2.000 € recuperados por Phishing en Ibercaja
Importe conseguido 2000€
Fecha 15/11/2024
Juzgado Juzgado de Primera Instancia nº7 de Zaragoza
Compartimos un nuevo caso de éxito conseguido por Indemniza.me en Zaragoza. En este procedimiento judicial ejercimos la defensa legal de un cliente que sufrió un episodio de phishing en su cuenta bancaria asociada a Ibercaja.
La causa del litigio entre este consumidor y la entidad bancaria tiene su origen el 27 de octubre de 2022. Ese día nuestro cliente recibió una comunicación mediante SMS aparentemente remitida Ibercaja en la que se le alertaba del inicio de sesión en su banca digital desde un nuevo dispositivo y se le instaba a acceder a un enlace web.
Momentos después recibió una llamada cuyo interlocutor se identificó como empleado de la entidad bancaria e informó de que se estaba intentando realizar una transferencia aparentemente fraudulenta en su cuenta por importe de 2.000 euros indicándole que para cancelar la misma necesitaba que le facilitara el código contenido en un SMS que iba a recibir a continuación en su teléfono móvil, accediendo el demandante a los solicitado.
Al día siguiente nuestro cliente acudió a una sucursal de Ibercaja para informarse sobre lo sucedido y le notificaron que había sido víctima de una estafa y que se habían detraído de su cuenta 2.000 euros.
Ayudamos a esta persona a recuperar 2.000 euros
Al solicitar al banco la marcha atrás de estas operaciones y la restitución de los 2.000 euros en su cuenta bancaria, la entidad le informó de que no iba a ser posible.
Después de conocer la postura del banco, se puso en contacto con nosotros para que le ayudásemos a recuperar el dinero perdido. Tras recopilar todos los documentos pertinentes y conocer la versión de los hechos de nuestro cliente, vimos muy clara la opción de reclamar al banco esta cantidad apoyándonos en la Ley para la Defensa de los Consumidores y Usuarios, otras leyes complementarias y la amplia jurisprudencia existente al respecto.
Con lo cual, demandamos a Ibercaja solicitando los 2.000 euros en cuestión.
El 15 de noviembre de 2024 se celebró el juicio en el Juzgado de Primera Instancia nº7 de Zaragoza. Ibercaja no se presentó al mismo y fue declarado en situación de rebeldía procesal, así que no ejerció su posibilidad de defenderse de dicha acusación.
Después de repasar toda la documentación asociada a la demanda, el juez la estimó y condenó a Ibercaja a devolver a nuestro cliente la suma de 2.000 euros más los intereses legales de dicha cantidad desde la fecha de su cargo en cuenta.
De igual manera, Ibercaja fue condenada a pagar las costas originadas en este procedimiento.
Con este desenlace conseguimos que nuestro cliente recuperase el dinero que le habían extraído fraudulentamente de su cuenta bancaria.
S E N T E N C I A nº 000641/2024
En Zaragoza, a 15 de noviembre de 2024.
Vistos por la Ilma. Sra. Dña. XXXXXXXXX, Magistrado-Juez del Juzgado de Primera Instancia número SIETE de Zaragoza, los presentes autos de juicio verbal, a instancia de XXXXXXXXX, representado por el/la Procurador/a D/ña. XXXXXXXXX y asistido por el Letrado/a D/Dña. Iván Metola Rodríguez, contra IBERCAJA BANCO S.A., en rebeldía,
ANTECEDENTES DE HECHO
Primero.- Por el/la Procurador/a D/ña. XXXXXXXXX en representación de la parte demandante, se presentó demanda de juicio verbal que correspondió a este Juzgado. Tras aducir los fundamentos que entiende aplicables al caso en apoyo de su pretensión, termina suplicando se dicte Sentencia en la que se estime íntegramente la demanda formulada.
Segundo.- La demanda fue admitida por Decreto dictado por este Juzgado. La parte demandada no compareció en plazo siendo declarada en situación de rebeldía por Diligencia de Ordenación de 2-9-2024. No se ha interesado la celebración de vista, acordándose en tal sentido y quedando las actuaciones vistas para Sentencia el 6-11-2024.
Tercero.- En la tramitación del presente procedimiento se han observado las prescripciones legales.
FUNDAMENTOS DE DERECHO
Primero.- La parte actora formula demanda alegando los siguientes hechos como fundamento de su pretensión: el actor es cliente de la demandada en virtud de contrato de cuenta con código IBAN ESXXXXXXXXX. El 27 de octubre de 2022 el actor recibió una comunicación mediante SMS aparentemente remitida por su entidad bancaria en la que se le alertaba del inicio de sesión en su banca digital desde un nuevo dispositivo y se le instaba a acceder a un enlace web. Momentos después recibió una llamada cuyo interlocutor se identificó como empleado de la entidad bancaria e informó de que se estaba intentando realizar una transferencia aparentemente fraudulenta en su cuenta por importe de 2.000 euros indicándole que para cancelar la misma necesitaba que el actor le facilitara el código contenido en un SMS que iba a recibir en su teléfono móvil, accediendo el demandante a los solicitado. Acudió a una sucursal de Ibercaja al día siguiente siendo informado entonces de que había sido víctima de una estafa y de que se habían detraído de su cuenta 2.000 euros.
Como consecuencia de lo anterior, solicita la parte demandante se dicte Sentencia al amparo de lo dispuesto en el artículo 147-148 del Texto Refundido de la Ley para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, aprobado por el Real Decreto Legislativo 1/2007, de 16 de noviembre, Real Decreto-Ley 19/2018 de 23 de noviembre de servicios de pago y otras medidas urgentes en materia financiera, Reglamento Delegado (UE) 2018/389 de la Comisión de 27 de noviembre de 2017 por el que se complementa la Directiva (UE) 2015/2366, y normas concordantes, por la que se condene a la demandada a pagar al actor 2000€ mas los intereses legales de dicha cantidad desde la fecha de su cargo en cuenta y costas.
Por la parte demandada fue declarada en situación de rebeldía procesal por medio de Diligencia de ordenación de 2-9-2024.
Segundo.- Respecto de la naturaleza de la relación contractual que une a las partes, contrato de cuenta corriente, la Sentencia de la Audiencia Provincial de Zaragoza, Sección Quinta, de 1-7-2022 recoge lo siguiente: “Contrato reiteradamente estudiado por la doctrina y jurisprudencia. En él destaca sobre todo el denominado «Servicio de Caja» y que se puede encuadrar en nuestro ordenamiento jurídico dentro del marco general de la «comisión mercantil»(art 254 C.Comercio) y, por el cual el banco, en cuanto mandatario, ejecuta las instrucciones del cliente (abonos, cargos…) y, como contraprestación, recibe unas determinadas comisiones, asumiendo la responsabilidad propia de un comisionista. De esta manera, hay que destacar que la «cuenta corriente bancaria» cada vez va recabando mayor autonomía respecto al contrato de depósito, que le servía de base. De tal manera que la «Cta.Cte.» sólo actúa como soporte contable, expresando una disponibilidad de fondos contra el banco que los retiene y que encuentra su causa tanto en operaciones de activo como de pasivo. Su autonomía la decide al salir del círculo «bancocuentacorrentista», para realizarse mediante operaciones de caja, a través de las cuales se efectúan transferencias y pagos a terceros.
Por ello, de tal relación se derivan deberes de rendición de cuentas, de información (arts 263 C.com y 1720 C.c , ley 26/88, de 29 -julio de Ordenación bancaria e intervención de las entidades de crédito) y el de actuar conforme a las instrucciones recibidas. Y, en tal caso, con la diligencia «quam in suis» (art 255 C.com) pues se responde por culpa, cuyo rigor será medido por el parámetro de que se trate o no de un mandato retribuido (art 1726 C.c .).
Existe un deber de diligencia de la entidad depositaria y gerente del servicio de caja y el de una información precisa y detallada, pues la exigible es la de un «comerciante experto» y no la de un buen padre de familia. En este sentido, Ss. A.P. Zaragoza, secc 5ª, de 29-6-2007, 17-5-2010 , La Coruña, Secc 3º, 13-1- 2006 y del T. S. 24-3-2006 .”
No existiendo duda sobre la condición de consumidor de la actora, la regulación de la contratación electrónica se halla contemplada en los arts 147 y 148 del R.D. leg. 1/07 de 16 de noviembre de defensa de consumidores y usuarios Ley de Condiciones Generales de la Contratación 7/9, R.D. 1206/99, de 17-febrero, Ley 34/02, de 11 julio de Servicios de la Sociedad de la Información (arts 27 y 28, 12 bis), Ley 7/96, de 15 de enero de Ordenamiento del Comercio Minorista (art. 46) y Ley 22/07 de 11 julio de Comercialización a Distancia de Servicios Financieros destinados a Consumidores (art. 12), así como la Ley 16/09, de 13 de noviembre, de Servicios de Pago.
El Art 31 de la Ley de Servicios de Pago establece que «en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante le devolverá de inmediato el importe de la operación no autorizada y, en su caso, restablecerá la cuenta de pago en que haya adeudado dicho importe al estado que habría existido de no haberse efectuado la operación de pago no autorizada».
Por tanto, salvo actuación fraudulenta, incumplimiento deliberado o negligencia grave del ordenante (art 32), la responsabilidad será del proveedor del servicio de pago, lo que supone que a él le corresponde la carga de la prueba de que la orden de pago no se vio afectada por un fallo técnico o cualquier otra deficiencia (art 30).
Recoge la Sentencia de la Audiencia Provincial de Zaragoza de 1-7-2022: “Así llegamos a los objetivos previstos en la Directiva 2007/64/CE , transpuesta por la ley 16/09, de 13 -noviembre, de Servicios de Pago. Y cuya finalidad es el reforzamiento y protección de los usuarios de los servicios de pago, facilitando la aplicación operativa de los instrumentos de la zona única de pagos en euros (SEPA «Single Euro Payments Area»).
Por ello, el Art 31 de dicha ley es tan contundente, siguiendo la estela de la legislación que le precedió.
Es decir, salvo una tardanza injustificada del usuario de los servicios en comunicar la irregularidad, » en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante le devolverá de inmediato el importe de la operación no autorizada y, en su caso, restablecerá la cuenta de pago en que haya adeudado dicho importe al estado que habría existido de no haberse efectuado la operación de pago no autorizada».
Por ello, salvo actuación fraudulenta, incumplimiento deliberado o negligencia grave del ordenante (art 32), la responsabilidad será del proveedor del servicio de pago, lo que supone que a él le corresponde la carga de la prueba de que la orden de pago » no se vio afectada por un fallo técnico o cualquier otra deficiencia» (art 30).
(…) En definitiva, como recuerda la S.A.P. Barcelona, secc.14 , 151/2013, de 7 de marzo, el banco no puede ofrecer un sistema on line sin adoptar las medidas de seguridad necesarias, ya que es la entidad la que ofrece ese servicio con conocimiento de los riesgos que comporta.”
Dadas las circunstancias expuestas en el presente caso y a la vista de la actuación de las partes, es de aplicación lo recogido en la mencionada Sentencia de 1-7-2022: “En definitiva, como recuerda la S.A.P. Barcelona, secc.14 , 151/2013, de 7 de marzo , el banco no puede ofrecer un sistema on line sin adoptar las medidas de seguridad necesarias, ya que es la entidad la que ofrece ese servicio con conocimiento de los riesgos que comporta.
De acuerdo con la Agencia Española de Protección de Datos (Resolución del Expediente Nº : NUM000, DE 24 DE MAYO DE 2006): «el objetivo de los ataques de «phishing» es la obtención de forma engañosa y fraudulenta de los códigos de usuarios y contraseñas de clientes de Banca Electrónica, al objeto de realizar transferencias no autorizadas…Su operatoria comienza con la adquisición en internet de un «paquete de herramientas», que incluyen programas informáticos e información necesaria para realizar los ataques. Esta información incluye «listas de equipos comprometidos» que pueden ser utilizados bien para mandar correos electrónicos, bien para alojar páginas web falsificadas.
Incluyen además «bases de datos de direcciones de correo electrónico». Una vez en posesión del paquete, se remiten los correos electrónicos con carácter indiscriminado (buscando contactar con clientes de la entidad financiera) informando de la necesidad de conectarse a una página web que parece pertenecer a la citada entidad y portar los códigos de acceso y contraseñas de clientes. Dicha página web se suele alojar en un equipo conectado a Internet cuya seguridad se haya [visto] comprometida», sin conocimiento de su usuario, y que se encuentra normalmente en un país distinto al de los destinatarios del ataque. De esta forma se constituye un «fichero de datos personales con códigos de usuarios y contraseñas de clientes» recabados de forma engañosa y fraudulenta, que se ubica normalmente en el mismo «equipo remoto comprometido» en el que se aloja la página web falsificada. Con los datos obtenidos se realizan transferencias a cuentas de colaboradores situados en España los cuales a su vez retiran el dinero en efectivo y tras descontar una comisión realizan transferencias monetarias internacionales mediante entidades especializadas».
OCTAVO.- Por eso la S.A.P. Alicante, secc.8ª 107/2018, de 12 de marzo hace especial hincapié en las medidas de seguridad que ha de adoptar la entidad oferente de la banca on line.
Parte del R.D. legislativo 1/2007 en su art. 147 (responsabilidad de los prestadores de servicios, salvo prueba de cumplimiento de exigencias reglamentarias y demás cuidados que exige la naturaleza del servicio). Precepto interpretado por la S.T.S. 185/2016, de 18 de marzo que llama a ponderar la causa del evento dañoso, si había o no un déficit de la seguridad que legítimamente cabía esperar y la facilidad probatoria correspondiente a cada una de las partes ( art. 217.7 LEC )
Se trata, pues, de una responsabilidad cuasi-objetiva del proveedor de los servicios de pago.
NOVENO.- La transferencia es un servicio que forma parte del servicio de caja, es un medio de pago consistente en una orden dada al banco por el cliente a fin de que, con cargo a su cuenta abone un determinado importe a un beneficiario o al propio ordenante. Por tanto, es una ejecución de obligaciones contractuales, un mandato (art. 254 C.co), cuya forma de emisión deberá constar en el contrato de cuenta corriente, y -en su caso específicamente en el de servicios de banca electrónica.
Por eso, reitera la citada sentencia (S.A.P. Alicante, Secc. 8ª 107/2018 ), «Tanto en banca telefónica como por internet, el proveedor de servicios de pago, o lo que es lo mismo, el banco emisor, debe implementar las medidas necesarias para asegurar la autenticación e identidad del ordenante a la hora de prestar su consentimiento»
En caso contrario, le corresponde a dicha entidad la devolución de lo ilícitamente obtenido de la cuenta del cliente (arts. 30 y 31 LSP, actualmente Arts. 36 y siguientes del R.D. ley 19/2018, de 23 de noviembre , trasposición de la Directiva UE 2015/2366 , del Parlamento y del Consejo de 25 de noviembre 2015 sobre servicios de pago).
No basta, pues, con medidas genéricas de protección o avisos estereotipados de cuidado, sino que -sigue razonando la SAP Alicante 8ª, 107/2018- la seguridad de las operaciones bancarias precisa de soluciones tecnológicas avanzadas a los efectos de garantizar tanto la autenticidad como la integridad y confidencialidad de los datos.
Considera que los avisos genéricos de los bancos, a través de su web, no suplen los deberes contractuales de las partes, ni la implementación de medidas de seguridad eficaces. Tales avisos ostentarían la calificación de «formulas predispuestas», vacías de contenido.
No son los clientes los que deben prevenir ni averiguar las modalidades de riesgos que el sistema conlleva, ni prevenir con su asesoramiento experto dichos riesgos. No se puede objetar al usuario que debía conocer aspectos técnicos tales como identificar una web falsa (salvo supuestos de evidente falsedad) u otros fallos técnicos.
Así, es habitual la existencia de varios niveles de protección (código de usuario y contraseña, tarjera de coordenadas y comunicaciones con el cliente) advirtiéndole de las operaciones a fin de que pueda tomar conocimiento inmediato y eficaz en caso de fraude.
DÉCIMO.- Estas prevenciones se implementan en el citado R.D.-ley 19/2018, respecto a lo dispuesto en la ley 16/2009, de 13 de noviembre.
Así, frente a las obligaciones del usuario de tomar medidas razonables de protección de sus credenciales de seguridad personalizadas (art. 41), el proveedor de los servicios de pago podrá reservarse el derecho a bloquear el instrumento de pago por razones objetivamente justificadas, cuando haya sospecha de una utilización no autorizada (Art. 40.2).
De tal manera que «si el proveedor de servicios de pago del ordenante no exige autentificación reforzada del cliente, el ordenante solo soportará las posibles consecuencias económicas en caso de haber actuado de forma fraudulenta» (art.46.2). “En el presente caso, valorando el conjunto de la prueba aportada al procedimiento, habiendo sido declarada en rebeldía la parte demandada por no haber comparecido en plazo en el procedimiento, la condición y el comportamiento de la parte actora hay que concluir que la entidad demandada carecía de medidas de seguridad suficientes lo que conlleva la obligación de la entidad de devolver lo indebidamente obtenido por terceros así como la cantidad reclamada en concepto de perjuicios sufrido por la demandante como consecuencia de lo anterior, con la consiguiente estimación de la demanda formulada en el presente caso.
Tercero.- Habiendo sido estimada la demanda, las costas procesales causadas en el presente procedimiento resultan de imposición a la parte demandada, de acuerdo con lo que dispone el art. 394.1 de la LEC.
Vistos los artículos citados, sus concordantes, y demás de general y pertinente aplicación,
FALLO
Que, estimando la demanda interpuesta por la representación procesal de XXXXXXXXX contra IBERCAJA BANCO S.A, se condena a la demandada a pagar a la parte actora la suma de 2000€ mas los intereses legales de dicha cantidad desde la fecha de su cargo en cuenta.
Todo ello con imposición de las costas causadas en este procedimiento a la parte demandada.
Notifíquese la presente resolución a las partes, haciéndoles saber que contra la misma no cabe recurso de APELACIÓN de conformidad con el art. 455.1 de la LEC al no superar la cuantía del procedimiento los 3000 euros.
Llévese el original al Libro de Sentencias y expídase testimonio de la misma para incorporarlo a las actuaciones.
Así por esta Sentencia, lo pronuncio, mando y firmo.