7.224 € recuperados por Phishing en Caja Rural

Importe conseguido 7224.25€

Fecha 18/11/2024

Juzgado Juzgado de Primera Instancia nº4 de Murcia

Presentamos un nuevo caso de éxito logrado por Indemniza.me en Murcia. En este proceso nuestra intervención fue clave para ayudar a una persona que había sufrido un caso de phishing en su cuenta bancaria gestionada por el banco Caja Rural. A raíz de este ciberataque perdió 7.224,25 euros, que conseguimos recuperar posteriormente en sede judicial.

Descripción de los hechos

Nuestro trabajo comenzó cuando este consumidor se puso en contacto con nuestro equipo legal. Durante la primera conversación, nos contó que había sido víctima de un fraude relacionado con el uso no autorizado de su tarjeta de crédito o cuenta bancaria y que el banco no le daba una solución. El responsable de este ataque obtuvo de manera ilegal las claves o códigos necesarios para realizar una serie de transacciones y consiguió sustraer de la cuenta bancaria de esta persona un total de 7.224,25 €.

La extracción del dinero se realizó mediante cuatro compras online sucesivas: tres pagos en Revolut (empresa de tecnología financiera y neobanco) por valor total de 7.000 euros y una última por una compra en Portmone Ltd Po. (un proveedor de pagos en teléfono móvil) por valor de 224,25 euros.

Los hechos se produjeron el 22 de octubre de 2021 y enseguida los puso en conocimiento del banco, a quién solicitó mediante los propios formularios del banco, la restitución de este importe. De igual modo, tres días después, el 25 de octubre de 2021 interpuso la correspondiente denuncia como víctima de fraude informático ante la Dirección General de Policía de Alcantarilla.

Conseguimos recuperar el dinero

El motivo que llevó a este consumidor a ponerse en contacto con nuestro equipo legal fue la respuesta negativa que recibió por parte de Caja Rural a la reclamación de cantidad presentada a título personal por los canales internos del banco. Después de cinco meses esperando una contestación, el banco rechazó su reclamación.

Iniciamos nuestro trabajo tras conocer en detalle todo lo sucedido y recopilar toda la documentación necesaria para defender los intereses de este consumidor. Nuestra amplia experiencia en este tipo de casos, así como la extensa jurisprudencia que hay a favor de los consumidores, nos hizo presentar inmediatamente una demanda contra el Banco Caja Rural reclamando la devolución del dinero.

La demanda fue aceptada y remitida al Banco Caja Rural, que defendió su posición, argumentando que el origen del fraude se debió a una negligencia por parte del afectado.

Finalmente, el 18 de noviembre de 2024, el juez falló a nuestro favor en el Juzgado de Primera Instancia número 4 de Murcia, condenando al Banco Caja Rural a devolver el dinero (7.224,25 euros) más los intereses legales de dicha cantidad y a asumir las costas del proceso.

SENTENCIA Núm. 361/24

En Murcia, a dieciocho de noviembre del año dos mil veinticuatro.

Vistos por su S.Sª, Dª XXXXXXXXX, MAGISTRADA-JUEZ del Juzgado de Primera Instancia número Cuatro de Murcia y su Partido los precedentes autos de Juicio Declarativo Ordinario nº 916/23 seguidos en este Juzgado a instancias de D. XXXXXXXXX representado por la procuradora Dª. XXXXXXXXX y defendido por el letrado D. IVÁN METOLA RODRÍGUEZ contra CAJA RURAL CENTRAL, SDAD. COOP. DE CRÉDITO (en adelante CRC) representada por el procurador D. XXXXXXXXX y defendida por el letrado D. XXXXXXXXX, que versa sobre reclamación de cantidad; y

ANTECEDENTES DE HECHO

PRIMERO: Por la procuradora Dª. XXXXXXXXX en nombre y representación de D. XXXXXXXXX se presentó demanda de juicio ordinario contra Caja Rural Central, Sdad. Coop. de Crédito que fue turnada a este Juzgado, en la cual solicitaba previa alegación de los hechos y fundamentos de derecho, que se dictara sentencia por la que estimando la demanda se condene a la demandada a abonar a mi representada el importe de 7.224,25 EUROS, junto con los intereses legales de dicha cantidad desde la fecha de su cargo en cuenta.

SEGUNDO: Admitida a trámite la demanda, se acordó emplazar a la parte demandada para que en el plazo de veinte días contestase la demanda formulada en su contra con los apercibimientos legales correspondientes.

TERCERO: Emplazado en legal forma la parte demandada, por el procurador D XXXXXXXXX en nombre y representación de Caja Rural Central, Sdad. Coop. de Crédito (en adelante CRC) SA se presentó escrito oponiéndose a la demanda interpuesta y solicitando que se desestimase la demanda, con expresa imposición de costas a la parte actora.

CUARTO: Se tuvo por contestada la demanda y se acordó citar a las partes para la celebración de la audiencia previa, siendo citadas las partes personadas en legal forma. El día señalado tuvo lugar la celebración de la citada audiencia previa, en la que las partes ratificaron sus respectivos escritos y dieron cumplimiento al resto de las previsiones legales y recibido el pleito a prueba, por la parte actora se propusieron las de: -documental por reproducida y más documental en la forma que obra en autos, y por la parte demandada se propuso: – documental por reproducida, -interrogatorio del actor, e – interrogatorio de testigo perito, admitiéndose las mismas en los términos que constan en el acta levantada, tras lo cual quedaron los autos vistos para sentencia.

QUINTO: En la tramitación de este procedimiento se han cumplido todas las formalidades legales.

FUNDAMENTOS DE DERECHO

PRIMERO: Planteamiento.

Ejercita D. XXXXXXXXX, en la presente litis, acción de responsabilidad por culpa contractual y extracontractual en base a lo establecido el artículo 41 y concordantes de Real Decreto-ley 19/2018 de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera así como en el Reglamento Delegado (UE) 2018/389 de la Comisión de 27 de noviembre de 2017 por el que se complementa la Directiva (UE) 2015/2366 contra la entidad Caja Rural Central, Sdad. Coop. de Crédito (en adelante CRC), solicitando se condene a la entidad crediticia demandada a que le reintegre la cantidad de 7.224,25 €.

Alega, con fundamento en su pretensión, que el día 22/10/2.021, sobre las 18.26 h aproximadamente recibió un SMS en su número de teléfono, aparentemente remitido por Caja Rural en el que se le comunicaba que a partir de ese día no se podría utilizar la tarjeta y tenía que activar un nuevo sistema de seguridad, instándole a hacerlo a través del enlace que se le facilitaba, precisando que el SMS fue recibido como el último de la misma cadena de mensajes provenientes de Ruralvía (banca móvil de Caja Rural), por lo que todo parecía indicar que el remitente era, efectivamente, la demandada; asimismo indica que el enlace facilitado en dicho SMS le redirigió a una plataforma web de idénticas características a la del Banco, plataforma en la cual se le requería para que introdujese las claves, lo que así realizó en la creencia de que trataba con su entidad bancaria de confianza, sin embargo no recibió SMS alguno solicitando autorización para las operaciones que se realizaron por terceras personas, simulando su consentimiento y que son: -Compra por importe de 3.000 euros en Revolut (empresa de tecnología financiera y neobanco) el 22/10/2021 a las 19.42 h; -Compra por importe de 3.000 euros en Revolut el 22/10/2021 a las 19.42h; -Compra por importe de 1.000 euros en Revolut el 22/10/2021 a las 19.44h y -Compra por importe de 224,25 euros en Portmone Ltd Po. (proveedor de pagos en teléfono móvil) el 22/10/2021 a las 20.09h, lo que arroja un total de 7.224,25 €; de igual modo expresa que el día 25 interpuso la correspondiente denuncia como víctima de fraude informático ante la DGP de Alcantarilla, quien levantó atestado con el nº 5068/21; al hilo de lo expuesto resalta que con esta conducta la entidad demandada contravino las obligaciones que pesan sobre ella, reguladas en el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, especialmente la recogida en su artículo 45; asimismo refiere que el día 25 de octubre de 2.021 el demandante procedió a formular reclamación a la entidad demandada a través de los formularios de reclamaciones por operaciones con tarjetas, solicitando el importe de cada cargo, precisando que CRC tardó cinco meses en responder rechazando la reclamación.

Continúa su exposición argumentando que el actor obró con toda la diligencia que era exigible sin que mediase fraude ni negligencia grave y sin embargo la entidad demandada no ha procedido a devolver al Sr. XXXXXXX el importe de las operaciones no autorizadas de manera inmediata y en todo caso a más tardar al final del día hábil siguiente a aquel en que se observasen o notificasen dichas operaciones, tal y como establecen los artículos 45 y 46 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera; de igual modo destaca que en este caso no hubo autorización por parte del demandante, y en este sentido el artículo 36 del referido RDL 19/2018 señala que las operaciones de pago se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución, y que, a falta de tal consentimiento, la operación de pago se considerará no autorizada, de acuerdo con el principio según el cual un consentimiento obtenido mediante engaño está afectado de nulidad radical, precisando que la entidad crediticia demandada posee instrumentos para garantizar la seguridad de los datos de sus clientes y en este sentido el artículo 40 del citado Real Decreto establece que el proveedor de servicios de pago puede bloquear el instrumento de pago por razones objetivamente justificadas relacionadas con la seguridad del instrumento de pago, la sospecha de una utilización no autorizada o fraudulenta del mismo o, en caso de que esté asociado a una línea de crédito, un aumento significativo del riesgo de que el ordenante pueda ser incapaz de hacer frente a su obligación de pago; por su parte el artículo 2 del Reglamento Delegado (UE) 2018/389 de la Comisión de 27 de noviembre de 2017 por el que se complementa la Directiva (UE) 2015/2366 en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros dispone expresamente que: “Los proveedores de servicios de pago dispondrán de mecanismos de supervisión de las operaciones que les permitan detectar operaciones de pago no autorizadas o fraudulentas […] Dichos mecanismos SE basarán en el análisis de las operaciones de pago teniendo en cuenta los elementos que caractericen al usuario de servicios de pago en el contexto de un uso normal de las credenciales de seguridad personalizadas” y el artículo 18 del citado Reglamento dispone que el Banco deberá realizar un análisis en tiempo real del riesgo de la operación, detallando los parámetros que identifican una operación de riesgo en su apartado “c”; asimismo artículo 5 del citado texto regula ciertos requisitos de seguridad en la autenticación reforzada de operaciones entre las que se incluyen: “a) que el ordenante sea informado del importe de la operación de pago y del beneficiario”, precisando que el Banco debía conocer que el teléfono/aplicación/ubicación desde los que se estaban solicitando las órdenes de pago no eran del actor, siendo además que la comunicación a su propio cliente del número de terminal telefónico desde el que se pretendía operar devenía exigible para que aquel pudiera conocer que era un tercero quien podría disponer de sus fondos y en tal caso el demandante nunca la habría autorizado. Al hilo de lo anterior subraya que el phishing constituye una modalidad específica de fraude informático que visualiza las deficiencias de seguridad del sistema informático de una entidad, siendo estas deficiencias de seguridad responsabilidad de quienes están al cargo de dicho sistema informático, sin que quepa trasladar al usuario un perfecto y actualizado conocimiento de los sucesivos métodos de fraude utilizados por expertos especializados en generar una apariencia de normalidad de las operaciones mediante las que consuman el engaño y consiguen, finalmente, sus datos; al propio tiempo indica que la entidad demandada no ha probado hasta la fecha la demandada cuáles son las medidas anti phishing implementadas en sus sistemas que no han permitido evitar un fraude como el de autos; finalmente destaca que existe un sistema de responsabilidad cuasi objetiva sobre la entidad financiera, que prevé que, en caso de disposiciones fraudulentas, el proveedor de servicios de pago deberá devolver de inmediato el importe de la operación no autorizada, quedando exento de esta obligación solo en el caso de que la operación no autorizada sea fruto de la actuación fraudulenta del cliente o por negligencia grave, siendo, además, el proveedor del servicio quien debe probar que la operación fue debidamente autenticada, cuando el usuario de los servicios lo niegue así como la existencia de actuación fraudulenta o gravemente negligente del cliente.

En base, pues, a los razonamientos expuestos, interesa que se condene a la entidad demandada a que abone los daños y perjuicios causados al Sr. XXXXXXX que ascienden a 7.224,25 € más los intereses legales desde que pe produjo el cargo no autorizado en cuenta, de conformidad con lo establecido en el artículo 62 de la Ley de Servicios de Pago.

Frente a dicha pretensión se alza la representación procesal de la entidad financiera alegando, en esencia, el relato de hechos de la demanda evidencia que el actor realizó una conducta imprudente facilitando sus datos sin cerciorarse de la veracidad del SMS enviado y a sabiendas de que la web de la entidad advierte que la Caja nunca se solicita dichos datos, ni se debe entrar en enlaces y así se deprende el informe emitido por Rural Servicios Informáticos (RSI) que presta sus servicios a CRC, que acredita que el sistema operativo para este supuesto concreto cumplió con todos los parámetros y medidas de seguridad, en donde constan los logs de las operaciones reclamadas por la cliente dónde consta que los mensajes enviados al teléfono móvil de cliente XXXXXXXXX de que es titular el demandante, han sido autorizados por el mismo mediante un SMS introduciendo las claves solicitadas; al hilo de lo anterior apunta que la conducta del Sr. XXXXXXX no se puede achacar a una falta de seguridad en la banca online de CRC (Rural Vía), sino a una negligencia grave por parte del usuario, que exime de responsabilidad a la entidad Caja Rural Central a tenor de las CONDICIONES GENERALES 7ª, letras G, H, I, J y 9ª letra G, del contrato de tarjeta de crédito aportado como documento 1 de la contestación a la demanda.

SEGUNDO: Doctrina jurisprudencial. Normativa aplicable Sentados los términos de la litis, se estima oportuno de cara a su resolución, acudir a la doctrina aplicable al caso que otras Audiencias han fijado en casos análogos al que se analiza, y que parte de una mayor exigencia a la entidad financiera, con mucho más medios de prevención y actuación, que imposibilite la comisión de fraudes informáticos por terceros, que la que puede ser exigida al mero consumidor, que sólo en casos excepcionales de graves negligencias deberá asumir las consecuencias del engaño sufrido.

SAP Valladolid, Sec. 1ª, de 23 de octubre de 2023:

«En el presente caso, nos encontramos ante la realidad de un fenómeno conocido como » phishing «, término informático referido a las técnicas que determinan revelación de información confidencial haciendo un click en un enlace a través del engaño a una persona, cliente o usuario de servicios de pago, ganando su confianza y suplantando su identidad ante un tercero, en este caso, la entidad bancaria (proveedor de los servicios de pago), lo que da lugar a que se lleven a cabo unas acciones que no fueron realmente autorizados por el cliente y que la entidad bancaria materializó de forma inmediata.

La sentencia de instancia, en su interpretación del art. 44.2º del RDL 19/2018 de servicios de pago, estima probado que no ha existido negligencia grave por parte de Dª Frida para justificar la responsabilidad de la entidad bancaria, a tenor de los hechos acreditados recogidos en la propia sentencia conforme a la prueba documental aportada en el siguiente sentido:

» el día 14 de mayo del 2021, la actora recibió un mensaje SMS en su móvil anunciándose el bloqueo de su tarjeta, indicándole una enlace ( doc. nº 4), enlace a nombre del banco de Santander y aparece en la línea identificada como tal en el móvil. Ese mismo día 14 d 4mayo del 2021, a las 18,32 se llevó a cabo un cargo en su tarjeta de débito, por importe de 4.020 e. Y a las 18,35 horas, se llevó a cabo otro cargo de 400 € ( doc. nº 3 y 5). La actora comunicó a la entidad los hechos anteriores en los días siguientes que dieron lugar a la apertura de la correspondiente incidencia. El 21 de mayo se interpuso denuncia…».

Esta sala coincide con esta calificación de la conducta de la demandante para la obtención por un tercero de sus claves de acceso y su posterior utilización en el sistema de servicios de pagos on line, operación no autorizada, fraudulenta, la cual es notificada al proveedor sin demora, que se limitó a abrir un » incidente».

A partir de tales hechos, debe indicarse que corresponde al proveedor de tales servicios la carga de la prueba que el usuario de los mismos cometió fraude o negligencia grave y atenor de los hechos ya expuestos, no puede calificarse de negligencia o culpa grave la actuación de la demandada al recibir el mensaje SMS de bloqueo de su tarjeta y hacer uso de un enlace a nombre del banco de Santander, especialmente cuando tampoco esta entidad llevó a cabo actividad alguna en el momento en que fue comunicada dichas operaciones para el bloque de la operación salvo la de abrir la referida incidencia.

Como se recoge en la SAP Valladolid, sección 3ª de 19 de octubre del 2022 en un supuesto en donde se llevaron 3 transferencias mediante órdenes giradas, consideraba, a tenor de la normativa aplicable, » que la entidad bancaria no había desplegado otra actuación que la advertencia del posible riesgo de captura de datos por terceros más información estereotipada que consta en página web, y en dicho supuesto, ay a tenor de la diligencia que es exigible a la entidad bancaria, que debe de aumentar las medidas de seguridad específicas ante este tipo de prácticas delictivas, consideró que no basta con medidas genéricas de protección o avisos
estereotipados, sino que la seguridad de este tipo de operaciones bancarias precisa de soluciones tecnológicas avanzadas a los efectos de garantizar la autenticidad como la integridad y confidencialidad de datos .»

Dicha sentencia se apoya en la diligencia exigible a la entidad bancaria:

«…..En cuanto a la diligencia exigible a la entidad bancaria, que de manera incuestionable se beneficia de la extensión generalizada de este tipo de servicios de banca online evitando los costes asociados a la atención de sus clientes en la red comercial mediante oficinas y personal, el art. 12 bis de la ley 34/02, de Servicios de la Sociedad de la información y de Comercio Electrónico obliga al proveedor de dichos servicios a realizar una información a sus clientes permanente, fácil, directa y gratuita sobre niveles de seguridad, restricción de correos no solicitados, y filtrado de servicios de Internet no deseados.

Tratándose, como es el caso, de un contrato de cuenta corriente, la doctrina interpretativa viene apreciando un deber de diligencia de la entidad depositaria y gerente del servicio de caja que se corresponde con la exigible a la de un «comerciante experto» y no la de un buen padre de familia.

En este sentido, cabe citar la STS de 12 de mayo de 2016 , que declaró que «conforme a la naturaleza y función del contrato de cuenta corriente bancaria, el cercioramiento o comprobación de la veracidad de la firma del ordenante constituye un presupuesto de la diligencia profesional exigible a la entidad bancaria con relación a sus obligaciones esenciales de gestión y custodia de los fondos depositados por el titular de la cuenta, cuyo incumplimiento da lugar a la indemnización de daños y perjuicios, conforme a lo dispuesto en los artículos 1101 y 1106 del Código Civil«.

La realidad de prácticas delictivas como el referido «phising «, hace exigible aumentar las medidas de seguridad específicas, como recuerda la SAP de Barcelona, 7 de marzo de 2013 , pues el banco no puede ofrecer un sistema on line sin adoptar las medidas de seguridad necesarias, en el mismo sentido que hizo la ya citada sentencia de la Audiencia Provincial de Alicante, de 12 de marzo, aplicando los criterios que expresaba la STS de 18 de marzo de 2016 , que imponía ponderar, en este tipo de supuestos, factores tales como la causa del evento dañoso, la concurrencia de un déficit de la seguridad que legítimamente cabía esperar y la facilidad probatoria correspondiente a cada una de las partes.

Como se afirma en dicha sentencia, no basta con medidas genéricas de protección o avisos estereotipados de cuidado, sino que «la seguridad de las operaciones bancarias precisa de soluciones tecnológicas avanzadas a los efectos de garantizar tanto la autenticidad como la integridad y confidencialidad de los datos», sin que se repute suficiente los avisos genéricos de los bancos, a través de su web, que ostentarían la calificación de » formulas predispuestas», vacías de contenido.»

Estos fundamentos son reiteradamente recogidos en otras sentencias de las Audiencias Provinciales, como la SAP Navarra, sección 3ª de 9 de marzo del 2023 , SAP Rioja de 17 de febrero del 2023, de Málaga, sección 5ª de 23 de mayo del 2023 o de Madrid, sección 10 de 13 de enero del 2023 ( que califica como responsabilidad cuasiobjetiva para la entidad financiera la prevista en la legislación ya expuesta salvo prueba de culpa grave del ordenante).

En conclusión, no ha probada la entidad demandada que, en este caso, la conducta Dª Frida, víctima de un fraude, pueda ser calificada de grave en la custodia y uso de sus claves de seguridad en el sistema de servicios de pago on line de su tarjeta de crédito, sistema de pago ofrece y pone a su servicio la entidad demandada, sin que tampoco se aprecie siquiera una concurrencia de culpa, como pretende el recurrente, ya que la ley únicamente exime de responsabilidad en supuestos de negligencia grave, fuera d ellos cuales, debe asumir la entidad recurrente, el reintegro de los importes dispuestos y no autorizados, en este caso, los 4.420 €, desestimándose el recurso de la entidad demandada.

b) No existe ningún incumplimiento contractual de la entidad demandada

Dicho motivo debe igualmente ser desestimado, no estamos ante un supuesto de responsabilidad contractual sino de responsabilidad legal prevista en el RDL 19/2018 de servicios de pago,art. 43 y ss , que son los que se recogen en la sentencia impugna y de ahí nace la responsabilidad de la demandada no de un incumplimiento concreto de una obligación pactada.

Es por todo lo indicado, que el recurso de apelación interpuesto, debe ser desestimado, confirmando la resolución recurrida».

SAP Barcelona, Sec. 1ª, del 7 de junio de 2023:

SEGUNDO. Responsabilidad en caso de operaciones de pago no autorizadas. Normativa aplicable.

La resolución del presente litigio debe llevarse a cabo con base en lo establecido en el Real Decreto Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera.

En cuanto resultan de aplicación al mismo, el art. 41 de dicho Decreto-Ley, relativo a las obligaciones del usuario de servicios de pago en relación con los instrumentos de pago y las credenciales de seguridad personalizadas, establece:

» El usuario de servicios de pago habilitado para utilizar un instrumento de pago:

a) utilizará el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago que deberán ser objetivas, no discriminatorias y proporcionadas y, en particular, en cuanto reciba un instrumento de pago, tomará todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas;

b) en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, lo notificará al proveedor de servicios de pago o a la entidad que este designe, sin demora indebida en cuanto tenga conocimiento de ello .»

El art. 42.2, sobre obligaciones del proveedor de Servicios de pago en relación con instrumentos de pago:

» 2. El proveedor de servicios de pago soportará los riesgos derivados del envío de un instrumento de pago al usuario de servicios de pago o del envío de cualesquiera elementos de seguridad personalizados del mismo.»

El art. 43.1, relativo a la notificación y rectificación de operaciones de pago no autorizadas o ejecutadas incorrectamente:

» 1. El usuario de servicios de pago obtendrá la rectificación por parte del proveedor de servicios de pago de una operación de pago no autorizada o ejecutada incorrectamente únicamente si el usuario de servicios de pago se lo comunica sin demora injustificada, en cuanto tenga conocimiento de cualquiera de dichas operaciones que sea objeto de reclamación, incluso las cubiertas por el artículo 60, y, en todo caso, dentro de un plazo máximo de trece meses contados desde la fecha del adeudo.

Los plazos para la notificación establecidos en el párrafo primero no se aplicarán cuando el proveedor de servicios de pago no le haya proporcionado ni puesto a su disposición la información sobre la operación de pago con arreglo a lo establecido en el título II.»

El art. 44.3, relativo a la prueba de la autenticación y ejecución de las operaciones de pago:

«3. Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave .»

El art. 45.1 y 2, sobre responsabilidad del proveedor de Servicios de pago en casos de operaciones de pago no autorizadas:

«1. Sin perjuicio del artículo 43 de este real decretoley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada.

La fecha de valor del abono en la cuenta de pago del ordenante no será posterior a la fecha de adeudo del importe devuelto.

2. Si el proveedor de servicios de pago del ordenante no exige autenticación reforzada de cliente, el ordenante solo soportará las posibles consecuencias económicas en caso de haber actuado de forma fraudulenta. En el supuesto de que el beneficiario o el proveedor de servicios de pago del beneficiario no acepten la autenticación reforzada del cliente, deberán reembolsar el importe del perjuicio financiero causado al proveedor de servicios de pago del ordenante.»

Y, finalmente, el art. 46, relativo a la responsabilidad del ordenante en caso de operaciones de pago no autorizadas:

«1. No obstante lo dispuesto en el artículo 45, el ordenante podrá quedar obligado a soportar, hasta un máximo de 50 euros, las pérdidas derivadas de operaciones de pago no autorizadas resultantes de la utilización de un instrumento de pago extraviado, sustraído o apropiado indebidamente por un tercero, salvo que:

a) al ordenante no le resultara posible detectar la pérdida, la sustracción o la apropiación indebida de un instrumento de pago antes de un pago, salvo cuando el propio ordenante haya actuado fraudulentamente, o

b) la pérdida se debiera a la acción o inacción de empleados o de cualquier agente, sucursal o entidad de un proveedor de servicios de pago al que se hayan externalizado actividades.

El ordenante soportará todas las pérdidas derivadas de operaciones de pago no autorizadas si el ordenante ha incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41. En esos casos, no será de aplicación el importe máximo contemplado en el párrafo primero.

En todo caso, el ordenante quedará exento de toda responsabilidad en caso de sustracción, extravío o apropiación indebida de un instrumento de pago cuando las operaciones se hayan efectuado de forma no presencial utilizando únicamente los datos de pago impresos en el propio instrumento, siempre que no se haya producido fraude o negligencia grave por su parte en el cumplimiento de sus obligaciones de custodia del instrumento de pago y las credenciales de seguridad y haya notificado dicha circunstancia sin demora.

2. Si el proveedor de servicios de pago del ordenante no exige autenticación reforzada de cliente, el ordenante solo soportará las posibles consecuencias económicas en caso de haber actuado de forma fraudulenta. En el supuesto de que el beneficiario o el proveedor de servicios de pago del beneficiario no acepten la autenticación reforzada del cliente, deberán reembolsar el importe del perjuicio financiero causado al proveedor de servicios de pago del ordenante.

3. Salvo en caso de actuación fraudulenta, el ordenante no soportará consecuencia económica alguna por la utilización, con posterioridad a la notificación a que se refiere el artículo 41.b), de un instrumento de pago extraviado o sustraído.

4. Si el proveedor de servicios de pago no tiene disponibles medios adecuados para que pueda notificarse en todo momento el extravío o la sustracción de un instrumento de pago, según lo dispuesto en el artículo 42.1.c), el ordenante no será responsable de las consecuencias económicas que se deriven de la utilización de dicho instrumento de pago, salvo en caso de que haya actuado de manera fraudulenta.».

TERCERO: Valoración al caso concreto

De la regulación legal antes transcrita resulta que, como regla general, y sin perjuicio de la posibilidad de repetir contra el proveedor de servicios de iniciación de pagos, es el proveedor de servicios de pago el que responde de la restitución al ordenante del importe de las operaciones de pago no autorizadas.

Como excepción a esa regla general, se atribuye al ordenante esa responsabilidad cuando actúe de manera fraudulenta, o bien incumpla deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el art. 41, entre las que se incluyen la de tomar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas.

Correlativa a esa obligación es la norma sobre la carga de la prueba, establecida en el art. 44.3, según la cual es al proveedor de Servicios de pago a quien le incumbe probar que el usuario del Servicio de pago cometió fraude o negligencia grave, porque como ha señalado la jurisprudencia, la responsabilidad de aquél es una responsabilidad cuasi objetiva.

En el caso de autos, la cuestión litigiosa se centra en determinar si el demandante, usuario del servicio de pago, cometió negligencia grave, toda vez que la existencia de fraude por su parte aparece totalmente descartada.

Al respecto la Entidad financiera demandada considera que el Sr. XXXXXXX incurrió en negligencia, dado que constató que el actor facilitó sus datos sin cerciorarse de la veracidad del SMS, esto es, de forma irresponsable siguió las instrucciones de un SMS y accedió a un enlace indebido, a pesar de que la web de la entidad advierte de que la Caja nunca solidita dichos datos ni se debe entrar a enlaces.

Sin embargo, la negligencia que se exige en el usuario para que quede neutralizada la responsabilidad del proveedor de pagos ha de ser grave, es decir, no resulta suficiente con que dejara de observar una diligencia extrema.

Como señala la reciente SAP de A Coruña, 86/2023, de 29 de marzo , » La negligencia grave supone una falta de la diligencia más elemental que consiste en no hacer lo que todos hacen.»

O, según la SAP de Pontevedra, 177/2023, de 23 de marzo: » En interpretación de directiva 2015/2366 , la negligencia que hace responder al cliente es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario , no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional. Como parámetro del actuar negligente también cabrá acudir al art. 1.104 CC , que exige la diligencia asociada a la naturaleza de la obligación y a las circunstancias personales, de tiempo y lugar. Ello destacándose la complejidad y grado de perfección que presenta en la actualidad el método de » phishing » de difícil detección por persona de formación media, así como el deber de la proveedora, del servicio de dotarse de tecnología suficiente y adecuada con exigencia de medidas implantadoras activas, sin entenderse suficientes avisos generales o en página web de mero carácter informativo o divulgativo -por todas, SS. AP Pontevedra (Secc. 6ª) 21.12.21 y Madrid (20ª) 20.5.2022 , en la línea de lo razonado en SS. AP Valencia (6ª) 13.6.2022 ,Granada (5ª) 20.6.2022 y Badajoz (3ª) 21.6.2022 -.»

Pues bien, en el caso que nos ocupas el actor fue víctima de un engaño, perpetrado con evidente pericia por el delincuente, y tampoco aquí observó el usuario una conducta que pudiera calificarse como de gravemente negligente.

El demandante recibió un SMS a su número de teléfono en el que se le comunicaba que a partir de ese día no se podría utilizar la tarjeta y tenía que activar un nuevo sistema de seguridad, instándole a realizarlo a través del enlace que se le facilitaba, y dicho enlace le redirigió a una plataforma web, en la cual se le requirió para que introdujera las claves, lo que así efectuó, facilitando los datos y/o claves que le solicitaron, sin que el hecho de que no sospechara que el enlace no pertenecía Caja Rural, adoptando las medidas de verificación adecuadas, implique que actuase con negligencia grave y ese mismo día, el 22/10/2021 efectuaron 4 cargos fraudulentos en su tarjeta por importe de 7.224,25 €

Del relato fáctico anterior, que no se discute, no puede calificarse la actuación del demandante de negligencia o culpa grave al recibir el mensaje SMS de aviso de que la tarjeta de forma inminente no podía ser utilizada, remitido al parecer por Caja Rural y, propio tiempo, le facilita un enlace, en el que activar un nuevo sistema de seguridad, que le redirige a una plataforma web de idénticas características a las de la entidad demandada. Las consecuencias dañosas de la actuación del actor no puede afirmarse que estén el alcance de ser previstas por una persona media ni menos aún puede ser conceptuada como de negligencia grave, debiendo ser la entidad bancaria la que aumente las medidas de seguridad específicas ante este tipo de prácticas delictivas, cada vez más generalizadas.

Los argumentos hasta el momento expuestos conducen a la estimación de la demanda y a la condena de Caja Rural Central, Sdad. Coop. de Crédito a que abone al demandante la cantidad de 7.224,25 €.

CUARTO: En cuanto a los intereses, es objeto de aplicación el artículo 1100 y 1108 del Código Civil en relación con el artículo 62 de la Ley de Servicios de Pago y y se devengarán desde la fecha en la que se produjo el cargo no autorizado (22/10/22) hasta el completo pago de la deuda.

QUINTO: La estimación la demanda conlleva, por aplicación de lo dispuesto en el artículo 394.1 de la Ley de Enjuiciamiento Civil, la condena en costas a parte demandada.

Vistos los preceptos legales citados, los invocados por la parte actora y demás de pertinente aplicación al caso de autos.

FALLO

Que estimando la demanda presentada por la procuradora Dª. XXXXXXXXX en nombre y representación de D. XXXXXXXXX contra CAJA RURAL CENTRAL, SDAD. COOP. DE CRÉDITO (en adelante CRC) representada por el procurador D. XXXXXXXXX debo condenar al parte demandada a que abone a la parte actora, la cantidad de SIETE MIL DOSCIENTOS VEINTICUATRO EUROS CON VEINTICINCO CÉNTIMOS (7.224,25 €), más los intereses legales de dicha cantidad desde la fecha en la que se produjo el cargo no autorizado hasta el completo pago de la deuda, así como las costas causadas en esta instancia.

Esta sentencia no es firme, y contra la misma cabe recurso de apelación que deberá ser interpuesto en el plazo de veinte días desde la notificación de la presente resolución, a través de escrito presentado en este Juzgado, en la forma prevista en el artículo 458 de la Ley de Enjuiciamiento Civil, para su conocimiento y fallo por la Audiencia Provincial de Murcia.
Para la interposición de dicho recurso es necesario la constitución de depósito por importe de 50 € en la cuenta de depósitos y consignaciones del Juzgado (3087-0000-04-916/23) de acuerdo con lo establecido en la disposición adicional decimoquinta de la LOPJ, lo que deberá ser acreditado a la presentación del recurso

Así por esta mi Sentencia, de la que se expedirá testimonio para su unión a los autos lo pronuncio, mando y firmo.

PUBLICACIÓN: En la misma fecha fue leída y publicada la anterior resolución por la Ilma. Sra. Magistrada que la dictó, celebrando Audiencia Pública. Doy fe.

DILIGENCIA: Seguidamente se procede a cumplimentar la notificación de la anterior resolución. Doy fe.

¡Cuando quieras!

En indemniza.me somos especialistas en conseguir indemnizaciones para nuestros clientes. Nuestra experiencia nos avala. Logramos miles de indemnizaciones cada año para nuestros clientes.