23.857 euros recuperados por Phishing en Caja Rural de Jaén

JUZGADO DE PRIMERA INSTANCIA NUMERO UNO DE JAEN

SENTENCIA Nº 531/2023

En Jaén a 1 de diciembre de 2023.

Don XXXXXXX, Magistrado-Juez del Juzgado de Primera Instancia núm.1 de esta ciudad y su Partido Judicial, ha examinado los autos de JUICIO ORDINARIO, seguidos en este Juzgado bajo el núm.442/2023, entre partes, de una y como demandante, el Procurador de los Tribunales Don XXXXXXX, actuando en nombre y representación de Don XXXXXXX y Doña XXXXXXX defendidos por Don Iván Metola Rodríguez contra la entidad Caja Rural de Jaén, Barcelona y Madrid S.C.C., representada por la Procuradora de los Tribunales Doña XXXXXXX y defendida técnicamente por Don XXXXXXX.

ANTECEDENTES DE HECHO

PRIMERO.- El día 13 de marzo de 2023, el Procurador de los Tribunales Don XXXXXXX, actuando en nombre y representación de Don XXXXXXX y Doña XXXXXXX interpuso demanda de juicio ordinario interesando la condena de la demandada al pago de la cantidad de 23.857,80 euros en concepto de incumplimiento de sus deberes de protección y seguridad antiphishing.

Admitida a trámite por Decreto de 13 de abril de 2023, se admite a trámite la demanda, dando traslado a la demandada para contestar, haciéndolo a través de su representación procesal el día 15 de junio de 2023.

SEGUNDO.- Acordada la Audiencia Previa por Diligencia de 16 de junio de 2023 se señala su celebración para el día 26 de septiembre de 2023, con comparecencia de todas las partes; se admitieron todos los documentos aportados en este acto, proponiéndose y admitiéndose la prueba que consta en autos, fijándose fecha para celebración del juicio el día 28 de noviembre de 2023. Tal día se celebra el mismo, con comparecencia de las partes, se practica la prueba admitida qué consta en las actuaciones, finalizando con las conclusiones orales e informe de las partes.

FUNDAMENTOS DE DERECHO

PRIMERO.- Los actores reclaman de la demandada el pago de la cantidad de 23.857,80 euros en concepto de cantidad defraudada por terceras personas desconocidas mediante la utilización del sistema de phising por el cuál se hicieron pasar por los actores para operar vía on-line en la página habilitada para ello por la entidad demandada, siendo ella responsable ante la falta de detección de dicha maniobra fraudulenta no estableciendo los mecanismo de control y detección legalmente exigidos para evitar dichas operaciones fraudulentas.

Frente a ello, la entidad bancaria refiere qué ha cumplido con todas las obligaciones legales exigidas para dar seguridad y protección a los clientes para operar vía on-line, siendo el origen de la presunta operación fraudulenta comportamiento necesariamente negligente de los actores, qué permitieron la emisión de, al menos, dos duplicados de su tarjeta de telefonía móvil, siendo informados de ello por la entidad de telefonía Yoigo, sin qué comunicaran dicha circunstancia a la entidad bancaria a los fines de qué ésta pudiera impedir la operatividad en su cuenta, siendo informada una vez realizadas esas terceras operaciones.

SEGUNDO.- Fijada la posición de las partes, y admitiendo por ambas qué se produjo una situación de phishing o uso fraudulento de tarjeta o cuenta bancaria de los actores por terceros previo haber recabado las claves o códigos de autenticación necesarios para realizar tales operaciones, dicha cuestión ha sido abordada por la doctrina jurisprudencial de forma abundante el múltiples sentencias, todas ellas recientes, dado lo reciente también del mecanismo utilizado, consistente en la obtención de datos de las tarjetas o cuentas bancarias y claves y códigos para operar con ellas vía de programas sofisticados de piratería informática.

Siendo ésta una realidad en la época actual más habitual de lo qué fuese recomendable, las entidades bancarias qué ofrecen los servicios de operatividad vía on-line y los titulares de las tarjetas habilitadas para proceder de ésta forma, cuentan con una serie de obligaciones para garantizar la seguridad de las mismas, concretándose legalmente la responsabilidad ante situaciones fraudulentas del tipo de la denunciada por los actores y admitida por la parte demandada.

En cuanto al marco normativo del qué partir, lo resume, entre otras, la sentencia de la Sección 5 de la Ilma. Audiencia Provincial de Granada de 20 de junio de 2022 indicando: “* El artículo 147 del Texto Refundido de la Ley para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, aprobado por el Real Decreto Legislativo 1/2007, de 16 de noviembre, dispone: » Los prestadores de servicios serán responsables de los y perjuicios causados a los consumidores o usuarios, salvo que prueben que han cumplido las exigencias y requisitos reglamentariamente establecidos y demás cuidados y diligencias que exige la naturaleza del servicio «, siendo indiscutido que los demandantes merecen la consideración de consumidores.

* El art. 148 de la misma norma, según el cual » se responderá de los daños originados en el correcto uso de los servicios, cuando por su propia naturaleza, o por estar así reglamentariamente establecido, incluyan necesariamente la garantía de niveles determinados de eficacia o seguridad, en condiciones objetivas de determinación, y supongan controles técnicos, profesionales o sistemáticos de calidad, hasta llegar en debidas condiciones al consumidor y usuario».

* El art. 44 del Real Decreto-ley 19/2018, de 23 de noviembre, de regulación de los servicios de pago y otras medidas urgentes en materia financiera, que deroga la Ley 16/2009, de 13 de noviembre, de servicios de pago, con arreglo al cual » Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago»; y, conforme a su apartado tercero » Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave».

* El art. 45 de la misma norma establece » Sin perjuicio del artículo 43 de este real decreto -ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine».

* Art. 46.2 de la misma norma, conforme al cual » Si el proveedor de servicios de pago del ordenante no exige autenticación reforzada de cliente, el ordenante solo soportará las posibles consecuencias económicas en caso de haber actuado de forma fraudulenta»; teniendo en cuenta que, conforme al art. 2.5 se considera autenticación reforzada: «la autenticación basada en la utilización de dos o más elementos categorizados como conocimiento (algo que solo conoce el usuario), posesión (algo que solo posee el usuario) e inherencia (algo que es el usuario), que son independientes -es decir, que la vulneración de uno no compromete la fiabilidad de los demás-, y concebida de manera que se proteja la confidencialidad de los datos de identificación».”.

Partiendo de la referida regulación legal, en cuanto a la responsabilidad exigible a cada una de las partes y la naturaleza de dicha responsabilidad, indica la sentencia acabada de referir: “Esta sala, siguiendo la pauta de las sentencias precedentes, invocadas en la propia apelada, singularmente de la sentencia núm. 107/2018, de 12 de marzo de la Sección 8ª de la Audiencia Provincial de Alicante, que compendia otros pronunciamientos, ha de partir de la consideración de que, con arreglo al marco jurídico en el que se desenvuelve la actividad de servicios de pago a través de banca on line, el régimen de la responsabilidad de la prestadora del servicio ha de reputarse cuasi-objetivida, en la medida en que sólo se excluye en unos casos por culpa grave del cliente y en otros por únicamente por fraude imputable al mismo, lo que implica, además, que la carga de la prueba de esas circunstancias exoneratorias y la paralela inexigibilidad de otra conducta a la referida entidad incumba a ésta en todo caso.”.

Es decir, en dicha resolución, la Audiencia de Granada parte de un supuesto de responsabilidad cuasi-objetiva dónde la entidad bancaria deberá responder frente a los clientes de no acreditar la actuación culposa o negligente de los mismos en la utilización y conservación de los datos, códigos o contraseñas necesarias para operar en la banca on-line.

En éste mismo sentido, se puede destacar lo dicho por la sentencia de la Sección 3 de la Ilma. Audiencia Provincial de Badajoz de 16 de junio de 2022, al indicar: “Pues bien, en lo que respecta a la responsabilidad por operaciones de pago fraudulentas, el proveedor de servicios de pago se encuentra sujeto al cumplimiento de específicas obligaciones de protección en la emisión de los instrumentos de pago y en los procesos de autenticación de las operaciones de pago cuya finalidad es minimizar la probabilidad de ejecución de operaciones no autorizadas y en relación con los instrumentos de pago ha de cumplir con las obligaciones sobre emisión y uso seguro que se establecen en el mencionado art. 42.1 RDL 19/2018 y será el proveedor de los servicios de pago quien habrá de responder por las operaciones de pago resultantes del uso fraudulento del instrumento de pago por un tercero, y siempre que la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por ninguna deficiencia del servicio prestado por el proveedor de servicios de pago, salvo que el ordenante actuara de manera fraudulenta, o incumpliendo deliberadamente o por negligencia grave alguna de las obligaciones recogidas en el art. 41 RDL 19/2018.

De esta manera, al proveedor de servicios de pago le corresponde la carga procesal de acreditar tanto su propio comportamiento diligente en la autenticación de la operación de pago como, en su caso, el fraude (requerirá de la acreditación de hechos de los que pudiera llegar a inferirse que aquel actuó con engaño para beneficiarse de la operación de pago) o la negligencia grave del ordenante (requerirá de la acreditación de las circunstancias concurrentes en la operación de pago de las que quepa inferir que la misma pudo realizarse porque aquel obró con una significativa falta de diligencia al usar del instrumento de pago o al proteger sus credenciales).”.

Partiendo de las obligaciones legales y régimen de responsabilidad cuasi-objetiva en la qué la entidad bancaria debe acreditar no sólo su diligencia sino también actuación negligente o incumplimiento deliberado de sus obligaciones por los clientes, procede analizar el supuesto de autos.

En éste sentido, el actor cuyo interrogatorio ha sido practicado en el acto de la vista, indica qué recibió correos electrónicos qué parecían remitidos desde la plataforma Google procediendo a abrirlos y al ver qué su teléfono móvil dejaba de tener cobertura acudió a la empresa de telefonía móvil con la qué tenía contratado su servicio, entidad Yoigo, informánole qué se había producido desde Barcelona un duplicado de tarjeta, ocurriéndole en dos ocasiones

Dicho ésto, y partiendo de la realidad del phising, la pregunta a responder es sí la obtención de datos de autenticación de las operaciones por los terceros fue motivada por comportamiento negligente de los titulares de la tarjeta o por falta de mecanismo de seguridad, inexistencia o inadecuado mecanismo antiphising por parte de éste.

En el presente caso, es evidente qué el actor con su comportamiento de aperturas de correos electrónicos fraudulentos, permitió qué se realizase un duplicado de su tarjeta de telefonía móvil, debiendo valorar sí tal comportamiento se le puede imputar como negligente. Y en éste sentido, acudiendo a las reglas de la lógica y del conocimiento de cualquier persona media sobre los servicios de telefonía móvil y la operatividad bancaria vía de internet, en ningún caso podría sospechar el actor qué con la apertura de ese correo los defraudadores pudieran hacerse con los datos de protección necesarios para operar en su cuenta on-line, en tanto la información qué obtuvo una vez producido el error de cobertura de su teléfono móvil, era qué terceros habían realizado un duplicado de su tarjeta de telefonía móvil, lo qué en modo alguno le podría hacer sospechar qué vía de dicho duplicado los terceros pudieran conocer las claves de acceso y operatividad de su cuenta bancaria vía on-line, creyendo racionalmente qué sus datos bancarios, por él conocidos en exclusiva y protegidos por la demandada, no pueden ser obtenidos por terceros por el hecho de duplicar una tarjeta de su teléfono móvil.

Partiendo de lo expuesto, la entidad demandada qué debe ser conocedora de la forma de actuar de los defraudadores, especialmente, en lo qué a la desvinculación de dispositivos se refiere para acceder desde terceros, no ha acreditado el ostentar mecanismos especiales de aseguramiento de qué la operatividad bancaria on-line es realizada por el titular de la cuenta, en tanto no se ha acreditado por la demandada la existencia de filtros de seguridad alguno qué impida qué un tercero obteniendo meramente un duplicado de tarjeta del teléfono móvil pueda acceder a los datos bancarios de los actores y operar con la cuenta de éstos, debiéndose entender qué las entidades bancarias qué operan vía on-line cuentan con medios adicionales y específicos de seguridad para impedir el uso fraudulento de datos bancarios por tercero. Así, conociendo la demandada el modus operandi de los defraudadores, requeriría qué ésta contara con mecanismo de seguridad qué garantizase qué sólo el actor puede realizar dicha operatividad bancaria, no contando con él cómo lo demuestra el hecho real qué mediante la obtenición de un duplicado de tarjeta de telefonía pueda el tercero acceder a la cuenta bancaria y operar con la misma. Así, la demandada debió con una diligencia mínima prever supuestos de phising de forma qué debe reforzar los mecanismos de seguridad para cerciorarse qué es el actor tilización de claves en poder físico del actor o llamadas de seguridad con respuestas preacordadas, qué harían imposible su conocimiento por terceros, lo qué, dada la defraudación, no debe existir como medio de seguridad de la entidad demandada, no bastando, en su caso, simplemente la introducción de una clave de seguridad remitida vía de sms, cómo reconoce la entidad demandada qué hizo o el pedir posiciones de clave de firma en tanto ello puede ser obtenido por terceros una vez duplicados los datos de tarjeta móvil.

Pero es más, atendiendo al tipo de operaciones, seis transferencias realizadas de manera sucesiva, cuatro a favor de la misma persona y dos a favor de otra sin encontrarse plenamente identificadas con nombres y dos apellidos, siendo una a favor de XXXXXXXX y otra a favor de XXXXXXXX, estando las cuentas a las qué remitir el dinero domiciliadas en Venezuela, con concreción de conceptos como pagos de “ormigon” (con evidente falta de ortografía) cuatro de ellos y ayudas para vivienda o pago de casa a favor de las mismas personas, impropios de los titulares de la tarjeta, la entidad demandada, conociendo la existencia del fenómeno del phising, debió extremar las precauciones antes de proceder a la autorización de dichas transferencias, estableciendo mecanismos adicionales de seguridad para cerciorarse qué son los clientes titulares de las tarjetas los qué han procedido a realizar dichas operaciones.

Por ello, se entiende qué la falta de mecanismos de seguridad de la demandada para evitar o limitar la actuación fraudulenta vía phising frente a las cuentas de sus clientes, constituye una causa fundamental de la defraudación sufrida por los actores, debiendo responder frente a éstos de la cantidad defradudada de 23.857,80 euros, sin perjuicios de las acciones qué corresponda a la demandada frente a los autores en caso de ser conocidos.

Conclusión idéntica a la alcanzada por éste Juzgador, ha sido asumida por determinadas Audiencias Provinciales en asuntos similares al presente, pudiendo destacar la sentencia ya referida de la Ilma. Audiencia Provincial de Badajoz, qué refiere: “Pues bien, de la prueba practicada, si bien es posible acreditar que la entidad actora ha cumplido con su obligación de demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago, sin embargo, no ha demostrado, y a ella correspondía la carga probatoria, que se hubiera producido una negligencia grave en el actuar del actor, que exonere de responsabilidad a la entidad demandada, así como tampoco que hubiera proveído al demandante de los mecanismos de autenticación y supervisión suficientes (reforzados) para detectar y evitar la utilización fraudulenta de su medio de pago, como puede ser el dotarse de la tecnología antiphishing precisa para detectar las páginas o enlaces fraudulentos, impidiendo su acceso, lo que, de haberse producido, hubieran evitado que el defraudador pudiera hacerse con las credenciales del usuario del instrumento de pago por ellaemitido, pues la rotura del enlace haría ya ineficaz cualquier conducta que frente al mismo pudiera observar el usuario receptor.

Así, de la lectura del SMS recibido por el actor no es posible concluir, que de haber clicado en el enlace (aunque él lo niegue), se derive su falta de diligencia en la protección de las credenciales del instrumento de pago.

No ha de olvidarse que en el phishing se usan técnicas para ganarse la confianza del usuario del instrumento de pago y aprovecharse de una simulación cada vez más perfeccionada. A ello debiera responderse por la entidad bancaria también con mecanismos de protección cada vez mayores y mejores. Así, no podía la entidad desconocer que frecuentemente mediante esta técnica el tercero defraudador utiliza los datos de la tarjeta para activarla en una aplicación de pago, por lo que debiendo conocer que el teléfono desde el que se le había solicitado la activación no se encontraría entre los que hubiera registrado su nombre el actor, la comunicación del número de terminal telefónico devenía exigible para que aquélla pudiera conocer que era un tercero quien podría disponer de los datos de la tarjeta mediante la aplicación de pago que se activaría.

De lo expuesto se concluye que la entidad demandada no habría acreditado la observancia de los deberes de diligencia que le eran exigibles en la autenticación de las operaciones de pago, pues ni habría probado haber implementado un mecanismo antiphising de protección de los usuarios de los instrumentos de pago por ella emitidos frente al uso fraudulento por un tercero para hacerse con las credenciales del instrumento; ni habría puesto en conocimiento del usuario los datos necesarios para que este conociera que se trataba de instalar su tarjeta en una aplicación de pago de un terminal de un tercero; ni tampoco de avisarle por el mecanismo habitual de contacto con el cliente que se estaba intentando adquirir determinados productos a precios ciertamente importantes en comercios electrónicos situados en el extranjero, a fin de que el demandante hubiera podido, con carácter previo, dar su visto bueno a las utilizaciones concretas que se pretendían, lo que hubiera permitido conocer tal uso fraudulento, conocimiento que solo adquirió tras examinar los movimientos de su cuenta bancaria.

Por ello, no cabe observar negligencia grave del demandante de los deberes de conducta al usar del instrumento de pago y al dirigirse a un enlace simulado y habrá de ser, en consecuencia, la entidad demandada como proveedora de los servicios de pago usados de manera fraudulenta por un tercero logrando con ello acceder a la cuenta bancaria del demandante, quien haya de responder las pérdidas sufridas por éste con tales operaciones.”.

En el mismo sentido, ha tenido ocasión de pronunciarse nuestra Ilma. Audiencia Provincial de Jaén, Sección Primera, en sentencia de 14 de diciembre de 2022, indicando: “A tales efectos, se ha de tener en cuenta que, conforme al Art. 41 de la misma Ley, constituyen obligaciones del usuario de servicios de pago habilitado para utilizar un instrumento de pago, hacerlo en las que se establezcan y tomar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas; así como en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, habrá de notificarlo al proveedor de servicios de pago o a la entidad que este designe, sin demora indebida, en cuanto tenga conocimiento de ello.

En tal sentido se pronuncia la SAP de Granada, secc 5ª, de 22 de junio de 2022, con cita de la SAP de Alicante Sección 8ª- núm. 107/2018, de 12 de marzo.

Con arreglo a este régimen jurídico de la responsabilidad del prestador de servicios de pago, hemos de concluir a la vista de los hechos acreditados que la apelante no había establecido un sistema de autorización de pago con autenticación reforzada, lo que implica que la reglamentación expuesta, concretamente el citado Art. 46.2, presuponga que el prestador de servicios haya de asumir la responsabilidad patrimonial por un riesgo perfectamente descrito tanto para el usuario como para el prestador de servicios como es la defraudación con el procedimiento de «phising», práctica delictiva cuyo término proviene del inglés «pescar», y que es la contracción de «password harvesting fishing» (cosecha y pesca de contraseñas), en la que se utiliza a unas personas llamadas «muleros», que son las que abren una cuenta corriente a la que se trasfieren los fondos y éstos a otra, o bien disponen de los mismos, cobrando por ello una comisión.

Más técnicamente, tal proceder defraudatorio ha sido descrito por la Agencia Española de Protección de Datos de la siguiente forma: «el objetivo de los ataques de phishing es la obtención de forma engañosa y fraudulenta de los códigos de usuarios y contraseñas de clientes de Banca Electrónica, al objeto de realizar transferencias no autorizadas. Su operatoria comienza con la adquisición en Internet de un paquete de herramientas, que incluyen programas informáticos e información necesaria para realizar los ataques. Esta información incluye listas de equipos comprometidos que pueden ser utilizados bien para mandar correos electrónicos, bien para alojar páginas web falsificadas. Incluyen además bases de datos de direcciones de correo electrónico. Una vez en posesión del paquete, se remiten los correos electrónicos con carácter indiscriminado (buscando contactar con clientes de la entidad financiera) informando de la necesidad de conectarse a una página web que parece pertenecer a la citada entidad y portar los códigos de acceso y contraseñas de clientes. Dicha página web se suele alojar en un equipo conectado a Internet cuya seguridad se haya [visto] comprometida», sin conocimiento de su usuario, y que se encuentra normalmente en un país distinto al de los destinatarios del ataque. De esta forma se constituye un fichero de datos personales con códigos de usuarios y contraseñas de clientes, recabados de forma engañosa y fraudulenta, el cual se ubica normalmente en el mismo «equipo remoto comprometido» en el que se aloja la página web falsificada. Con los datos obtenidos se realizan transferencias a cuentas de colaboradores situados en España los cuales a su vez retiran el dinero en efectivo y tras descontar una comisión realizan transferencias monetarias internacionales mediante entidades especializadas».

El nuevo análisis que lleva a cabo esta Sala del material probatorio obrante en actuaciones, y a partir de los citados datos probados cuya realidad no se cuestiona, conduce a sentar idénticas conclusiones a las de la resolución apelada. En efecto, y sin perjuicio de descartar ante la ausencia de toda prueba a tal fin cualquier atisbo de «mala fe en el proceder del demandante» en las operaciones fraudulentas que provocaron su empobrecimiento patrimonial (como temerariamente se llegaba a indicar en el recurso), hemos de afirmar que la demandada no atendió a la totalidad de las medidas de seguridad exigibles ante la verificación de las operaciones de cargo -y consiguiente desplazamiento de numerario- por parte de terceros desconocidos, resultando indiscutible como se ha dicho que aquéllas se llevaron a cabo a través de la técnica de la técnica del phising, antes descrita, que fue posible objetivamente pese a las que la apelante dice haber empleado, permitiendo dicho trasvase patrimonial a una cuenta «monedero» con sede en aquel país báltico; y, prácticamente de forma simultánea, cuatro reintegros en efectivo por el mismo importe.

La realización de tales operaciones, absolutamente inusuales en el actor, quien era cliente de la entidad desde el ya lejano año 2008, debió provocar la reacción de la entidad bancaria, a través de los instrumentos hábiles e idóneos a tal fin, al objeto de inhabilitar (bloquear) el uso de la tarjeta, lo que no se llevó a cabo; ni tampoco dio lugar a un aviso inmediato a ése su cliente de la realidad, entidad y cuantía de tales operaciones, a fin de que éste pudiera per se inutilizar ese medio de pago. En este sentido, no puede olvidarse que la transferencia es un servicio que forma parte del servicio de caja, medio de pago consistente en una orden que da el cliente al banco a fin de que, con cargo a su cuenta, abone un determinado importe a un beneficiario o al propio ordenante. Por tanto, es una ejecución de obligaciones contractuales, un mandato (Art. 254 Cº de C), cuya forma de emisión deberá constar en el contrato de cuenta corriente, y -en su caso- específicamente en el de servicios de banca electrónica. Por eso, indica la citada sentencia ( SAP de Alicante, Secc. 8ª, nº 107/2018), que «Tanto en banca telefónica como por Internet, el proveedor de servicios de pago, o lo que es lo mismo, el banco emisor, debe implementar las medidas necesarias para asegurar la autenticación e identidad del ordenante a la hora de prestar su consentimiento». En caso contrario, le corresponde a dicha entidad la devolución de lo ilícitamente obtenido de la cuenta del cliente ( Arts. 30 y 31 LSP, actualmente Arts. 36 y siguientes del R.D. ley 19/2018, de 23 de noviembre, transposición de la Directiva UE 2015/2366, del Parlamento y del Consejo de 25 de noviembre 2015, sobre Servicios de Pago).

No basta, pues, con medidas genéricas de protección o avisos estereotipados de cuidado, como los que indicaba la contestación a la demanda, sino que la seguridad de las operaciones bancarias precisa de soluciones tecnológicas avanzadas, a efectos de garantizar tanto la autenticidad como la integridad y confidencialidad de los datos. No son idóneos a tal fin los avisos genéricos de los bancos, a través de su web, que no suplen los deberes contractuales de las partes ni la implementación de medidas de seguridad eficaces. Tales avisos ostentarían la calificación de «formulas predispuestas», vacías de contenido. De esta manera, no son los clientes los que deben prevenir ni averiguar las modalidades de riesgos que el sistema conlleva, ni prevenir con su asesoramiento experto dichos riesgos. Así, es habitual la existencia de varios niveles de protección (código de usuario y contraseña, tarjeta de coordenadas y comunicaciones con el cliente) advirtiéndole de las operaciones a fin de que pueda tomar conocimiento inmediato y eficaz en caso de fraude.

Estas prevenciones se implementan en el citado R.D-Ley 19/2018, respecto a lo dispuesto en la ley 16/2009, de 13 de noviembre, como muestra el contenido de sus Arts. 41, 40.2 o 46.2.

Debe concluirse, en consecuencia, que constituye obligación esencial de las entidades prestadoras del servicio de banca «on line» el dotarse de medidas suficientes que garanticen al usuario la seguridad de las operaciones por lo que, en el supuesto de insuficiencia o mal funcionamiento de las adoptadas, deben ser las entidades bancarias las que asuman las consecuencias derivadas de los fallos de seguridad del sistema.

Así, en un aspecto meramente objetivo, la ausencia en el caso concreto de una autenticación reforzada de ese tipo de operaciones, ha de conducir a la afirmación de la obligación de devolver lo indebidamente extraído por terceros, que fue lo pedido en la demanda y lo concedido en sentencia. En otros términos, no ha acreditado la demandada la observancia de los deberes de diligencia que le eran exigibles en la autenticación de las operaciones de pago, pues ni prueba haber implementado un mecanismo «antiphising» de protección de los usuarios de los instrumentos de pago por ella emitidos frente al uso fraudulento por un tercero de páginas imitativas de las propias para hacerse con las credenciales del instrumento.

Se entiende que media un incumplimiento contractual del banco al ejecutar una orden de pago sin comprobar su legitimidad, es decir, que provenía efectivamente del titular (o autorizado) de la cuenta, al no disponer de un sistema adecuado de seguridad que previniera tal tipo de órdenes fraudulentas ni adoptar medidas concretas y específicas en el caso cuando toma conocimiento de una situación operativa anormal que debió, cuando menos de forma puntual y excepcional, a verificar cualquiera orden que se diera en relación a las cuentas de la ordenante.

Y en un plano subjetivo, también debe descartarse la negligencia grave que la apelante imputa al señor XXXXXX en su proceder pues, de modo muy diferente a como se postula en el recurso, las características del correo recibido bien pueden inducir a pensar a cualquier cliente normal en que era remitido por la entidad de que era cliente, dada la dirección electrónica del remitente (» DIRECCION000″, bien similar a la del contrato de octubre de 2015), haberse dirigido precisamente a una dirección propia del actor y requerírsele en un plazo perentorio («dos días») para rellenar en un modelo a obtener a través de un enlace datos y circunstancias personales, pero especialmente propias de la relación de un cliente con su entidad financiera. Así las cosas, el error ha de entenderse excusable en los términos en que es definido por la jurisprudencia, esto es, aquel en que puede incurrirse pese al empleo de una diligencia media o regular y, pese a ello, sufre un error que vicia su consentimiento, no imputable al interesado, en el sentido de causado por él -o personas de su círculo jurídico-, en sintonía con un elemental postulado de buena fe ( Arts. 7.1 y 1258 del Código Civil) a efectos de impedir que se proteja a quien no merece dicha protección por su conducta negligente ( SSTS, Sala 1ª, de 12 de julio de 2002; 24 de enero de 2003; 12 de noviembre y 12 de diciembre de 2004; 17 de febrero de 2005; y 17 de julio de 2006).

En definitiva, y como corolario de todo lo anterior, debe rechazarse las alegaciones contenidas en el recurso formulado y confirmarse el pronunciamiento de la resolución de primer grado.”

Por todo lo expuesto, se debe considerar responsable a la entidad bancaria demandada por la ausencia de los mecanismos de control y seguridad para evitar la utilización del mecanismo del phishing, respondiendo frente al actor de la cantidad defraudada.

TERCERO.- En cuanto a los intereses, conforme al Art.62 de la Ley de Servicios de Pago,serán los legales desde la fecha del cargo en cuenta.

CUARTO.- Estimada la demanda, procede imponer las costas a la entidad demandada.

FALLO

Debo ESTIMAR Y ESTIMO la demanda interpuesta por el Procurador de los Tribunales Don XXXXXXX, actuando en nombre y representación de Don XXXXXXX y Doña XXXXXXX contra la entidad Caja Rural de Jaén, Barcelona y Madrid S.C.C. Y CONDENO A LA DEMANDADA A ABONAR A LOS ACTORES LA CANTIDAD

DE 23.857,80 EUROS, más los intereses legales desde la fecha del cargo en cuenta.

Todo ello, con expresa condena en costas a la parte demandada.

Notifíquese esta resolución a las partes haciéndoles saber que contra la misma cabe interponer recurso de apelación en los términos establecidos en los artículos 455 y siguientes de la Ley de Enjuiciamiento Civil.

Así por esta mi Sentencia, de la que se llevará testimonio a las actuaciones y juzgando en primera instancia, la pronuncio, mando y firmo.