2.630,33 € recuperados por Phishing en CaixaBank

SENTENCIA Nº 166/2025

En Gavá, a 14 de marzo de 2025

Don XXXXXXXX, Juez Titular del Juzgado de Primera Instancia e Instrucción número 5 de esta ciudad y su partido judicial ha visto los autos de juicio verbal número 1914/2023-C, promovidos por D. XXXXXXXX, representado por el procurador de los tribunales D. XXXXXXXX contra CAIXABANK S.A., representada por el Procurador de los Tribunales D. XXXXXXXX, sobre reclamación de cantidad.

ANTECEDENTES DE HECHO

PRIMERO.- Por la representación de la parte actora se ha presentado demanda de juicio verbal en la que, expuestos los hechos y alegados los fundamentos jurídicos en que basa su pretensión, termina por suplicar del Juzgado se dicte sentencia de conformidad con los pedimentos contenidos en la misma.

SEGUNDO.- Admitida a trámite la demanda, se dio traslado de ella a la parte demandada para que contestase por escrito, contestando a la demanda, interesando su desestimación íntegra.

TERCERO.- Celebrada la vista el día señalado, se practicó la prueba admitida, quedando los autos vistos para sentencia.

CUARTO.- En la tramitación de este procedimiento se han observado las prescripciones legales aplicables.

FUNDAMENTOS DE DERECHO

PRIMERO.- Demanda y contestación a la demanda

Se indica en la demanda que el actor es cliente de la demandada en función de contrato de cuenta y que el 5.12.2022 a las 17:13 horas recibió un SMS supuestamente enviado por la demandada que incluso se introdujo en el hilo de mensajes correspondiente a esta entidad, en concreto de su marca comercial Imagin Bank, en el que se le advertía de un inicio inusual de sesión:

“SE HA INICIADO SESIÓN DESDE UN NUEVO DISPOSITIVO, SI NO RECONOCE LA SIGUIENTE ACCION, VERIFIQUE INMEDIATAMENTE EN: https://imagin.esusuario-info.com”. Adjunta captura de pantalla de dicho SMS en la que se puede comprobar que entró dentro del hilo de la entidad, como documento nº 3; que a fin de verificarlo, copió la misma y la pegó en la barra del navegador, donde comprobó que parecía, efectivamente, ser una dirección real de la demandada, indicándose incluso por el propio navegador que se trataba de una página segura; que el mensaje real de Caixabank, pinchó el enlace y apareció la aplicación de su entidad, introdujo el usuario y contraseña, la abrió, no vio nada inusual y la cerró; que no realizó ninguna acción adicional y que pocos minutos después recibió otra notificación en su teléfono móvil que decía:

“TE INFORMAMOS DE QUE ACABAS DE REALIZAR UNA COMPRA CON BIZUM DE 910,33€ DE TU CUENTA TERMINADA EN XXXX EN K TUIN SISTEMAS INFORMÁTICOS”; que minutos más tarde comenzó a recibir mensajes con códigos para autorizar operaciones, que por supuesto no introdujo; que se realizaron sin su consentimiento las siguientes operaciones de bizum por importes indicados en la demanda.

Por todo ello, termina suplicando que se condene a la demandada a abonar al actor la cantidad total defraudada (2.360,33 euros), más los intereses legales y con imposición de costas.

Frente a ello, la demandada CAIXABANK S.A. se opone en base a las siguientes circunstancias:

i. El cumplimiento por parte de CaixaBank de las obligaciones contractuales en materia de seguridad y protección de los datos personales del actor.

ii. La sustracción de dinero de la cuenta bancaria de la demandante se debió única y exclusivamente a causa de la concurrencia de culpa o negligencia grave, tal y como se reconoce y acredita en la propia demanda.

SEGUNDO.- Smishing

En este sentido, la Ley de Servicios de Pago establece que « en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato (…) restituyendo la cuenta de pago (…) al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada» (Art. 45). La única excepción a esta norma es que el usuario haya » actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41″ (Art. 46), es decir, que haya incumplido la obligación de custodiar las claves personales con «todas las medidas razonables» (Art. 41.a). Y aquí es donde precisamente radica el quid de la cuestión, en determinar si ha existido o no esa negligencia grave por parte del usuario estafado.

Es sabido que los ciberdelincuentes usan estrategias con las que engañan al usuario. En ocasiones le hacen creer, por ejemplo, que su banco le pide actualización de datos. El cliente atiende porque la solicitud le llega por medio de su correo electrónico o a través de una web casi idéntica a la de la entidad bancaria. Responde al pedido y entrega sus datos. Así comienza el phishing.

Hay, pero otras modalidades, como la de autos, que es el caso del smishing, que es un ciberataque que se dirige a las personas a través de SMS (servicio de mensajes cortos) o mensajes de texto. El término es una combinación de «SMS» y » phishing». En un ataque de smishing, los ciberdelincuentes envían mensajes de texto engañosos para inducir a las víctimas a compartir información personal o financiera, hacer clic en enlaces malintencionados o descargar software o aplicaciones dañinas. Al igual que los ataques de phishing basados en el correo electrónico, estos mensajes engañosos suelen parecer proceder de fuentes fiables y utilizan tácticas de ingeniería social para crear una sensación de urgencia, curiosidad o miedo con el fin de manipular al destinatario para que realice una acción no deseada.

La jurisprudencia reciente es unánime a la hora de sentenciar que el banco debe reembolsar las cantidades sustraídas a su cliente, y ello porque, el Tribunal entiende que el banco está obligado a custodiar la información confidencial de los usuarios. Por lo tanto, generalmente son los bancos los que tienen la obligación de devolver el dinero a la víctima del phishing. La excepción a este criterio es, como hemos adelantado, que el cliente haya cometido una negligencia grave. Es importante considerar el carácter de «grave» de la negligencia del usuario. Aunque se reconozca que el cliente cometió un descuido, este descuido tiene que ser grave para que se le adjudique la responsabilidad.

Y aquí es donde entra el análisis de la carga de la prueba y de la consideración de cuando es y cuando no tributaria la negligencia de ser considerada o calificada de grave. Pues bien, para empezar, hay que recordar que la condición de grave de la negligencia es cuestión que ha de ser atribuida por el Tribunal. Y así la Audiencia Provincial de Madrid ha definido la negligencia grave del cliente como una conducta que se produce por iniciativa del usuario y no por consecuencia del engaño realizado por un delincuente profesional. Según esta definición, la persona que ha sido engañada para robarle su identidad no estaría cometiendo negligencia grave. Casos de negligencias graves son, por ejemplo: la persona extravía los datos personales y de su cuenta bancaria con las contraseñas anotadas en el mismo papel, en una libreta o similar; la web o correo electrónico de los estafadores es muy diferente de la real del banco, y a simple vista es fácil deducir que no es la legítima.

Incidiendo más en esa característica de grave, la Sala Penal del Tribunal Supremo tiene declarado que el » phishing» es una estafa informática en la que se integran todos los elementos del tipo penal del Art. 248.2 CP: el ánimo de lucro, la manipulación informática, el acto de disposición y el engaño bastante (STS (Penal), sec. 1ª, nº 379/2019, de 23 de julio de 2019). Con respecto al «engaño bastante», la Sala Penal del Tribunal Supremo afirma que «no debe desplazarse indebidamente sobre los perjudicados la responsabilidad de comportamientos en los que la intención de engañar es manifiesta, y el autor ha conseguido su objetivo, lucrándose en perjuicio de su víctima» porque » el engaño no tiene que quedar neutralizado por una diligente actividad de la víctima» (STS (Penal), sec. 1ª, nº 51/2020, de 17 de febrero de 2020).

Por su parte, de los Arts. 1101 y 1104 del Código Civil se infiere que la negligencia grave se equipara a la culpa lata, que «consiste en no proceder ni siquiera con la más elemental diligencia» o en «la más grave falta de diligencia, no hacer lo que todos hacen, no prever lo que todos prevén». Se alude a la culpa con previsión o dolo eventual, cuando el incumplimiento no es directamente querido, pero se han previsto los hechos. Se incurren en este tipo de negligencia cuando se omite las precauciones más elementales, dejando de prever lo que el resto de las personas habría previsto.

Asimismo, el Considerando 72 de la DSP2 dice que «A la hora de evaluar la posible negligencia o la negligencia grave del usuario de servicios de pago, deben tomarse en consideración todas las circunstancias. (…) si el concepto de negligencia supone un incumplimiento del deber de diligencia, la negligencia grave tiene que significar algo más que la mera negligencia, lo que entraña una conducta caracterizada por un grado significativo de falta de diligencia. Un ejemplo sería el guardar las credenciales usadas para la autorización de una operación de pago junto al instrumento de pago, en un formato abierto y fácilmente detectable para terceros«.

La SAP de Madrid, Sec. 20ª, nº 184/2022, de fecha 20/5/2022, Rec. 945/2021, afirma que » en la normativa europea antes referida [la negligencia grave] se equipara a la comisión de un fraude» y que «como se indica en la Directiva 2015/2036 la negligencia que le hace responder al cliente, es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que ha sido inducido por un delincuente profesional (…)«. Este razonamiento guarda relación directa y necesaria con: (a) la doctrina de la Sala Penal de Tribunal Supremo (STS (Penal), sec. 1ª, nº 51/2020, de 17 de febrero de 2020), según la cual no se pude desplazar sobre el perjudicado la responsabilidad de comportamientos en los que la intención de engañar es manifiesta, porque el engaño no tiene que quedar neutralizado con una actividad de diligencia de la víctima y (b) con la finalidad de la Directiva 2015/2366, de Servicios de Pago (DSP2), cuyos considerandos declaran esencial el desarrollo de un mercado único integrado por pagos electrónicos en el que los usuarios gocen de la debida protección frente a los riesgos inherentes a estos nuevos medios de pago.

Así pues, la negligencia grave debe surgir como consecuencia de la iniciativa del usuario, no como consecuencia de la iniciativa de un delincuente profesional, porque el engaño típico de la estafa excluye la negligencia grave. Si el phishing está caracterizado por el «engaño bastante», que es algo más que un burdo engaño, en el que caen multitud de personas, la víctima nunca puede haber actuado con negligencia grave, que es la más grave falta de diligencia, hacer lo que nadie más hace o no prever lo que todos prevén, o como dice el Considerando 72 de la DSP2 » una conducta caracterizada por un grado significativo de falta de diligencia». En caso de «criminalizar» a la víctima por dejarse engañar no sólo se subvierte la finalidad de la norma, sino que, además, se puede llegar al absurdo de descriminalizar estas estafas, porque la declaración de que el cliente actúa con negligencia grave podría excluir el engaño bastante y con ello la rebaja del tipo penal. Por ello, una interpretación errónea del concepto de » negligencia grave» que lleve a penalizar a los clientes por su falta de diligencia por el hecho de haber sido víctimas de una estafa punible, puede llevar al absurdo de proteger a los delincuentes.

En relación con la carga de la prueba, la SAP de Alicante, Sec. 8ª, nº 107/2018, de 12/3/2018 considera que la responsabilidad de la Entidad Bancaria es de «naturaleza cuasi-objetiva o de riesgo por razón legal». Esta declaración se reitera, entre otras, en la SAP de Zaragoza, Sec. 5ª, S. 01-07-2022, nº 804/2022, rec. 1130/2021.

Pero es que, además, los proveedores de servicios de pago no sólo están obligados a rastrear las páginas web que suplantan su identidad, también están obligados a realizar un análisis de riesgo de las operaciones y a implementar medidas de seguridad acorde a los riesgos presentes. Como dice la Sentencia de 16 de septiembre de 2022 del Juzgado de 1ª Instancia nº 3 de Santander » los bancos deberían incorporar sus propios «detectores de humo» para anticipar cuando puede estar teniendo lugar una estafa e intervenir», afirmación que guarda relación con la obligación que impone el Reglamento Delegado 2018/389 de realizar un análisis de riesgos en tiempo real para detectar cuándo una orden de pago es fraudulenta.

Asimismo, la Sentencia nº 88/2023, de 7 de junio de 2023, dictada por el Juzgado de 1ª Instancia nº 7 de Cerdanyola del Vallés, se pronuncia en un sentido análogo cuando razona » 11. Siendo Internet una red pública de comunicaciones, la seguridad de las operaciones bancarias precisa de soluciones tecnologías avanzadas a los efectos de garantizar tanto la autenticidad como la integridad y la confidencialidad de los datos. Por estos motivos las entidades prestadoras del servicio de banca online deben dotarse de medidas suficientes que garanticen al usuario la seguridad de las operaciones. Consecuencia derivada de la omisión, insuficiencia o defectuoso funcionamiento de las adoptadas es que han de ser las entidades bancarias las que asuman las consecuencias derivadas de los fallos de seguridad del sistema. (…)

12.-La responsabilidad en estos supuestos no puede atribuirse directamente al supuesto ordenante de la transferencia por entenderse ésta autorizada al haberse realizado de acuerdo con los sistemas de autenticación del banco. Los sistemas de autenticación se establecen por los proveedores de servicios de pago y si un banco no ha sido capaz de limitar el acceso al canal de banca electrónica no puede pretender que el presunto ordenante víctima de esta práctica fraudulenta sea el único responsable, pues es el banco quien tiene responsabilidad respecto del buen funcionamiento y la seguridad del mismo. (…) 13.- Las medidas de seguridad no solamente están destinadas a proteger la seguridad de las órdenes de pago emitidas por los clientes sino que su eficacia exonera a las entidades de crédito de sus responsabilidades frente a las órdenes de pago no emitidas por sus clientes de tal forma que el incumplimiento de este específico deber de vigilancia da lugar a una responsabilidad por » culpa in vigilando» o responsabilidad objetiva por el mal funcionamiento de los servicios de banca electrónica«.

Finalmente y teniendo en cuenta el incremento de este tipo de fraudes, cuyas cifras de criminalidad rebasan las de otros sectores de actividades peligrosas y siendo la finalidad de la DSP2, que los usuarios gocen de la debida protección frente a los riesgos inherentes a los medios de pago digitales, la doctrina jurisprudencial establece que quien tiene las ventajas de un negocio por el que obtiene un lucro, debe soportar los inconvenientes de ese negocio como contraprestación por el lucro obtenido ( STS, Sala 1ª, S. 3-6-2006, nº 328/2006, rec. 281/1999). En consonancia con ello el Tribunal Supremo tiene declarado que en sectores de actividades peligrosas debe regir una responsabilidad objetiva, en razón al riesgo inherente al servicio prestado, cuyo título de imputación se fundamenta en la falta de la diligencia debida, que en estos casos debe ser rigurosa, ajustada las circunstancias concurrentes.

Como se explica en la STS (Civil Pleno), S. 15-3-2021, nº 141/2021, rec. 1235/2018 (Caso Uralita), F.D. Cuarto [sic] «En estos supuestos de actividades peligrosas permitidas, por ser socialmente útiles, colisionan los intereses de los terceros de no resultar perjudicados, con el propio y legítimo de los titulares que las gestionan de obtener los mayores rendimientos económicos posibles derivados de su explotación, a veces sometida, aunque no siempre, a un régimen de responsabilidad objetiva bajo aseguramiento obligatorio. Esa desigualdad, en las posiciones de ambas partes, se pone fácilmente de manifiesto por la circunstancia de que mientras los terceros soportan la amenaza eventual de sufrir daños significativos, con la única ventaja de obtener a cambio, en el mejor de los casos, un beneficio meramente difuso, el titular de la actividad, por el contrario, se beneficia de las ganancias generadas de su explotación en su particular provecho. Esta asimetría conduce a la posibilidad de justificar decisiones normativas que, por razones de justicia conmutativa, impongan a quien se aproveche de ese stock de riesgos, las cargas económicas de los perjuicios causados a los terceros ajenos a la misma, con la finalidad de compensar esa especie de daños expropiatorios o de sacrificio. De esta manera, se han utilizado las fórmulas latinas ubi emolumentum, ibi onus (donde está la ganancia está la carga) o cuius commoda, eius incommoda (quien obtiene una ventaja debe padecer los inconvenientes)«.

Dado que el artículo 16 de la LSP obliga a los proveedores de servicios de pago a dotarse de un seguro de responsabilidad civil profesional, es dable declarar la responsabilidad objetiva de los proveedores de servicios de pago en aquéllos casos en los que sus clientes sean víctimas de una estafa de phishing, porque los pagos digitales se trata de un sector de actividad en auge, con constante incremento del índice delictivo, caracterizado por técnicas de engaño basadas en ingeniería social y uso de programas informáticos maliciosos imposibles o difícilmente detectables por los usuarios, en el que el principal beneficiario del uso de este sistema de pagos son los proveedores de estos medios -cuando menos son quienes obtienen el beneficio económico-, mientras que los clientes, que se ven obligados al uso de estos medios de pago -tanto por las restricciones legales al uso de dinero metálico como por el interés de los proveedores de servicios de pago en el uso de estas tecnologías-, sólo obtienen un interés difuso por el ahorro de tiempo en desplazamientos presenciales a la sucursal.

TERCERO.- Caso de autos

En el acto de juicio se fijaron como hechos controvertidos: la concurrencia o no de negligencia grave por parte del actor y el cumplimiento o no por la demandada de las medidas de seguridad.

Sostiene la parte demandada que el actor habría actuado con negligencia grave, si bien no ha acreditado la demandada tal extremo.

De este tipo de práctica resulta un mensaje SMS y una aplicación que se descarga con él que resulta de apariencia de verosimilitud – hecho éste que no ha sido contradicho por la propia demandada -, lo cual llevó al actor a introducir sus claves de acceso en la aplicación que se abrió. Por lo tanto, no se observa esa falta de cautela y de mínima precaución tributaria de una calificación de negligencia grave que nos lleve a la aplicación del artículo 44 y 45 de la LSP por cuanto no se ha sido acreditada por la parte demandada.

En consecuencia, del conjunto de la prueba practicada (documental) y no resultando probada la concurrencia de negligencia grave por la parte actora, debe estimarse íntegramente la demanda, condenando a la demandada a abonar al actor la cantidad de DOS MIL TRESCIENTOS SESENTA EUROS CON TREINTA Y TRES CÉNTIMOS (2.360,33 E), más los intereses legales ex arts. 1100, 1101 y 1108 Cc.

CUARTO.- Costas

En materia de costas, estimada íntegramente la demanda se imponen a la parte demandada, de conformidad con el art. 394 LEC.

FALLO

Por todo lo expuesto, en nombre del Rey, por la autoridad que me confiere la Constitución, he decidido ESTIMAR ÍNTEGRAMENTE la demanda interpuesta por D. XXXXXXXXX, representado por el procurador de los tribunales D. XXXXXXXXX contra CAIXABANK S.A., representada por el Procurador de los Tribunales D. XXXXXXXXX, y, en consecuencia:

CONDENAR a la demandada a abonar al actor la cantidad de DOS MIL TRESCIENTOS SESENTA EUROS CON TREINTA Y TRES CÉNTIMOS (2.360,33 E), más los intereses legales ex arts. 1100, 1101 y 1108 Cc.

Con costas a la demandada

Notifíquese la presente resolución a las partes. Contra la misma no podrá interponerse recurso alguno.

Así se acuerda y firma.

PUBLICACIÓN.- Leída y publicada fue la anterior Sentencia por la Ilmo. Sr. Juez Titular que la suscribe, en la audiencia pública del mismo día de su fecha. Doy fe.