2.992 € recuperados por Phishing en Cajamar
Importe conseguido 2993.32€
Fecha 26/09/2024
Juzgado Juzgado de Primera Instancia e Instrucción nº1 de Molina de Segura
Compartimos un nuevo caso de éxito logrado por el equipo legal de Indemniza.me en la Región de Murcia, concretamente en los juzgados de Molina de Segura. En esta ocasión nuestro desempeño sirvió para ayudar a una persona que vivió un episodio de phishing en su cuenta bancaria operada por el Banco Cajamar.
La reclamación de cantidad que hacíamos era de 2.993,32 euros, importe sustraído de manera fraudulenta su cuenta.
Presentamos la demanda
El motivo que llevó a este consumidor a contactar con nuestros servicios guardaba relación con diez movimientos no autorizados que se produjeron en su cuenta bancaria y que Cajamar no accedía a reintegrar.
Estos diez movimientos, por valor de 2.933,40 euros, transferían su dinero desde una cuenta nacional a una internacional. Además, estos movimientos internacionales llevaban aparejados unos gastos de comisiones de 58,90 € euros.
Nuestro cliente defendía que ella siempre había actuado con responsabilidad y que nunca había facilitado sus datos personales a un tercero, ni había recibido correos electrónicos o llamadas sospechosas donde solicitaran sus claves bancarias. Por ello, cree que el responsable de este daño patrimonial es el banco, al interpretar que no ha actuado con la diligencia debida en la custodia del dinero.
Por su parte, Cajamar alega la falta de prueba de que las operaciones no hayan sido realizadas por el propio actor o alguien próximo a él, o que se trate de una actuación engañosa ajena al propio demandante. De igual modo, entienden que por el tipo de contrato del cliente, estas operaciones sólo se pueden llevar a cabo mediante un sistema de Firma móvil.
Logramos recuperar el dinero
Después de analizar la situación y conocer todos los detalles de la mano de nuestro cliente, presentamos una reclamación de cantidad a Cajamar al entender que nuestro cliente había vivido un episodio de phishing.
Nuestra experiencia en este tipo de procedimientos así como la jurisprudencia relativa a casos idénticos al de nuestro defendido nos hacía creer que la resolución sería favorable para nuestros intereses.
El 26 de septiembre de 2024 el juez condenó a «Cajamar Caja Rural S.C.C.» a devolver a nuestro cliente el importe sustraído por valor de 2.993,32 euros, más las costas y los intereses legales generados.
JDO.1A.INST.E INSTRUCCION N.1 MOLINA DE SEGURA
JVB JUICIO VERBAL 0001107 /2023
Procedimiento origen: / Sobre OTRAS MATERIAS
DEMANDANTE D/ña. XXXXXXXXXX
Procurador/a Sr/a. XXXXXXXXXX
Abogado/a Sr/a. IVAN METOLA RODRIGUEZ
DEMANDADO D/ña. CAJAMAR CAJA RURAL, SOC. COOP. DE CREDITO
Procurador/a Sr/a. XXXXXXXXXX
Abogado/a Sr/a.
SENTENCIA
En Molina de Segura, a veintiséis de septiembre del año dos mil veinticuatro.
D. XXXXXXXXXX, JUEZ de refuerzo del Partido Judicial de Molina de Segura, ha visto los presentes autos de Juicio Verbal núm. 1.107/23 seguidos ante este Juzgado, entre partes, de una como demandante D. XXXXXXXXXX representado por la procuradora D.ª XXXXXXXXXX y defendido por la letrada D. IVÁN METOLA RODRÍGUEZ y de otra como demandada CAJAMAR CAJA RURAL, S.C.C., (en adelante, “CAJAMAR”) representado por el procurador D. XXXXXXXXXX y defendida por el letrado D. XXXXXXXXXX, que versa sobre reclamación de cantidad.
ANTECEDENTES DE HECHO
PRIMERO: La procuradora Sra. XXXXXXXXXX, en nombre y representación de D. XXXXXXXXXX, presentó demanda de juicio verbal frente a Cajamar en la que, tras alegar los hechos y fundamentos de derecho que estimó de aplicación, terminó por suplicar que se dicte sentencia condenando al demandado a pagar al actor la suma de DOS MIL NOVECIENTOS OVENTA Y DOS EUROS CON TREINTA Y DOS CÉNTIMOS (2.992,32 €), más los intereses legales desde la fecha de s cargo, y todo ello con expresa condena de costas del procedimiento a la parte demandada.
SEGUNDO: Admitida a trámite la demanda, se acordó emplazar a la parte demandada para que en el plazo de diez días contestase la demanda formulada en su contra con los apercibimientos legales correspondientes.
TERCERO: Emplazado en legal forma la parte demandada, el procurador Sr. XXXXXXXXXX, en nombre y representación de Cajamar, presentó escrito oponiéndose a la demanda interpuesta y solicitando que se desestimase la demanda con expresa imposición de costas a la parte actora, quedando, a continuación, los autos vistos para sentencia al no haber solicitado la parte actora ni pertinente el Tribunal la celebración de vista.
CUARTO: En la tramitación de este procedimiento se han cumplido todas las formalidades legales.
FUNDAMENTOS DE DERECHO
PRIMERO: Planteamiento
Ejercita D. XXXXXXXXXX, en la presente litis, acción de responsabilidad por culpa contractual y extracontractual del artículo 1101, 1902 y 1903 del Código Civil y concordantes del Código Civil en relación con el artículo 41 y siguientes de Real Decreto-ley 19/2018 de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera contra la entidad Cajamar, aunque no lo manifiesta expresamente en su escrito de demanda pero así se desprende del relato de hechos que figura en la misma, solicitando se condene a la entidad crediticia demandada a que le reintegre la cantidad de 2.992,32 € derivados de 10 operaciones no autorizadas (2.933,40 €) de las que se percató el día 05 de marzo de 2022 y de las comisiones (58,92 €) por transferencias internacionales que llevaban aparejadas.
Alega, como fundamento de su pretensión, que nunca ha facilitado sus datos personales a un tercero, ni recibido mensajes, correos electrónicos o llamadas sospechosas solicitando sus claves bancarias ni accedido a ningún enlace fraudulento, por lo que no ha incurrido en falta de diligencia en la custodia del instrumento de pago; asimismo, sostiene que la demandada tenía que haber detectado el carácter fraudulento de las operaciones, pues se realizaron en establecimientos situados en el extranjero y la IP no podía coincidir con la habitual del cliente; respecto de la reclamación extrajudicial efectuada y su respuesta, señala que nunca recibió clave OPT para enrolar la tarjeta en la aplicación de pago móvil de su dispositivo, efectuando una nueva reclamación que fue desatendida; finalmente, señala que el banco no prueba la actuación negligente por parte del actor, debiendo responder, en consecuencia, de las operaciones no autorizadas.
Frente a dicha pretensión se alza la representación procesal de la entidad financiera demandada y lo hace alegando la falta de prueba de que las operaciones no hayan sido realizadas por el propio actor o alguien próximo o que se trate de una actuación engañosa ajena al propio demandante; asimismo, sostiene la ausencia de responsabilidad del banco conforme al art. 41 del Real Decreto-Ley 1972018, de 23 de noviembre, por entender que el cliente no ha tomado las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas, señalado que el cliente ha incurrido en negligencia grave, pues resulta imposible acceder a las claves personales o al terminal del demandante sin una actuación proactiva de su parte, señalando que el cliente tiene formalizado un contrato de oficina virtual y un sistema para la firma de las operaciones Firma móvil, empleando el número de teléfono XXXXXXXXXX, señalando que las operaciones referidas en la demanda se realizaron en comercio electrónico seguro con autenticación fuerte (OTP) o firma móvil, por lo que el titular, para aceptar las operaciones, introdujo datos adicionales a los que aparecen impresos en la tarjeta además de una clave de un solo uso que el titular de la tarjeta recibe mediante sms o, en su defecto, validó la operación desde la app de la entidad financiera mediante un PN o clave secreta, por lo que las operaciones reclamadas han sido efectuadas con utilización correcta de la clave única y temporal generada, que solo el titular de la tarjeta debe conocer; al propio tiempo, señala que Cajamar adopta medidas de seguridad ajustadas a la Directiva DSP2 y desarrolladas por el Reglamento 2018/389 de 27 de noviembre de 2017 para garantizar la seguridad de las operaciones; finalmente, señala que las transferencias reclamadas tienen su origen en compras realizadas en comercio en el extranjero utilizando la tarjeta de débito del actor – VISA ELECTRON – a través de la plataforma APPLE PAY con la tecnología “contacless” por lo que en caso de encontrarnos ante una situación ajena al demandante podemos presumir que estamos ante una situación conocida como ‘SIM swapping’, y toda vez que la operativa se realiza a través del proveedor de telefonía móvil de cada cliente, la responsabilidad de la entidad bancaria en estos casos no existe al ser completamente ajena a toda circunstancia relacionada con la tarjeta SIM del demandante, incluido su control y supervisión concluyendo con que el origen de las transferencias puede estar causado bien por una actitud negligente del demandante a la hora de custodiar sus claves personales, bien por una falta de diligencia de la compañía telefónica del demandante por facilitar duplicados de las tarjetas SIM a terceros que no son los auténticos titulares de las líneas móviles, sin aplicar las medidas de seguridad adecuadas.
SEGUNDO: Doctrina jurisprudencial. Normativa aplicable.
Sentados los términos de la litis, se estima oportuno, de cara a su resolución, acudir a la doctrina aplicable al caso que otras Audiencias han fijado en casos análogos al que se analiza, y que parte de una mayor exigencia a la entidad financiera, con mucho más medios de prevención y actuación, que imposibilite la comisión de fraudes informáticos por terceros, que la que puede ser exigida al mero consumidor, que sólo en casos excepcionales de graves negligencias deberá asumir las consecuencias del engaño sufrido.
SAP Valladolid, Sec. 1ª, de 23 de octubre de 2023:
«En el presente caso, nos encontramos ante la realidad de un fenómeno conocido como » phishing «, término informático referido a las técnicas que determinan revelación de información confidencial haciendo un click en un enlace a través del engaño a una persona, cliente o usuario de servicios de pago, ganando su confianza y suplantando su identidad ante un tercero, en este caso, la entidad bancaria (proveedor de los servicios de pago), lo que da lugar a que se lleven a cabo unas acciones que no fueron realmente autorizados por el cliente y que la entidad bancaria materializó de forma inmediata.
La sentencia de instancia, en su interpretación del art. 44.2º del RDL 19/2018 de servicios de pago, estima probado que no ha existido negligencia grave por parte de Dª XXXXX para justificar la responsabilidad de la entidad bancaria, a tenor de los hechos acreditados recogidos en la propia sentencia conforme a la prueba documental aportada en el siguiente sentido:
«el día 14 de mayo del 2021, la actora recibió un mensaje SMS en su móvil anunciándose el bloqueo de su tarjeta ,indicándole una enlace ( doc. nº 4), enlace a nombre del banco de Santander y aparece en la línea identificada como tal en el móvil. Ese mismo día 14 d 4mayo del 2021, a las 18,32 se llevó a cabo un cargo en su tarjeta de débito, por importe de 4.020 e. Y a las 18,35 horas, se llevó a cabo otro cargo de 400 € ( doc. nº 3 y 5). La actora comunicó a la entidad los hechos anteriores en los días siguientes que dieron lugar a la apertura de la correspondiente incidencia. El 21 de mayo se interpuso denuncia…».
Esta sala coincide con esta calificación de la conducta de la demandante para la obtención por un tercero de sus claves de acceso y su posterior utilización en el sistema de servicios de pagos on line, operación no autorizada, fraudulenta, la cual es notificada al proveedor sin demora, que se limitó a abrir un » incidente».
A partir de tales hechos, debe indicarse que corresponde al proveedor de tales servicios la carga de la prueba que el usuario de los mismos cometió fraude o negligencia grave y a tenor de los hechos ya expuestos, no puede calificarse de negligencia o culpa grave la actuación de la demandada al recibir el mensaje SMS de bloqueo de su tarjeta y hacer uso de un enlace a nombre del banco de Santander, especialmente cuando tampoco esta entidad llevó a cabo actividad alguna en el momento en que fue comunicada dichas operaciones para el bloque de la operación salvo la de abrir la referida incidencia.
Como se recoge en la SAP Valladolid, sección 3ª de 19 de octubre del 2022 en un supuesto en donde se llevaron 3 transferencias mediante órdenes giradas, consideraba, a tenor de la normativa aplicable, «que la entidad bancaria no había desplegado otra actuación que la advertencia del posible riesgo de captura de datos por terceros más información estereotipada que consta en página web, y en dicho supuesto, ay a tenor de la diligencia que es exigible a la entidad bancaria, que debe de aumentar las medidas de seguridad específicas ante este tipo de prácticas delictivas, consideró que no basta con medidas genéricas de protección o avisos estereotipados, sino que la seguridad de este tipo de operaciones bancarias precisa de soluciones tecnológicas avanzadas a los efectos de garantizar la autenticidad como la integridad y confidencialidad de datos .»
Dicha sentencia se apoya en la diligencia exigible a la entidad bancaria:
«…..En cuanto a la diligencia exigible a la entidad bancaria, que de manera incuestionable se beneficia de la extensión generalizada de este tipo de servicios de banca on line evitando los costes asociados a la atención de sus clientes en la red comercial mediante oficinas y personal, el art. 12 bis de la ley 34/02, de Servicios de la Sociedad de la información y de Comercio Electrónico obliga al proveedor de dichos servicios a realizar una información a sus clientes permanente, fácil, directa y gratuita sobre niveles de seguridad, restricción de correos no solicitados, y filtrado de servicios de Internet no deseados.
Tratándose, como es el caso, de un contrato de cuenta corriente, la doctrina interpretativa viene apreciando un deber de diligencia de la entidad depositaria y gerente del servicio de caja que se corresponde con la exigible a la de un «comerciante experto» y no la de un buen padre de familia.
En este sentido, cabe citar la STS de 12 de mayo de 2016, que declaró que «conforme a la naturaleza y función del contrato de cuenta corriente bancaria, el cercioramiento o comprobación de la veracidad de la firma del ordenante constituye un presupuesto de la diligencia profesional exigible a la entidad bancaria con relación a sus obligaciones esenciales de gestión y custodia de los fondos depositados por el titular de la cuenta, cuyo incumplimiento da lugar a la indemnización de daños y perjuicios, conforme a lo dispuesto en los artículos 1101 y 1106 del Código Civil«.
La realidad de prácticas delictivas como el referido «phising», hace exigible aumentar las medidas de seguridad específicas, como recuerda la SAP de Barcelona, 7 de marzo de 2013, pues el banco no puede ofrecer un sistema on line sin adoptar las medidas de seguridad necesarias, en el mismo sentido que hizo la ya citada sentencia de la Audiencia Provincial de Alicante, de 12 de marzo, aplicando los criterios que expresaba la STS de 18 de marzo de 2016, que imponía ponderar, en este tipo de supuestos, factores tales como la causa del evento dañoso, la concurrencia de un déficit de la seguridad que legítimamente cabía esperar y la facilidad probatoria correspondiente a cada una de las partes.
Como se afirma en dicha sentencia, no basta con medidas genéricas de protección o avisos estereotipados de cuidado, sino que «la seguridad de las operaciones bancarias precisa de soluciones tecnológicas avanzadas a los efectos de garantizar tanto la autenticidad como la integridad y confidencialidad de los datos», sin que se repute suficiente los avisos genéricos de los bancos, a través de su web, que ostentarían la calificación de «formulas predispuestas», vacías de contenido.»
Estos fundamentos son reiteradamente recogidos en otras sentencias de las Audiencias Provinciales, como la SAP Navarra, sección 3ª de 9 de marzo del 2023 , SAP Rioja de 17 de febrero del 2023, de Málaga, sección 5ª de 23 de mayo del 2023 o de Madrid, sección 10 de 13 de enero del 2023 ( que califica como responsabilidad cuasiobjetiva para la entidad financiera la prevista en la legislación ya expuesta salvo prueba de culpa grave del ordenante).
En conclusión, no ha probado la entidad demandada que, en este caso, la conducta D.ª XXXXXX, víctima de un fraude, pueda ser calificada de grave en la custodia y uso de sus claves de seguridad en el sistema de servicios de pago on line de su tarjeta de crédito, sistema de pago ofrece y pone a su servicio la entidad demandada, sin que tampoco se aprecie siquiera una concurrencia de culpa, como pretende el recurrente, ya que la ley únicamente exime de responsabilidad en supuestos de negligencia grave, fuera de los cuales, debe asumir la entidad recurrente, el reintegro de los importes dispuestos y no autorizados, en este caso, los 4.420 €, desestimándose el recurso de la entidad demandada.
b) No existe ningún incumplimiento contractual de la entidad demandada.
Dicho motivo debe igualmente ser desestimado, no estamos ante un supuesto de responsabilidad contractual sino de responsabilidad legal prevista en el RDL 19/2018 de servicios de pago, art. 43 y ss, que son los que se recogen en la sentencia impugna y de ahí nace la responsabilidad de la demandada no de un incumplimiento concreto de una obligación pactada.
Es por todo lo indicado, que el recurso de apelación interpuesto debe ser desestimado, confirmando la resolución recurrida».
SAP Barcelona, Sec. 1ª, del 7 de junio de 2023:
SEGUNDO. Responsabilidad en caso de operaciones de pago no autorizadas. Normativa aplicable.
La resolución del presente litigio debe llevarse a cabo con base en lo establecido en el Real Decreto Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera.
En cuanto resultan de aplicación al mismo, el art. 41 de dicho Decreto-Ley, relativo a las obligaciones del usuario de servicios de pago en relación con los instrumentos de pago y las credenciales de seguridad personalizadas, establece:
«El usuario de servicios de pago habilitado para utilizar un instrumento de pago:
a) utilizará el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago que deberán ser objetivas, no discriminatorias y proporcionadas y, en particular, en cuanto reciba un instrumento de pago, tomará todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas;
b) en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, lo notificará al proveedor de servicios de pago o a la entidad que este designe, sin demora indebida en cuanto tenga conocimiento de ello .»
El art. 42.2, sobre obligaciones del proveedor de Servicios de pago en relación con instrumentos de pago:
«2. El proveedor de servicios de pago soportará los riesgos derivados del envío de un instrumento de pago al usuario de servicios de pago o del envío de cualesquiera elementos de seguridad personalizados del mismo.»
El art. 43.1, relativo a la notificación y rectificación de operaciones de pago no autorizadas o ejecutadas incorrectamente:
«1. El usuario de servicios de pago obtendrá la rectificación por parte del proveedor de servicios de pago de una operación de pago no autorizada o ejecutada incorrectamente únicamente si el usuario de servicios de pago se lo comunica sin demora injustificada, en cuanto tenga conocimiento de cualquiera de dichas operaciones que sea objeto de reclamación, incluso las cubiertas por el artículo 60, y, en todo caso, dentro de un plazo máximo de trece meses contados desde la fecha del adeudo.
Los plazos para la notificación establecidos en el párrafo primero no se aplicarán cuando el proveedor de servicios de pago no le haya proporcionado ni puesto a su disposición la información sobre la operación de pago con arreglo a lo establecido en el título II.»
El art. 44.3, relativo a la prueba de la autenticación y ejecución de las operaciones de pago:
«3. Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave.»
El art. 45.1 y 2, sobre responsabilidad del proveedor de Servicios de pago en casos de operaciones de pago no autorizadas:
«1. Sin perjuicio del artículo 43 de este real decreto- ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada.
La fecha de valor del abono en la cuenta de pago del ordenante no será posterior a la fecha de adeudo del importe devuelto.
2. Si el proveedor de servicios de pago del ordenante no exige autenticación reforzada de cliente, el ordenante solo soportará las posibles consecuencias económicas en caso de haber actuado de forma fraudulenta. En el supuesto de que el beneficiario o el proveedor de servicios de pago del beneficiario no acepten la autenticación reforzada del cliente, deberán reembolsar el importe del perjuicio financiero causado al proveedor de servicios de pago del ordenante.»
Y, finalmente, el art. 46, relativo a la responsabilidad del ordenante en caso de operaciones de pago no autorizadas:
«1. No obstante lo dispuesto en el artículo 45, el ordenante podrá quedar obligado a soportar, hasta un máximo de 50 euros, las pérdidas derivadas de operaciones de pago no autorizadas resultantes de la utilización de un instrumento de pago extraviado, sustraído o apropiado indebidamente por un tercero, salvo que:
a) al ordenante no le resultara posible detectar la pérdida, la sustracción o la apropiación indebida de un instrumento de pago antes de un pago, salvo cuando el propio ordenante haya actuado fraudulentamente, o
b) la pérdida se debiera a la acción o inacción de empleados o de cualquier agente, sucursal o entidad de un proveedor de servicios de pago al que se hayan externalizado actividades.
El ordenante soportará todas las pérdidas derivadas de operaciones de pago no autorizadas si el ordenante ha incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41. En esos casos, no será de aplicación el importe máximo contemplado en el párrafo primero.
En todo caso, el ordenante quedará exento de toda responsabilidad en caso de sustracción, extravío o apropiación indebida de un instrumento de pago cuando las operaciones se hayan efectuado de forma no presencial utilizando únicamente los datos de pago impresos en el propio instrumento, siempre que no se haya producido fraude o negligencia grave por su parte en el cumplimiento de sus obligaciones de custodia del instrumento de pago y las credenciales de seguridad y haya notificado dicha circunstancia sin demora.
2. Si el proveedor de servicios de pago del ordenante no exige autenticación reforzada de cliente, el ordenante solo soportará las posibles consecuencias económicas en caso de haber actuado de forma fraudulenta. En el supuesto de que el beneficiario o el proveedor de servicios de pago del beneficiario no acepten la autenticación reforzada del cliente, deberán reembolsar el importe del perjuicio financiero causado al proveedor de servicios de pago del ordenante.
3. Salvo en caso de actuación fraudulenta, el ordenante no soportará consecuencia económica alguna por la utilización, con posterioridad a la notificación a que se refiere el artículo 41.b), de un instrumento de pago extraviado o sustraído.
4. Si el proveedor de servicios de pago no tiene disponibles medios adecuados para que pueda notificarse en todo momento el extravío o la sustracción de un instrumento de pago, según lo dispuesto en el artículo 42.1.c), el ordenante no será responsable de las consecuencias económicas que se deriven de la utilización de dicho instrumento de pago, salvo en caso de que haya actuado de manera fraudulenta.».
A los preceptos citados es importante añadir el art. 44.1 del reseñado Decreto-Ley que establece que cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago.
TERCERO: Valoración al caso concreto.
De la regulación legal antes transcrita resulta que, como regla general y sin perjuicio de la posibilidad de repetir contra el proveedor de servicios de iniciación de pagos, es el proveedor de servicios de pago el que responde de la restitución al ordenante del importe de las operaciones de pago no autorizadas.
Como excepción a esa regla general, se atribuye al ordenante esa responsabilidad cuando actúe de manera fraudulenta, o bien incumpla deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el art. 41, entre las que se incluyen la de tomar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas.
Correlativa a esa obligación es la norma sobre la carga de la prueba, establecida en el art. 44.1. y .3, según la cual es al proveedor de Servicios de pago a quien le incumbe demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada; y probar que el usuario del Servicio de pago cometió fraude (requerirá de la acreditación de hechos de los que pudiera llegar a inferirse que aquel actuó con engaño para beneficiarse de la operación de pago) o negligencia grave (requerirá de la acreditación de las circunstancias concurrentes en la operación de pago de las que quepa inferir que la misma pudo realizarse porque aquel obró con una significativa falta de diligencia al usar del instrumento de pago o al proteger sus credenciales), porque como ha señalado la jurisprudencia, la responsabilidad de aquél es una responsabilidad cuasi-objetiva.
En el caso de autos, la cuestión litigiosa se centra en determinar si el demandante, usuario del servicio de pago, cometió fraude o negligencia grave. El fraude aparece descartado, pues no hay prueba alguna al respecto; además el actor formuló denuncia por los cargos y parece improbable que hiciera los cargos, de acuerdo con su sistema de pagos, el mismo día 5 de marzo de 2022 en España y en Hungría, lo que se repitió el día 7 de marzo, es decir, este juzgador no cree probable que el actor estuviera el día 2 de marzo de 2022 efectuara cargos en “Cocina XXXXXX” y “Peluquería XXXXXX” y, nacto seguido, estuviera en Hungría efectuando compras en Debrecen.
En segundo lugar, la Entidad financiera demandada considera que si los cargos no fueron efectuados por el Sr. XXXXXXXXXX o alguien de su entorno, el demandado bien actuó de forma negligente, por lo que se exonera de responsabilidad, bien los cargos se efectuaron por la técnica conocida como ‘SIM swapping’, entendiendo que este caso debe de recaer la responsabilidad en la compañía telefónica.
Respecto de la negligencia del actor, como señala la reciente SAP de Pontevedra, 177/2023, de 23 de marzo: » En interpretación de directiva 2015/2366, la negligencia que hace responder al cliente es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional. Como parámetro del actuar negligente también cabrá acudir al art. 1.104 CC, que exige la diligencia asociada a la naturaleza de la obligación y a las circunstancias personales, de tiempo y lugar. Ello destacándose la complejidad y grado de perfección que presenta en la actualidad el método de » phishing » de difícil detección por persona de formación media, así como el deber de la proveedora, del servicio de dotarse de tecnología suficiente y adecuada con exigencia de medidas implantadoras activas, sin entenderse suficientes avisos generales o en página web de mero carácter informativo o divulgativo -por todas, SS. AP Pontevedra (Secc. 6ª) 21.12.21 y Madrid (20ª) 20.5.2022, en la línea de lo razonado en SS. AP Valencia (6ª) 13.6.2022,Granada (5ª) 20.6.2022 y Badajoz (3ª) 21.6.2022-.»
En el caso que nos ocupa, la parte demandada, como así le competía, no ha propuesto prueba alguna dirigida a acreditar la inexistencia del cargo fraudulento o que en la conducta del actor concurriera algún tipo de negligencia, lo que conlleva, per se, a la desestimación de la demandada; pero es más, ni siquiera acredita la entidad demandada si las operaciones se acreditaron por el cliente y realizaron en comercio electrónico seguro con autenticación fuerte (OTP) mediante una clave de un solo uso recibida por el titular de la tarjeta mediante SMS o fueron mediante firma móvil, validando la operación desde la APP mediante un PIN o clave secreta, aunque en último término parece decantarse por esta última opción entendiendo que se ha producido un “SIM swapping” haciendo desplazar la responsabilidad a la compañía telefónica. Sin embargo, como hemos visto, la legislación hace recaer en el proveedor de servicios de pago la responsabilidad de la restitución al ordenante del importe de las operaciones de pago no autorizadas, en este caso la entidad bancaria demandada, que no prestó un servicio seguro, no realizó actuación alguna en orden a averiguar el fraude, ni lo comunicó al Banco de España, ni devolvió las cantidades transferidas fraudulentamente, incumpliendo así tanto el contrato como las obligaciones establecidas en RD/Ley 19/2018 de 23 de noviembre de servicios de pago.
Los argumentos hasta el momento expuestos conducen a la estimación de la demanda.
CUARTO: Intereses. En materia de intereses es de aplicación el art. 1.100 del Código Civil en relación con el artículo 1.108 del mismo texto legal, desde la fecha de la reclamación extrajudicial -19 de septiembre de 2023- hasta la fecha de la presente sentencia, siendo de aplicación, en lo sucesivo y hasta el completo pago, el artículo 576 de la Ley de Enjuiciamiento Civil.
QUINTO: Costas. La estimación de la demanda conlleva, por aplicación de lo dispuesto en el artículo 394.1 de la Ley de Enjuiciamiento Civil, la imposición de costas a la parte demandada.
Vistos los artículos citados y demás de general y pertinente aplicación
FALLO
Estimar la demanda interpuesta por la procuradora D.ª XXXXXXXXXX en representación de D. XXXXXXXXXX contra CAJAMAR CAJA RURAL, S.C.C. representado por el procurador D. XXXXXXXXXX, y condenar a la parte demandada a abonar al actor la cantidad de DOS MIL NOVECIENTOS OVENTA Y DOS EUROS CON TREINTA Y DOS CÉNTIMOS (2.992,32 €), más intereses legales, todo con expresa condena en costas a la parte demandada.
Notifíquese la presente resolución a las partes haciéndoles saber que contra la misma no cabe recurso alguno.
Así por esta mi Sentencia, de la que se expedirá testimonio para su unión a los autos lo pronuncio, mando y firmo.