5.276 € recuperados por phishing frente a CaixaBank

SENTENCIA Nº 54/25

En Zaragoza, a 14 de enero de 2025

El Magistrado-Juez del Juzgado de Primera Instancia nº 15 de Zaragoza, XXXXXXXX, ha visto los presentes autos de JUICIO VERBAL nº 1673/24 seguido entre partes, de una como actor XXXXXXXX, representado por el Procurador Sr. XXXXXXXX y asistido por el Letrado Sr. XXXXXXXX, y de otra como demandada la entidad bancaria CaixaBank Payments & Consumer SA, representada por el Procurador Sr. XXXXXXXX y asistida por el Letrado Sr. XXXXXXXX, sobre reclamación de cantidad por culpa contractual.

ANTECEDENTES DE HECHO

PRIMERO.- El Procurador Sr. XXXXXXXX, en la representación que anteriormente se menciona, presentó escrito de demanda en el que tras exponer los hechos y fundamentos de derecho que en el mismo constan y que por brevedad se dan por reproducidos, termina suplicando se dicte en su día sentencia por la que se condene a la entidad demandada a indemnizar al actor en la cantidad de 5.276 €, más los intereses legales desde las fechas de los cargos, así como a las costas del presente pleito.

SEGUNDO.- Admitida a trámite la demanda, se emplazó a CaixaBank para que se personase y contestase a la demanda, presentando a tal fin el Procurador Sr. XXXXXXXX escrito de contestación y oposición.

TERCERO.- Ninguna de las partes solicitó la celebración de juicio oral.

CUARTO.- En la tramitación del presente procedimiento se han observado las oportunas prescripciones legales.

FUNDAMENTOS JURÍDICOS

PRIMERO.- Acción ejercitada.

El Procurador Sr. XXXXXXXX, en nombre y representación de XXXXXXXX, ejercita acciones civiles de reclamación de cantidad por culpa contractual y legal frente a la entidad bancaria CaixaBank. Acciones que se prevén en los arts. 1089, 1091 y 1104 CC relativos a la responsabilidad derivada del incumplimiento de los contratos, en relación además con los arts. 41 y ss de la Ley de Servicios de Pago y con los arts. 147 y ss LGDCyU. Normativa que debe completarse además con la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior, y con el Reglamento 2018/389 de la Comisión de 27 de noviembre de 2017, por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos, comunes y seguros.

Con este fundamento legal, se expone en la demanda que XXXXXXXX era titular de dos contratos de tarjeta: uno primero, relativo a la tarjeta La Caixa con nº —XXXX; y uno segundo, relativo a la tarjeta La Caixa nº —XXXX. La demanda añade que el 24 de noviembre de 2021, sin previo aviso de ningún tipo, recibió dos notificaciones referidas a la realización de dos cargos que no había realizado: un primer cargo de 2.828 € con la tarjeta nº —XXXX y realizado el 24 de noviembre de 2021 en el comercio Samsung, y un segundo cargo de 2.448 € con la tarjeta nº —XXXX, realizado el mismo día 24 de noviembre de 2021 y también en el comercio Samsung.

En ambos casos, el actor justifica la responsabilidad de la entidad por incumplimiento de su deber contractual y legal de custodia de los medios de pago al no haber recibido ninguna notificación previa de solicitud de ninguna de las dos operaciones ni haber recibido tampoco solicitud de confirmación de ninguna de las dos operaciones, y sin que el demandante autorizase ninguna de las dos compras ni introdujese su clave para su confirmación.

SEGUNDO.- Hechos controvertidos.

Atendidos los escritos de las partes, vemos que existen una serie de hechos sobre los que no existe controversia. Consta así reconocido que XXXXXXXX era cliente de la entidad bancaria demandada CaixaBank como titular de los dos contratos de tarjeta mencionados: uno relativo a la tarjeta XXXXXXXX con nº —XXXX, y otro relativo a la tarjeta XXXXXXXX nº —XXXX. Ambos vinculados a cuentas corrientes titularidad del actor y abiertas en la propia entidad. Además, tampoco cuestiona la entidad CaixaBank la existencia ni el importe de las dos operaciones denunciadas por el actor, de fecha de 24 de noviembre de 2021 y por importes de 2.828 € y de 2.448 €, ambas en el comercio Samsung.

Aceptada por tanto la realidad de las dos operaciones de compra denunciadas y los cargos en la cuenta por importes de 2.828 € y de 2.448 €, opone sin embargo la entidad que se enviaron en este caso al cliente las oportunas solicitudes de autorización, que fueron además debidamente autorizadas, quedando las dos operaciones correctamente verificadas desde la aplicación Now de la entidad a disposición del cliente, accediendo éste al aplicativo con su contraseña de acceso (factor de conocimiento) y desde un dispositivo de confianza (factor de posesión) de tal forma que, si el actor no hubiera introducido sus datos de identificación, no se habría completado el proceso de compra, y justifica el cumplimiento de los deberes y obligaciones asumidas frente al actor. Por tanto, se centra la controversia en valorar el cumplimiento o incumplimiento de las obligaciones de origen contractual y legal relativas a los servicios de pago.

TERCERO.- Responsabilidad.

Para valorar la responsabilidad del banco debemos acudir a los arts. 41 y ss del Real Decreto Ley 19/2018, de 23 de noviembre, de Servicios de Pago y otras medidas urgentes en materia financiera, así como a la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior, y al Reglamento 2018/389 de la Comisión de 27 de noviembre de 2017 por el que se complementa la anterior norma en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros. Precisamente el art. 1 de esta norma exige a los proveedores de servicios de pago aplicar el procedimiento de autenticación reforzada de clientes, de conformidad con art. 97 de la Directiva (UE) 2015/2366, mientras que en su art. 2 se exige a los mismos que dispongan de “mecanismos de supervisión de las operaciones que les permitan detectar operaciones de pago no autorizadas o fraudulentas a efectos de la aplicación de las medidas de seguridad…” y que se basarán “en el análisis de las operaciones de pago teniendo en cuenta los elementos que caractericen al usuario de servicios de pago en el contexto de un uso normal de las credenciales de seguridad personalizadas”.

En aplicación de estas Directivas, la Ley española de 23 de noviembre de 2018 se refiere ya de forma expresa en su art. 42 a la obligación del proveedor de servicios de pago emisor de un instrumento de pago a cerciorarse de que las credenciales de seguridad personalizadas del instrumento de pago solo sean accesibles para el usuario de servicios de pago facultado y se abstendrá de enviar instrumentos de pago que no hayan sido solicitados, salvo en caso de que deba sustituirse un instrumento de pago ya entregado al usuario de servicios de pago.

Se prevé por tanto como norma general que la entidad proveedora del servicio de pago facilitará al cliente no sólo el dispositivo físico habilitante para realizar las operaciones de pago comprendidas en el acuerdo, sino también las credenciales de seguridad, debiendo entenderse por tales tanto el nombre de usuario o nombre o código de acceso, como las contraseñas o elementos de seguridad o verificación de los anteriores.

No obstante, a pesar de tales cautelas, la norma ya contempla los casos de “operaciones de pago no autorizadas o ejecutadas incorrectamente”, como serían en este caso las denunciadas por XXXXXXXX, previendo en su art. 43 que “El usuario de servicios de pago obtendrá la rectificación por parte del proveedor de servicios de pago de una operación de pago no autorizada o ejecutada incorrectamente únicamente si el usuario de servicios de pago se lo comunica sin demora injustificada, en cuanto tenga conocimiento de cualquiera de dichas operaciones que sea objeto de reclamación”. En desarrollo de esta facultad, el art. 41 impone al usuario de estos servicios de pago no sólo el deber de utilizar el mismo de conformidad con las condiciones que regulen la emisión y utilización, sino también la de notificar al proveedor “sin demora indebida” y “en cuanto tenga conocimiento de ello” de cualquier extravío, sustracción o apropiación indebida o, como en nuestro caso, “de su utilización no autorizada”.

Previéndose por tanto en la norma la posible utilización no autorizada de los servicios, el art. 44.1 de la Ley precisa que “cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago”, añadiendo el art. 44.2 que a estos efectos, el registro de la utilización del instrumento de pago “no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo”.

De forma más relevante, vemos que el art. 44.3 consagra un sistema de responsabilidad objetiva al afirmar que “Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave”, debiendo el proveedor de servicios de pago conservar la documentación y los registros que le permitan acreditar el cumplimiento de las obligaciones establecidas (art. 44.4).

Se articula por tanto una naturaleza objetiva o cuasi objetiva de la responsabilidad de la entidad bancaria proveedora de los servicios de pago regulados en la norma, que ha sido confirmada por numerosas resoluciones, entre ellas la SAP Zaragoza Sección 5ª, de 17 de noviembre de 2022, que declaró que “si ha sido la banca la que principalmente se ha beneficiado de las nuevas tecnologías, abaratando costes con el sistema de convertir a los clientes en una especie de empleados suyos sin sueldo, lo que le permite cerrar sucursales y despedir empleados, justo será que se haga cargo de ese margen de riesgo que ha introducido el uso de las nuevas tecnologías y que antes, cuando las operaciones se hacían presencialmente, era inexistente”. Y de forma más reciente, la SAP de 12 de septiembre de 2024 confirma que la responsabilidad contemplada en la normativa aplicable es cuasi objetiva, ya que “la regla general es la de que, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada, de tal modo que la entidad que presta servicios de pago sólo puede exonerarse probando que el ordenante ha actuado de manera fraudulenta o incumpliendo deliberadamente o por negligencia grave una o varias de las obligaciones que establece el artículo 41”, con mención al art. 46 de la Ley.

CUARTO.- Con este planteamiento, y denunciando precisamente el actor la condición de operación no autorizada de ninguna de las dos disposiciones, opone de forma expresa CaixaBank la culpa o negligencia grave de D. XXXXXXXX, de la forma detallada en el Hecho Segundo, en la página 11. Y justifica el banco esta negligencia en el hecho de haberse completado de forma adecuada la operación de autenticación y aceptación de las dos operaciones mediante el envío del correspondiente mensaje al cliente a su dispositivo y el previo acceso del mismo a la aplicación Now, en la que habría completado previamente sus datos de identificación. Sin embargo, si examinamos los documentos relativos a la notificación y autorización de las operaciones (documentos nº 5 y 5 bis de la contestación), vemos que únicamente consta en ambos el apunte “push enviado al cliente” para justificar la validez y seguridad del proceso de pago. No consta, sin embargo, en ninguno de los dos casos el contenido del mensaje ni el concreto número de teléfono móvil al que se remitieron las solicitudes de autorización, lo cual resulta esencial para aceptar el consentimiento del cliente que opone la entidad. Y sorprende de hecho que en el apartado del teléfono conste un número genérico e incompleto (“+34 0”), lo que nos lleva a cuestionar si efectivamente se envió el mensaje a un número manifiestamente erróneo o se remitió a un número concreto. Pero en ambos casos no permite aceptar como probado que se le remitiesen las peticiones de autorización al cliente. Además, tampoco prueba ninguno de estos documentos que el actor respondiese de forma expresa a los envíos ni explica qué tipo de claves se le exigían.

Con estos medios de prueba propuestos por la entidad CaixaBank Payments no puede concluirse de ningún modo que el actor consintiese la operación, ni tampoco podemos concluir que cometiera el “fraude o negligencia grave” a que se refiere el art. 43.4 de la norma, que no acepta la mera imprudencia, sino que exige prueba de haber cometido. En este sentido, la SAP Zaragoza Sección 5ª, de 12 de septiembre de 2024, recuerda que la norma parte de trasladar “todas las pérdidas derivadas de operaciones de pago no autorizadas” al ordenante o, si no concurre culpa grave, al proveedor de servicios. Por tanto, la demanda debe ser íntegramente estimada y la entidad demandada debe reintegrar las cantidades sustraídas indebidamente de su cuenta.

QUINTO.- Declarado lo anterior, habrá que acudir al art. 45 de la Ley, que debe interpretarse en relación con el art. 1106 CC, y en virtud del cual, “el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación”.

No habiendo cuestionado en este caso que las operaciones fraudulentas cargadas en la cuenta de la parte demandante ascendieron a 5.276 €, lo cual queda además debidamente probado con los cargos aportados como documento nº 2 de la demanda, se condena a la entidad demandada a la restitución de este importe a la parte actora, devengando esta cantidad el correspondiente interés legal conforme a lo previsto en los arts. 1108 y 1109 CC.

SEXTO.- Costas.

En materia de costas, de conformidad con el principio del vencimiento objetivo reconocido en el art. 394.1 LEC, al estimarse de forma íntegra las pretensiones de la actora y no concurrir supuesto alguno de excepción, se condena a la entidad demandada al pago de las costas causadas en esta instancia.

SÉPTIMO.- Recursos.

De conformidad con el art. 455.1 LEC, esta resolución será susceptible del recurso ordinario de apelación.

FALLO

ESTIMO íntegramente la demanda interpuesta por el Procurador Sr. XXXXXXXX en nombre y representación de XXXXXXXX frente a XXXXXXXX y CONDENO a CaixaBank Payments & Consumer SA a indemnizar a D. XXXXXXXX en la cantidad de 5.276 €, devengando esta cantidad el correspondiente interés legal conforme a lo previsto en los arts. 1108 y 1109 CC.

Todo ello con expresa condena a CaixaBank Payments & Consumer al pago de las costas causadas en esta instancia a la actora.

Notifíquese esta sentencia a las partes haciéndoles saber que frente a ella cabe interponer RECURSO DE APELACIÓN para ante la Ilma. Audiencia Provincial de Zaragoza en el plazo de VEINTE días desde su notificación, previa consignación en la cuenta de depósitos y consignaciones del Juzgado del correspondiente depósito.

Así por esta mi sentencia definitivamente juzgada en primera instancia lo pronuncio, mando y firmo, el Magistrado-Juez del Juzgado de Primera Instancia nº 15 de Zaragoza.