14.828,59 € recuperados por Phishing en CaixaBank

S E N T E N C I A

En San Cristóbal de La Laguna, a 29 de abril de 2026.

Vistos por mí, D. XXXXXXXXXXX, Magistrado Titular de la Plaza n.º 5 de la Sección Civil del Tribunal de Instancia de San Cristóbal de La Laguna, los Autos de Juicio Verbal XXXXXXXXXXX, tramitados a instancia de Dª. XXXXXXXXXXX, Procuradora de los tribunales y de la mercantil XXXXXXXXXXX, bajo la dirección letrada de D. Iván Metola Rodríguez, Colegiado nº 6374 del Ilustre Colegio de la Abogacía de Bizkaia; contra entidad CAIXABANK, S.A., representado por Dª XXXXXXXXXXX, Procuradora de los Tribunales, bajo la dirección de Doña XXXXXXXXXXX, por cuenta de XXXXXXXXXXX; sobre reclamación de cantidad, dicto la presente sentencia en base a los siguientes,

ANTECEDENTES DE HECHO

Primero.- El 04/02/2026 Dª. XXXXXXXXXXX, Procuradora de los tribunales y de la mercantil XXXXXXXXXXX presentó demanda de juicio verbal por la que en base a los hechos y fundamentos de derecho que estimaba pertinentes terminaba suplicando el dictado de una sentencia por la que «se condene a CAIXABANK, S.A a abonar a mi representada el importe de 14.828,59 euros junto con los intereses legales de dicha cantidad desde la fecha de su cargo en cuenta».

Segundo.- Admitida a trámite la demanda se emplazó al demandado para personarse y contestar a la demanda interpuesta de contrario.

Tercero.- Por la parte demandada se contestó con los elementos fácticos y jurídicos que estimaron por convenientes oponiéndose a la demanda solicitando su desestimación.

No interesando la celebración de vista, las actuaciones quedan en la mesa del juez con fecha de hoy.

Cuarto.- Que en la tramitación de este procedimiento se han observado las prescripciones legales.

FUNDAMENTOS DE DERECHO

Primero.- Nos hallamos en una demanda relativa a la responsabilidad contractual ilegal de la entidad bancaria en relación a los artículos 43 al 45 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera.

Por la parte demandante, cliente de CAIXABANK, se alega que el 10 de diciembre de 2024, el administrador único de la empresa demandante detectó que su cuenta bancaria estaba bloqueada mientras intentaba realizar pagos. Poco después, recibió un SMS aparentemente de su banco (CaixaBank) solicitando activar un «Dispositivo Seguro». El mensaje parecía legítimo (mismo hilo y formato habitual), por lo que accedió al enlace.

Minutos más tarde, recibió una llamada de un supuesto agente del banco que, con gran credibilidad, le informó de un posible ataque de phishing y le indicó instalar la aplicación AnyDesk para «proteger» sus fondos. Durante la llamada, recibió más SMS que reforzaban la apariencia de autenticidad. Siguiendo estas instrucciones, permitió el acceso remoto, tras lo cual se realizó una transferencia inmediata no autorizada de 14.765,48 € (más 63,11 € de gastos).

Tras finalizar la llamada, el cliente contactó con el banco y acudió a su oficina, donde se confirmó el fraude. Ese mismo día denunció los hechos ante la Policía Nacional. También solicitó la devolución del importe, que fue rechazada por el banco. Sostiene que actuó en todo momento con diligencia razonable, ya que fue víctima de un engaño sofisticado que imitaba perfectamente las comunicaciones del banco, sin indicios claros de fraude. Por ello, no habría negligencia grave por su parte.

Finalmente, se argumenta que el banco incumplió sus obligaciones legales (según el Real Decreto-ley 19/2018), ya que debe devolver inmediatamente el importe de operaciones no autorizadas salvo fraude o negligencia grave del cliente, lo que aquí no concurre. Además, tampoco realizó esfuerzos suficientes para recuperar el dinero transferido.

Por la parte demandada, con carácter previo, sostiene como excepción procesal la inexistencia del requisito de procedibilidad por incumplimiento del artículo 5 de la Ley 1/2025. Del mismo modo, refiere que dado que los mismos hechos en los que se basan las peticiones realizadas por la actora en su demanda, están siendo objeto de investigación en un procedimiento penal que, en caso de determinar la ausencia de fraude alguno, afectarían directa y decisivamente a la resolución de la presente litis, procede la suspensión del presente procedimiento por mor de lo preceptuado en el meritado artículo 40 de nuestra Ley rituaria.

Sobre el fondo, se indica que la pretensión de la contraparte en caso alguno puede prosperar por cuanto lo que en el presente caso, además de que no se controvierte la remisión de la doble autenticación de las operaciones al efecto, resulta que existe un actuar negligente y grave del propio actor exclusivamente a él sólo imputable la indebida permisividad en el acceso remoto a su terminal móvil (al terminal móvil y a la aplicación de banca digital) de forma del todo injustificada.

Segundo.- Sobre las excepciones procesales planteadas por la demandada.

1.- Respecto de la inexistencia del requisito de procedibilidad por incumplimiento del artículo 5 de la Ley 1/2025.

La alegación de inexistencia de cumplimiento de MASC no puede prosperar, ya que el intento negociador queda plenamente acreditado documentalmente por el demandante. Se remitió comunicación vía email a la entidad bancaria en la que se exponía de forma detallada el motivo de la reclamación, incluyendo las circunstancias, fechas y forma en que se produjo la vulneración del sistema. En dicha comunicación se formuló además una propuesta concreta de solución que, de haber sido aceptada, habría evitado la necesidad de acudir a la vía judicial. Asimismo, se facilitó un canal de contacto directo a través del letrado y se concedió un plazo de 15 días para alcanzar un acuerdo.

Por su parte, la entidad bancaria respondió tres semanas después, rechazando la reclamación.

En consecuencia, queda acreditado el cumplimiento del requisito de intento previo de solución extrajudicial.

2.- Sobre la pretensión de suspensión del presente procedimiento por mor de lo preceptuado en el artículo 40 de la LEC.

El art. 40.1 de la LEC establece que «1. Cuando en un proceso civil se ponga de manifiesto un hecho que ofrezca apariencia de delito o falta perseguible de oficio, el tribunal civil, mediante providencia, lo pondrá en conocimiento del Ministerio Fiscal, por si hubiere lugar al ejercicio de la acción penal».

Es evidente que dicho precepto no es de aplicación, al constar según la parte demandada, la denuncia ya interpuesta.

Por otra parte, el art. 40.2 LEC dispone que «2. En el caso a que se refiere el apartado anterior, no se ordenará la suspensión de las actuaciones del proceso civil sino cuando concurran las siguientes circunstancias:

1.ª Que se acredite la existencia de causa criminal en la que se estén investigando, como hechos de apariencia delictiva, alguno o algunos de los que fundamenten las pretensiones de las partes en el proceso civil.

2.ª Que la decisión del tribunal penal acerca del hecho por el que se procede en causa criminal pueda tener influencia decisiva en la resolución sobre el asunto civil».

Se basa el planteamiento de la cuestión prejudicial en la denuncia realizada por el actor que dieron lugar a las Diligencias Policiales n.º XXXXXXXXXXX, de fecha 04/02/2025.

Es decir, no consta procedimiento judicial penal abierto, por lo que procede la desestimación de la prejudicialidad penal, sin necesidad de mayor argumentación.

Tercero.- Ley servicios de pago.

La primera normativa aplicable a esta cuestión es el Real Decreto-ley 19/2018 de 23 de noviembre, de servicios de pago, que adaptó la normativa de servicios de pago para trasponer la Directiva 2015/2366 y el Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017.

De acuerdo a la misma y con cita de Sentencia del Tribunal Supremo, Sala de lo Civil, nº 1671/2025, de 9 de abril de 2025, recurso de casación nº 1151/2023, ponente XXXXXXXX. ECLI: ES:TS:2025:1671:

Artículo 41. Obligaciones del usuario de servicios de pago en relación con los instrumentos de pago y las credenciales de seguridad personalizadas.

El usuario de servicios de pago habilitado para utilizar un instrumento de pago:

a) utilizará el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago que deberán ser objetivas, no discriminatorias y proporcionadas y, en particular, en cuanto reciba un instrumento de pago, tomará todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas;

b) en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, lo notificará al proveedor de servicios de pago o a la entidad que este designe, sin demora indebida en cuanto tenga conocimiento de ello.

El usuario solo responde cuando haya incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones, por lo que, al no existir ningún elemento del que se deduzca la existencia de un fraude o incumplimiento deliberado, la cuestión se reconduce a dilucidar si es posible hablar de negligencia grave, cuya prueba incumbe a la demandada y que la jurisprudencia comunitaria relaciona con el incumplimiento del deber de notificación del art. 58 de la Directiva 2007/64/CE .

Obsérvese que, contra lo que mantiene por la recurrente, el que un tercero hubiera podido acceder a las claves de acceso a la banca digital del demandante no supone per se que haya incurrido en negligencia alguna, pudiendo existir múltiples explicaciones, muchas de las cuales resultan difícilmente atribuibles a título de negligencia, y menos aún, de negligencia grave.

Artículo 42. Obligaciones del proveedor de servicios de pago en relación con los instrumentos de pago.

e) Impedirá cualquier utilización del instrumento de pago una vez efectuada la notificación en virtud del artículo 41.b)

Artículo 43. Notificación y rectificación de operaciones de pago no autorizadas o ejecutadas incorrectamente.

1. El usuario de servicios de pago obtendrá la rectificación por parte del proveedor de servicios de pago de una operación de pago no autorizada o ejecutada incorrectamente únicamente si el usuario de servicios de pago se lo comunica sin demora injustificada, en cuanto tenga conocimiento de cualquiera de dichas operaciones que sea objeto de reclamación

Arts. 43 y 44 Real Decreto, en relación con los arts. 71 y 72 de la Directiva

«1. Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago. […]

2. A los efectos de lo establecido en el apartado anterior, el registro por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 41.

3. Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave. […]»

Igualmente, los arts. 45 y 46 del Real Decreto Ley recogen lo dispuesto en los arts. 73 y 74 de la Directiva acerca de la responsabilidad del proveedor de servicios de pago y del usuario en caso de operaciones de pago no autorizadas. En este sentido, el art. 45 establece:

«1. Sin perjuicio del artículo 43 de este real decreto-ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada.»

2. Cuando la operación de pago se inicie a través de un proveedor de servicios de iniciación de pagos, el proveedor de servicios de pago gestor de cuenta devolverá inmediatamente y, en cualquier caso, a más tardar al final del día hábil siguiente, el importe de la operación de pago no autorizada y, en su caso, restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada

Y el art. 46, después de recoger en su apartado 1 la posibilidad de que el ordenante pueda quedar obligado a soportar, hasta un máximo de 50 &€ , las pérdidas derivadas de operaciones de pago no autorizadas resultantes de la utilización de un instrumento de pago extraviado, sustraído o apropiado indebidamente por un tercero, vincula la responsabilidad del ordenante a la existencia de fraude o por incumplimiento deliberado o por negligencia grave de las obligaciones que pesan sobre el mismo:

«1. No obstante lo dispuesto en el artículo 45, el ordenante podrá quedar obligado a soportar, hasta un máximo de 50 euros, las pérdidas derivadas de operaciones de pago no autorizadas resultantes de la utilización de un instrumento de pago extraviado, sustraído o apropiado indebidamente por un tercero, salvo que:

a) al ordenante no le resultara posible detectar la pérdida, la sustracción o la apropiación indebida de un instrumento de pago antes de un pago, salvo cuando el propio ordenante haya actuado fraudulentamente, o

b) la pérdida se debiera a la acción o inacción de empleados o de cualquier agente, sucursal o entidad de un proveedor de servicios de pago al que se hayan externalizado actividades.

El ordenante soportará todas las pérdidas derivadas de operaciones de pago no autorizadas si el ordenante ha incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave , una o varias de las obligaciones que establece el artículo 41. En esos casos, no será de aplicación el importe máximo contemplado en el párrafo primero.

En todo caso, el ordenante quedará exento de toda responsabilidad en caso de sustracción, extravío o apropiación indebida de un instrumento de pago cuando las operaciones se hayan efectuado de forma no presencial utilizando únicamente los datos de pago impresos en el propio instrumento, siempre que no se haya producido fraude o negligencia grave por su parte en el cumplimiento de sus obligaciones de custodia del instrumento de pago y las credenciales de seguridad y haya notificado dicha circunstancia sin demora.

De este modo, con cita STJUE sentencia del Tribunal de Justicia de 2 de septiembre de 2021 (C-337/20 ), el legislador de la Unión ha establecido un régimen de responsabilidad basado en tres elementos esenciales y vinculados entre sí , a saber: una obligación de notificación que recae sobre el usuario del servicio de pago, establecida en el artículo 58 de la Directiva 2007/64 ; la atribución de la carga de la prueba al proveedor de esos servicios, que figura en el artículo 59 de dicha Directiva, y, por último, en caso de falta de prueba, la responsabilidad de ese proveedor, de conformidad con los artículos 60 y 75 de dicha Directiva, en función de que la operación no haya sido autorizada, no haya sido ejecutada o haya sido ejecutada incorrectamente.

Por consiguiente, arreglo a la normativa comunitaria y nacional aplicable y a la jurisprudencia comunitaria recaída en interpretación de la regulación de la que trae causa la primera, podemos concluir:

1.º El usuario de servicios de pago debe adoptar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas y, en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, ha de notificarlo al proveedor de servicios de pago de manera inmediata, tan pronto tenga conocimiento de ello.

2.º En caso de que se produzca una operación de pago no autorizada o ejecutada incorrectamente, si el usuario de servicios de pago se lo comunica sin demora injustificada, el proveedor debe proceder a su rectificación y reintegrar el importe de inmediato, salvo que tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España.

3.º Cuando un usuario niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, incumbe al proveedor la carga de demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago.

4.º El mero hecho del registro por el proveedor de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones, correspondiendo al proveedor la prueba de que el usuario del servicio de pago cometió fraude o negligencia grave.

En suma, la responsabilidad del proveedor de los servicios de pago, en los casos de operaciones no autorizadas o ejecutadas incorrectamente, tiene carácter cuasi objetivo, en el doble sentido de que, primero, notificada la existencia de una operación no autorizada o ejecutada incorrectamente, el proveedor debe responder salvo que acredite la existencia de fraude; y, segundo, cuando el usuario niegue haber autorizado la operación o alegue que ésta se ejecutó incorrectamente, corresponde al proveedor acreditar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio, sin que el simple registro de la operación baste para demostrar que fue autorizada ni que el usuario ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave.

Cuarto.- Obligaciones legales en materia de ciberseguridad.

La Directiva (UE) 2022/2555, adoptada el 14 de diciembre de 2022, establece medidas para garantizar un nivel elevado de ciberseguridad en toda la Unión Europea, modificando el Reglamento (UE) n.º 910/2014 y la Directiva (UE) 2018/1972, y derogando la Directiva (UE) 2016/1148. Los países de la UE tienen hasta octubre de 2024 para transponer esta directiva a su legislación nacional. Conocida como NIS2, esta normativa busca establecer un estándar de resiliencia en ciberseguridad para el entorno europeo, enfocándose en sectores esenciales de alta criticidad como energía, transporte y banca. Entre los requisitos clave se incluyen la adopción de medidas robustas de ciberseguridad, la notificación de incidentes de seguridad y la protección de infraestructuras críticas.

La directiva también enfatiza la importancia de la gestión del riesgo y la monitorización de la cadena de suministro, estableciendo un enfoque integral que incluye políticas de seguridad de sistemas de información, gestión de incidentes, continuidad de actividades y seguridad en la cadena de suministro. Además, se requiere que los Estados miembros aseguren que las entidades esenciales e importantes utilicen productos y servicios de tecnologías de
la información y la comunicación (TIC) que estén certificados bajo esquemas europeos de ciberseguridad. Asimismo, se establece que los órganos de dirección de estas entidades deben aprobar y supervisar las medidas de gestión de riesgos de ciberseguridad, asegurando así el cumplimiento de las normativas establecidas.

A este respecto, hay que subrayar la exigencia conforme a esta normativa de (Art. 1)

a) las políticas de seguridad de los sistemas de información y análisis de riesgos;

b) la gestión de incidentes;

f) las políticas y los procedimientos para evaluar la eficacia de las medidas para la gestión de riesgos de ciberseguridad;

g) las prácticas básicas de ciberhigiene y formación en ciberseguridad;

h) las políticas y procedimientos relativos a la utilización de criptografía y, en su caso, de cifrado;

i) la seguridad de los recursos humanos, las políticas de control de acceso y la gestión de activos;

j) el uso de soluciones de autenticación multifactorial o de autenticación continua, comunicaciones de voz, vídeo y texto seguras y sistemas seguros de comunicaciones de emergencia en la entidad, cuando proceda.

De tal manera que conforme el artículo 20 de dicha directiva los Estados miembros velarán por que los órganos de dirección de las entidades esenciales e importantes aprueben las medidas para la gestión de riesgos de ciberseguridad adoptadas por dichas entidades.

Que el 30 de enero de 2025 se ha presentado por el Gobierno el anteproyecto de Ley de Coordinación y Gobernanza de la Seguridad con la finalidad de trasposición de la misma.

Que asimismo debemos citar como normativa aplicable, el REGLAMENTO (UE) 2022/2554 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 y (UE) 2016/1011

El Reglamento de la UE entró en vigor el 16 de enero de 2023 y se aplica directamente a partir del 17 de enero de 2025. Su objetivo es reforzar la seguridad informática de entidades financieras como bancos, compañías de seguros y empresas de inversión y garantizar que el sector financiero en Europa pueda mantener su resiliencia en caso de perturbaciones operativas graves.

Armoniza las normas relativas a la resiliencia operativa del sector financiero aplicables a veinte tipos diferentes de entidades financieras y proveedores terceros de servicios de TIC.

Con la implementación de DORA, las entidades financieras deben establecer requisitos para la gestión de incidentes de ciberseguridad con el fin de proteger, detectar, contener, recuperar y reparar incidentes relacionados con las TIC.

DORA establece unos requisitos y obligaciones específicos para la gestión del riesgo de las TIC, la notificación de incidentes, la realización de pruebas de resiliencia operativa, el establecimiento de acuerdos de intercambio de ciberamenazas y la monitorización del riesgo de la cadena de suministro de las entidades financieras.

Este reglamento reconoce que los incidentes de ciberseguridad y la falta de resiliencia operativa tienen la posibilidad de poner en peligro la solidez de todo el sistema financiero.

DORA establece requisitos específicos en cuatro dominios principales:

1. Gestión y gobernanza del riesgo de TIC: las entidades financieras deben desarrollar marcos integrales de gestión del riesgo de las TIC, identificando y clasificando activos críticos, realizando evaluaciones continuas de riesgos y estableciendo medidas de ciberseguridad adecuadas. El órgano de dirección de las entidades financieras será el responsable de definir las estrategias de gestión del riesgo, las políticas, gobernanza, gestión, revisión y supervisión y podrá ser responsable personalmente por el incumplimiento de la regulación

2. Notificación de incidentes: las entidades financieras deben establecer sistemas para monitorear, administrar, registrar, clasificar e informar incidentes relacionados con las TIC. Deben presentar informes a las autoridades competentes y a los clientes y socios afectados sobre incidentes graves, proporcionando informes iniciales, intermedios y finales, y, con carácter voluntario, incidentes importantes.

3. Pruebas de resiliencia operativa digital, e intercambio de amenazas: las instituciones financieras deben probar regularmente sus sistemas de TIC para evaluar su fortaleza y detectar vulnerabilidades. Las pruebas incluyen evaluaciones de vulnerabilidades y pruebas basadas en escenarios, así como pruebas de penetración con amenazas especificas dirigías a entidades financieras. Igualmente, se deben establecer acuerdos de intercambio de información e inteligencia en relación con las ciberamenazas y las vulnerabilidades de ciberseguridad entre las entidades financieras.

4. Gestión de riesgos de terceros: las instituciones financieras deben asumir un papel activo en la gestión del riesgo de terceros de TIC, estableciendo acuerdos contractuales específicos y mapeando dependencias de la cadena de suministro. Los proveedores de servicios de TIC críticos también estarán sujetos a supervisión directa y deberán cumplir con los requisitos de DORA.

Las entidades financieras, que no sean microempresas, deben:

disponer de medidas internas de gobernanza y control que garanticen una gestión eficaz y prudente del riesgo de las TIC;

asegurarse de que su órgano de dirección define, aprueba, supervisa y es responsable de todas las disposiciones pertinentes;

contar con un marco de gestión de riesgos en TIC sólido, completo y bien documentado con las estrategias, políticas, procedimientos, protocolos y herramientas necesarios para responder con rapidez y eficacia;

utilizar y mantener sistemas, protocolos y herramientas actualizados en el ámbito de las TIC que sean adecuados, fiables, tecnológicamente resistentes y tengan capacidad suficiente;

identificar, clasificar y documentar adecuadamente todas las funciones, roles y responsabilidades empresariales apoyadas por las TIC, y revisar los escenarios de riesgo;

supervisar de forma continua la seguridad y el funcionamiento de los sistemas y herramientas de TIC para minimizar las repercusiones de cualquier riesgo de TIC;

detectar rápidamente las anomalías e identificar posibles puntos de fallo;

establecer una política global de continuidad empresarial de las actividades de TIC con planes, procedimientos y mecanismos adecuados;

desarrollar y documentar políticas de copias de seguridad y procedimientos de restauración y recuperación;

desplegar recursos y personal para evaluar las vulnerabilidades y las ciberamenazas, los incidentes relacionados con las TIC, especialmente los ciberataques, y analizar su posible impacto en la resiliencia operativa digital de la entidad;

diseñar planes de comunicación de crisis para divulgar al menos los incidentes o vulnerabilidades más importantes relacionados con las TIC a clientes, homólogos y ciudadanos.

Art. 6

2. El marco de gestión del riesgo relacionado con las TIC incluirá al menos las estrategias, las políticas, los procedimientos, y los protocolos y herramientas de TIC que sean necesarios para proteger debida y adecuadamente todos los activos de información y activos de TIC

5. El marco de gestión del riesgo relacionado con las TIC se documentará y revisará al menos una vez al año, o periódicamente en el caso de las microempresas, así como cuando se produzcan incidentes graves relacionados con las TIC, y siguiendo las instrucciones de supervisión o conclusiones derivadas de los procesos pertinentes de prueba o auditoría de la resiliencia operativa digital.

6. El marco de gestión del riesgo relacionado con las TIC de las entidades financieras que no sean microempresas será objeto de auditoría interna llevada a cabo por auditores con carácter periódico en consonancia con el plan de auditoría de las entidades financieras

8. El marco de gestión del riesgo relacionado con las TIC incluirá una estrategia de resiliencia operativa digital que establezca cómo se aplicará el marco. A tal fin, la estrategia de resiliencia operativa digital incluirá métodos para hacer frente al riesgo relacionado con las TIC y alcanzar los objetivos específicos en materia de TIC, para lo cual:

b) establecerá el nivel de tolerancia al riesgo relacionado con las TIC, de acuerdo con la propensión al riesgo de la entidad financiera, y analizará la tolerancia al impacto de las perturbaciones de las TIC;

c) establecerá objetivos claros en materia de seguridad de la información, incluidos indicadores clave de rendimiento y parámetros clave de medición del riesgo;

e) esbozará los diferentes mecanismos establecidos para detectar incidentes relacionados con las TIC, prevenir su impacto y protegerse de sus efectos;

f) hará constar la situación actual de la resiliencia operativa digital sobre la base del número de incidentes graves relacionados con las TIC notificados y la eficacia de las medidas preventivas;

g) efectuará pruebas de resiliencia operativa digital, de conformidad con el capítulo IV del presente Reglamento;

h) esbozará una estrategia de comunicación en caso de aquellos incidentes relacionados con las TIC que sea obligatorio divulgar conformidad con el artículo 14.

Art. 9

Las entidades financieras diseñarán, adquirirán y aplicarán políticas, procedimientos, protocolos y herramientas en materia de seguridad de las TIC que tengan por objeto asegurar la resiliencia, la continuidad y la disponibilidad de los sistemas de TIC,

Como parte del marco de gestión del riesgo relacionado con las TIC a que se refiere el artículo 6, apartado 1, las entidades financieras deberán:

c) aplicar políticas que limiten el acceso físico o lógico a los activos de información y activos de TIC a lo que sea necesario únicamente para funciones y actividades legítimas y aprobadas, y establecer a tal fin un conjunto de políticas, procedimientos y controles que se centren en los derechos de acceso y garanticen una buena administración de estos;

d) aplicar políticas y protocolos para mecanismos de autenticación fuerte, basados en estándares pertinentes y sistemas de control específicos, y medidas de protección de las claves criptográficas mediante las que se cifran los datos en función de los resultados de los procesos aprobados de clasificación de datos y evaluación de riesgos relacionados con las TIC;

Artículo 10

Detección

1. Las entidades financieras dispondrán de mecanismos para detectar rápidamente las actividades anómalas, de conformidad con el artículo 17, incluidos los problemas de rendimiento de las redes de TIC y los incidentes relacionados con las TIC, y para identificar los posibles puntos únicos de fallo significativos.

Quinto.- Aplicación al caso concreto. Valoración de la prueba.

Como prueba en este pleito contamos con la documental aportada por ambas partes, y la pericial que aporta la entidad demandada, elaborada por D. José Navarro, que indica que “de los resultados obtenidos en este análisis pericial es posible concluir que:

1. CaixaBank ha implementado un proceso de alta que permite tener garantías de identidad de la persona física que lo solicita, usando métodos de identificación avanzados y una comprobación exhaustiva de datos

2. Es posible contratar de manera segura servicios bancarios a través de internet, como servicios de banca online (CaixaBankNow) o tarjetas de crédito, gracias a las garantías de identificación previas en el proceso de alta y la creación y asociación de credenciales de seguridad al cliente que permiten identificarlo en procesos posteriores, como el de contratación.

3. Cada vez que un usuario se conecta a los sistemas de banca online de CaixaBank, o realiza un pago con un sistema provisto por esta entidad bancaria, debe someterse a una autenticación reforzada, a un análisis de dispositivo electrónico utilizado.

4. CaixaBank tiene seguridad sobre la identidad de la persona fisica que realiza las operaciones bancarias debido a la utilización, en la autenticación reforzada de cada operación, de las credenciales de seguridad creadas y asociadas al cliente durante el proceso de alta y el enrolamiento de los dispositivos electrónicos utilizados por los clientes, que permiten asociar a la persona, física con su perfil virtual de cliente.

5. CaixaBank tiene una trazabilidad de todas las operaciones que realizar sus clientes en el sistemna, pudiéndose saber cuándo se conectan, desde dónde, con qué dispositivo, qué métodos de autenticación se pasaron, e. tipo de operaciones realizadas, los destinos de las mismas”.

De conformidad con lo narrado en la demanda, que se corresponde con lo denunciado en la policía, y ante la ausencia de explicación de manera concreta, clara y por un profesional informático perteneciente a la entidad bancaria ante la ausencia de celebración de juicio y declaración en sala para que pudiese responder a las preguntas, se entiende que lo que se produjo a la parte demandante fue una estafa de smishing, utilizando la técnica de spoofing, y con una conexión de varios dispositivos fraudulentos a su cuenta bancaria para realizar compras, cargos e incluso retiradas de efectivo de manera fraudulenta.

El smishing es una técnica que utiliza el atacante que consiste en el envío de un SMS simulando ser una entidad legítima con el objetivo de robar datos personales y/o confidenciales, realizar un cargo económico o incluso instalar malware. Por lo general, en el mensaje se invita al usuario víctima a acceder a un enlace de una web fraudulenta, en apariencia legítima, bajo un pretexto.

Generalmente,los SMS pretenden que visitemos, bajo alguna excusa, una página web fraudulenta aprovechándose de las funcionalidades de navegación web que incorporan los móviles o smartphones, con el objetivo final de obtener claves de usuario o información personal, aunque también puede tener otros propósitos, como la venta de productos o servicios falsos o inexistentes, la infección del dispositivo móvil (smartphone),etc.

Estas campañas son mensajes de texto, enviados por los ciberdelincuentes, haciéndose pasar por el banco para obtener las credenciales de acceso al mismo. El SMS no solo te pide que hagas una acción con tu banco, sino que se agrupa en la cadena de SMS con el resto de las notificaciones de autorizaciones de pago legítimas del banco

Lo que en definitiva se pretende es a través de la suplantación de la entidad bancaria, haciéndose pasar por ella, introduciendo un mensaje dentro del mismo hilo de los mensajes legítimos y verdaderos de la entidad, con un tono de urgencia, que la víctima pinche en el enlace y autorice los dispositivos del atacante para de esta manera tomar el control de la aplicación y las credenciales bancarias.

La posición de la entidad bancaria no puede sostenerse, ni fáctica ni jurídicamente, frente a las circunstancias acreditadas en el presente caso.

En primer lugar, el banco centra su defensa en la supuesta robustez de sus sistemas de seguridad y en la correcta aplicación de la doble autenticación. Sin embargo, este argumento resulta insuficiente, ya que la normativa aplicable no se limita a exigir la existencia formal de mecanismos de autenticación, sino que impone a la entidad la obligación de garantizar un entorno seguro en sentido material, incluyendo la detección de operaciones anómalas y la prevención de fraudes sofisticados como el presente.

En segundo lugar, la demandada pretende desplazar la responsabilidad al cliente alegando que la operación fue validada desde su propio dispositivo tras haber cedido el control remoto mediante la instalación de AnyDesk. No obstante, omite que dicha actuación se produjo en un contexto de engaño altamente elaborado, en el que el cliente fue inducido a error mediante comunicaciones que reproducían fielmente los canales y protocolos de la entidad, sin que existieran indicios claros de fraude para un usuario medio diligente.

Frente a ello, ha quedado acreditado que el cliente actuó con total diligencia: tras advertir la incidencia, intentó contactar inmediatamente con el banco y, ante la imposibilidad de hacerlo, acudió sin demora a su oficina, donde se confirmó el fraude. Además, formuló denuncia ante la Policía Nacional ese mismo día, pocos minutos después de la operación. Esta reacción inmediata excluye cualquier apreciación de negligencia grave.

En tercer lugar, debe recordarse que la carga de la prueba corresponde a la entidad bancaria, que no puede limitarse a afirmar que la operación fue autenticada, sino que debe acreditar de forma concluyente la existencia de fraude o negligencia grave por parte del usuario.

Por otro lado, resulta especialmente relevante que la entidad no ha acreditado el cumplimiento de sus obligaciones en materia de ciberseguridad. Aun cuando la Directiva NIS2 no haya sido aún transpuesta, el Reglamento europeo DORA sí resulta plenamente aplicable, imponiendo exigencias concretas en materia de gobernanza, gestión de riesgos, supervisión continua y detección temprana de actividades anómalas. Sin embargo, la demandada no ha aportado información alguna sobre sus políticas internas, mecanismos de control, sistemas de alerta o protocolos de detección de fraude.

Tampoco ha justificado por qué no se activó ningún tipo de alerta ante una operación claramente atípica, ni qué medidas se adoptaron para prevenir o mitigar el riesgo, lo que evidencia un funcionamiento defectuoso del servicio.

En este sentido, la jurisprudencia reciente del Tribunal Supremo (sentencia nº 1671/2025, de 9 de abril) establece que las entidades bancarias deben implementar sistemas capaces de detectar automáticamente operaciones sospechosas, atendiendo a factores como el importe, la reiteración, el momento de ejecución o los destinatarios, así como intensificar los controles ante situaciones de riesgo. En definitiva, nos encontramos ante un supuesto en el que el cliente actuó de manera diligente, informando de forma inmediata a la entidad y siguiendo las instrucciones que creía legítimas, mientras que el banco no ha acreditado haber desplegado las medidas de seguridad exigibles ni haber reaccionado adecuadamente ante indicios de fraude. Por ello, no puede trasladarse al cliente las consecuencias de un riesgo que corresponde gestionar a la entidad financiera.

En correspondencia con lo indicado, debe estimarse la demanda, debiendo condenar a la demandada a 14.828,59 euros más los intereses legales de esta cantidad desde la fecha de la reclamación extraprocesal hasta la fecha de la sentencia y los intereses judiciales del art. 576 de la LEC desde la fecha de la sentencia hasta su completo pago.

No se aprecia la existencia de base legal para imponerlos, como se pide con carácter principal, desde la operación de pago fraudulenta, matiz que, por afectar a una prestación accesoria, no impide considerar sustancialmente estimada la demanda.

Sexto.- Costas.

En cuanto a las costas procesales, la estimación sustancial de la demanda hace que deban ser abonadas por la parte demandada, conforme al artículo 394 de la LEC.

Por todo lo expuesto, vistos los artículos citados y demás de general y pertinente aplicación,

PARTE DISPOSITIVA

ESTIMO SUSTANCIALMENTE la demanda interpuesta por Dª. XXXXXXXXXXX, Procuradora de los tribunales y de la mercantil XXXXXXXXXXX, contra entidad CAIXABANK, S.A. y SE CONDENA a la demandada al pago de 14.828,59 euros más los intereses legales de esta cantidad desde la fecha de la reclamación extraprocesal hasta la fecha de la sentencia y los intereses judiciales del art. 576 de la LEC desde la fecha de la sentencia hasta su completo pago.

Todo ello con expresa condena en costas a la parte demandada.

MODO DE IMPUGNACIÓN: Notifíquese la presente resolución en la forma establecida en el artículo 248.4 de la L.O.P.J., indicando que no es firme y contra ella cabe interponer recurso de apelación en el plazo de 20 días, de conformidad con el artículo 458 LEC.

Así por esta sentencia, lo pronuncio, mando y firmo, D. XXXXXXXXXXX, Magistrado titular de la Plaza número 5, sección civil, del Tribunal de Instancia de San Cristóbal de La Laguna.

EL MAGISTRADO