia de 16 de septiembre de 2022 del Juzgado de 1ª Instancia nº 3 de Santander » los bancos deberían incorporar sus propios «detectores de humo» para anticipar cuando puede estar teniendo lugar una estafa e intervenir», afirmación que guarda relación con la obligación que impone el Reglamento Delegado 2018/389 de realizar un análisis de riesgos en tiempo real para detectar cuándo una orden de pago es fraudulenta.

Asimismo, la Sentencia nº 88/2023, de 7 de junio de 2023, dictada por el Juzgado de 1ª Instancia nº 7 de Cerdanyola del Vallés, se pronuncia en un sentido análogo cuando razona » 11. Siendo Internet una red pública de comunicaciones, la seguridad de las operaciones bancarias precisa de soluciones tecnologías avanzadas a los efectos de garantizar tanto la autenticidad como la integridad y la confidencialidad de los datos. Por estos motivos las entidades prestadoras del servicio de banca online deben dotarse de medidas suficientes que garanticen al usuario la seguridad de las operaciones.

Consecuencia derivada de la omisión, insuficiencia o defectuoso funcionamiento de las adoptadas es que han de ser las entidades bancarias las que asuman las consecuencias derivadas de los fallos de seguridad del sistema. (…)

12.-La responsabilidad en estos supuestos no puede atribuirse directamente al supuesto ordenante de la transferencia por entenderse ésta autorizada al haberse realizado de acuerdo con los sistemas de autenticación del banco. Los sistemas de autenticación se establecen por los proveedores de servicios de pago y si un banco no ha sido capaz de limitar el acceso al canal de banca electrónica no puede pretender que el presunto ordenante víctima de esta práctica fraudulenta sea el único responsable, pues es el banco quien tiene responsabilidad respecto del buen funcionamiento y la seguridad del mismo. (…) 13.- Las medidas de seguridad no solamente están destinadas a proteger la seguridad de las órdenes de pago emitidas por los clientes sino que su eficacia exonera a las entidades de crédito de sus responsabilidades frente a las órdenes de pago no emitidas por sus clientes de tal forma que el incumplimiento de este específico deber de vigilancia da lugar a una responsabilidad por » culpa in vigilando» o responsabilidad objetiva por el mal funcionamiento de los servicios de banca electrónica».

Y por último, como se explica en la STS (Civil Pleno), S. 15-3-2021, nº 141/2021, rec. 1235/2018 (Caso Uralita), F.D. Cuarto [sic] «En estos supuestos de actividades peligrosas permitidas, por ser socialmente útiles, colisionan los intereses de los terceros de no resultar perjudicados, con el propio y legítimo de los titulares que las gestionan de obtener los mayores rendimientos económicos posibles derivados de su explotación, a veces sometida, aunque no siempre, a un régimen de responsabilidad objetiva bajo aseguramiento obligatorio. Esa desigualdad, en las posiciones de ambas partes, se pone fácilmente de manifiesto por la circunstancia de que mientras los terceros soportan la amenaza eventual de sufrir daños significativos, con la única ventaja de obtener a cambio, en el mejor de los casos, un beneficio meramente difuso, el titular de la actividad, por el contrario, se beneficia de las ganancias generadas de su explotación en su particular provecho. Esta asimetría conduce a la posibilidad de justificar decisiones normativas que, por razones de justicia conmutativa, impongan a quien se aproveche de ese stock de riesgos, las cargas económicas de los perjuicios causados a los terceros ajenos a la misma, con la finalidad de compensar esa especie de daños expropiatorios o de sacrificio. De esta manera, se han utilizado las fórmulas latinas ubi emolumentum, ibi onus (donde está la ganancia está la carga) o cuius commoda, eius incommoda (quien obtiene una ventaja debe padecer los inconvenientes)».

CUARTO.- Partiendo de las premisas expuestas, y siendo la única cuestión controvertida el determinar si la actora incurrió en negligencia grave al facilitar sus datos personales, cabe anticipar la estimación de la demanda interpuesta.

Alcanzamos dicha conclusión por cuanto, en primer lugar, consta acreditado que la Sra. XXXXXXXX fue víctima de un fraude, así se desprende de la documental aportada, esto es, el email recibido de fecha 13 de abril de 2021 en el que se le comunica una situación de alerta respecto a su cuenta bancaria; y la denuncia interpuesta en el que se relatan idénticos hechos a los que fundamentan la presente demanda. Así pues, partiendo de que la actora sufrió engaño, debe concluirse que no autorizó las operaciones fraudulentas.

Y en segundo lugar, respecto a la gravedad de la negligencia, cabe resaltar que los datos no se facilitaron a iniciativa propia de la demandante, sino que recibió tanto por vía mensaje de texto, como por correo electrónico, diversas alertas que lógicamente le hicieron pensar que su cuenta bancaria podría encontrarse en peligro. Además, en el correo electrónico recibido, consta como remitente la entidad “CAIXA S.A.” y al pie del mismo, aparecen los datos de contacto, dirección, número de teléfono y aviso de seguridad, lo que dota de apariencia de realidad y certeza al contenido del mensaje. En consecuencia, no era fácil deducir a simple vista que no se trataba de una comunicación legítima.

A mayor abundamiento, no cabe soslayar que, las operaciones fraudulentas y los cargos en tarjeta lo fueron por cantidades relevantes, en un periodo de unas horas y en comercios extranjeros. Por lo que, al compararlo con el extracto de movimientos bancarios que se aporta como documento número 3 de la demanda, entendemos que la entidad bancaria debió haber percibido estas anomalías y haber activado los mecanismos de seguridad pertinentes.

En este sentido, entendemos que los sistemas de seguridad aplicados por la demandada en el caso que nos ocupa resultaron insuficientes, sin que el informe pericial aportado desvirtúe dicha valoración, dado que se trata de un informe genérico y no del supuesto concreto.

En consecuencia, tras la valoración de la prueba practicada, entendemos que concurren los presupuestos para aplicar la responsabilidad cuasi-objetiva que se predica en este tipo de relaciones y, por ende, se considera que se dan los presupuestos de la Ley de pagos analizada en el sentido de entender que concurre responsabilidad de la entidad demandada, por lo que la pretensión de la parte actora debe ser estimada íntegramente, debiendo la demandada abonar a la actora la cantidad de 12.720 euros.

A dicha cantidad, deberán añadirse los intereses legales desde la fecha de reclamación extrajudicial, esto es, 31 de marzo de 2022.

QUINTO.- El artículo 394.1 de la LEC señala que en los procesos declarativos las costas se impondrán a la parte que haya visto rechazadas todas sus pretensiones.

En el presente caso, resulta procedente su imposición a la demandante.

Vistos los textos legales y jurisprudencia que se citan y demás preceptos de general aplicación al caso,

FALLO

Estimo íntegramente la demanda interpuesta por la representación procesal de DOÑA XXXXXXXXX contra la entidad CAIXABANK S.A, y en consecuencia, condeno a la demandada a abonar a la actora el importe de 12. 720 euros, más intereses legales de dicha cantidad desde el día 31 de marzo de 2022.

Todo ello, con expresa condena en costas a la parte demandada.

Así por esta mi sentencia, de la que se llevará testimonio literal a los autos y se notificará a las partes en la forma ordinaria, haciéndoles la prevención de no ser firme por caber contra ella recurso de apelación que se interpondrá ante este Juzgado para ante la Audiencia Provincial de Barcelona, en término de veinte días, previa consignación del depósito legalmente previsto; definitivamente juzgando en primera instancia, la pronuncio, mando y firmo.