4.780 € recuperados por Phishing en Banco Santander

S E N T E N C I A nº 000598/2024

En Santander, a nueve de octubre de dos mil veinticuatro.

Vistos por la Ilma. Sra. Dª XXXXXXXXX, Magistrada-Juez titular del Juzgado de Primera Instancia número 3 de Santander, los presentes autos de JUICIO VERBAL sobre reclamación de cantidad, seguidos ante este Juzgado bajo el número 8/2024, a instancia de D. XXXXXXXXX, representado por la Procuradora, Dª XXXXXXXXX y asistido por el Letrado D. Iván Metola Rodríguez contra BANCO SANTANDER, S.A representada por el Procurador, D. XXXXXXXXX y asistida por los Letrados D. XXXXXXXXX y Dª XXXXXXXXX.

ANTECEDENTES DE HECHO

PRIMERO. La Procuradora, Dª XXXXXXXXX, en la representación indicada, mediante escrito que por turno de reparto correspondió a este Juzgado, presentó demanda de juicio verbal en la que, tras alegar los hechos y fundamentos de derecho que estimaba de aplicación, terminaba solicitando se dictara una sentencia por la que se condene a la demandada a abonar al actor la cantidad de 4.780 euros, más intereses legales de tal importe desde la fecha de cargo en cuenta y costas.

SEGUNDO. Admitida a trámite la demanda por decreto de 27 de marzo de 2024, se emplazó a la demandada para que en el plazo de veinte días presentase escrito de contestación a la demanda.

El Procurador, D. XXXXXXXXX, en nombre y representación de BANCO SANTANDER, S.A, presentó escrito de contestación en el que, tras alegar los hechos y fundamentos de derecho que estimaba de aplicación, terminaba solicitando se dicte sentencia por la que se desestime íntegramente la demanda, con imposición de las costas procesales.

Por diligencia de ordenación de 29 de abril de 2024 las partes fueron citados al acto de la vista para el día 1 de octubre de 2024 a las 10.00 horas.

TERCERO. Llegado el día y la hora se celebró el acto de la vista con la comparecencia de ambas partes. La parte actora propuso, como medios de prueba, la documental por reproducida. La demandada, documental obrante en autos, e interrogatorio de parte. Todos los medios probatorios fueron admitidos. Tras su práctica, las partes formularon de forma oral sus conclusiones, quedando las actuaciones pendientes del dictado de la presente resolución.

FUNDAMENTOS DE DERECHO

PRIMERO. La parte actora, D. XXXXXXXXX, interesa en esta litis que la entidad bancaria, BANCO SANTANDER, S.A, sea condenada al pago de la cantidad de 4.780 euros al entender que actuó en contra de las previsiones legales del artículo 44 y 45 del Real Decreto-Ley 19/2018, de 23 de noviembre de servicios de pago y otras medidas urgentes en materia financiera, al no devolver al actor, como usuario del oportuno servicio de pago, tras dar a conocer a la entidad bancaria que se había llevado a cabo una operación de pago no autorizada, en concreto, una trasferencia inmediata por un importe de 4.780 euros, sin que el Sr. XXXXXXXXX incurriera en negligencia grave desde el momento en que el SMS que da origen a la operación fraudulenta objeto de litis se recibió dentro de mismo canal de mensajería de la entidad, resaltando que, de forma inmediata a percatarse de tal operación fraudulenta efectuó la oportuna reclamación ante BANCO SANTANDER, S.A, Documento número 8 de la demanda, presentando la correspondiente denuncia en dependencias del Cuerpo Nacional de Policía, Documento número 6 de la demanda.

La entidad demandada, BANCO SANTANDER, S.A, se opone a tal pretensión interesando por ello la desestimación de la demanda. Sostiene que la parte actora no acredita el relato de hechos descrito en la demanda justificativo de su pretensión negando en todo caso que dentro de la página web oficial de la demandada aparezcan mensajes fraudulentos como el descrito por el actor. Entiende que, siendo el actor quien cede de forma voluntaria sus credenciales de seguridad, no existió ninguna violación de seguridad informática, siendo su proceder negligente (incumplimiento de sus obligaciones de guarda y custodia) el único motivo que permitió que un tercero desconocido pudiera acceder a su banca online realizando seguidamente la transferencia así indicada, siendo autorizada desde la banca online del demandante mediante la doble autenticación o autenticación reforzada a través de la confirmación vía mensaje enviado a su dispositivo. Ningún incumplimiento puede imputarse a la entidad bancaria al haber actuado en todo momento de manera diligente, respetando la normativa de aplicación y la lex artis del sector, cuestionando por ello su falta de legitimación pasiva, debiendo dirigir su pretensión al beneficiario de tal operación bancaria, XXXXXXXXX, recordando al efecto que las transferencias constituyen mandatos de pagos irrevocables de forma que, una vez ejecutadas, en aras a la seguridad del tráfico mercantil, no cabía su retrocesión sin el consentimiento del beneficiario. Una vez el actor comunica lo acontecido el día 1 de octubre de 2020 se solicita la retrocesión a la entidad bancaria beneficiaria de la misma, siendo rechazada probablemente porque ya se habría dispuesto de los fondos. Sostiene que la acción de responsabilidad formulada en la demanda se halla prescrita: la acción ejercitada tiene el carácter de extracontractual de forma que resulta aplicable el plazo de un año previsto en el artículo 1.968.2 CC fijando el “dies a quo” la fecha de realización del fraude, 30 de septiembre de 2020.

SEGUNDO. En primer lugar, es oportuno precisar cuál es el marco normativo aplicable al caso, y tal extremo lo clarifica la Sentencia de la Sección 4ª, número 492/2024, de 29 de julio de nuestra Audiencia Provincial, afirmando que es el “constituido por el reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, que completa la Directiva 2015/2366 sobre normas técnicas de regulación para la autenticación reforzada; arts. 41 y ss. del RDL 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (LSP); y los arts. 147 y 148 del RDL 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de Consumidores y Usuarios”. Continúa la citada resolución judicial indicando que “De las citadas normas resulta un sistema de responsabilidad cuasi-objetiva del prestador de servicios de banca virtual respecto de operaciones de pago como son las transferencias o las compras on line, de manera que, para quedar exonerada de responsabilidad, incumbe a la entidad bancaria/proveedor de servicios la carga de probar que el usuario ha actuado con negligencia grave en la protección de sus credenciales de seguridad personales o en la comunicación sin demora, en caso de extravío, sustracción o utilización no autorizada. Así resulta del considerando 72 de la Directiva 2015/2366 al disponer que para la atribución del daño patrimonial al usuario del servicio debe apreciarse en su proceder un grado significativo de falta de diligencia que, obviamente, habrá de ponerse en relación con la forma del engaño.

Ninguna duda cabe que BANCO SANTANDER, S.A se halla legitimada de forma pasiva para conocer y responder de la acción ejercitada en esta litis por el actor en su condición de entidad bancaria prestadora de servicios banca virtual conforme contrato suscrito al efecto con el Sr. XXXXXX, documentos número 1 de la demanda.

Supuestos sustancialmente idénticos al presente han sido resueltos ya de forma unánime por distintas Audiencias Provinciales, resultando singularmente ilustrativa al respecto la Sentencia de la Sección 3ª de la AP de A Coruña, de 5 de octubre de 2023, en cuanto glosa los pronunciamientos judiciales más recientes sobre la materia. En este sentido, Sentencia de la Audiencia Provincial de Navarra, de 9 de marzo de 2023, señala que “no resulta suficiente, por si solo, haber completado los mecanismos reforzados de autenticación establecidos por la entidad, debido a que si no se han implementado otros sistemas para restringir solo al usuario el acceso al canal de banca electrónica que autentifica, no puede descansar automáticamente toda la responsabilidad en dicho usuario, dado que al proveedor del servicio de pago le compete la responsabilidad respecto del buen funcionamiento y la seguridad del mismo y es obligación esencial de las entidades prestadoras del servicio de banca on line el dotarse de medidas suficientes que garanticen al usuario la seguridad de las operaciones, por lo que, en el supuesto de insuficiencia o mal funcionamiento de las adoptadas, deben ser las entidades bancarias las que asuman las consecuencias derivadas de los fallos de seguridad del sistema”. Por su parte, la Sentencia de la AP de Pontevedra, de 23 de marzo de 2023, establece que “la negligencia que hace responder al cliente es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional […]”. Tratándose de una transferencia falsa, esto es, aquella en la que el ordenante no es el titular de la cuenta de origen, tal operativa es un riesgo a cargo del banco por cuanto la regla general es que el deudor solo se libera pagando al verdadero acreedor, de manera que si el banco cumple una orden falsa habrá de reintegrar en la cuenta correspondiente las cantidades indebidamente cargadas. Clara excepción a esta regla general se produce cuando el titular de la cuenta ha creado o elevado el riesgo de falsificación.

TERCERO. De la prueba practicada en el acto de la vista, documental obrante en autos e interrogatorio de parte actora, resulta probado que el día de autos, 30 de septiembre de 2020, cuando el actor accede desde su PC a su banca online de la entidad BANCO SANTANDER, S.A aparece en la pantalla un mensaje donde se le advertía que, debido al número de transferencias realizadas, debía introducir un código de confirmación que le sería enviado vía SMS a su teléfono móvil. Seguidamente, el actor recibe, dentro del mismo canal de mensajería de su entidad bancaria, un SMS con un código, Documento número 3 de la demanda, introduciéndolo, como así se le exigía, en la web de su banca online, quedando el referido trámite como finalizado. No recibió clave de un solo uso o clave OTP para autorizar una transferencia por importe de 4.780 euros. Sobre las 10.00 horas del día 1 de octubre de 2020 se percata que en su cuenta corriente se había llevado a efecto una operación de transferencia no autorizada por el mismo por importe de 4.780 euros a favor de una persona que responde al nombre de Jefferson Castro Oliveira, fijándose como “Conceptos”, “Polvos”, Documento números 4 y 5 de la demanda. A continuación, apenas transcurrida media hora, se persona en dependencias del Cuerpo Nacional de Policía de Arganzuela formulando la oportuna denuncia, Documento número 6 de la demanda.

El relato de hechos que contiene la demanda coincide plenamente con el obrante en la denuncia penal formulada por el actor el mismo día que se percata de la referida transferencia no autorizada, adjuntando el SMS que recibió con la clave en el mismo canal de mensajería utilizado con su entidad bancaria de confianza. En el acto de la vista el Sr. XXXXXXXXX ratificó la demanda y denuncia, ofreciendo una versión de los hecho plenamente concordante con la que obra en sendos documentos (demanda y denuncia), ostentado por ello su declaración plena credibilidad y verosimilitud. Es obvio que el actor no disponga en soporte documental el originario mensaje recibido el día de autos en su banca online que permita en estos momentos adverar su efectiva existencia; no extremó su precaución porque nada le hacía sospechar que estaba siendo víctima de un fraude o engaño. Es obvio entender que, una vez el actor introdujo el código interesado y recibido vía SMS, desapareció de la web todo rastro de ese inicial mensaje al quedar tal trámite inicial como “finalizado”. Nos hallamos, por ello ante “actos de emulación con apariencia de autenticidad reproduciendo las fórmulas que suelen utilizarse en las comunicaciones con los clientes a través de la banca on line. Precisamente la facilidad y sencillez en el manejo de este tipo de datos conlleva el riesgo del fraude electrónico, sin que sea exigible al cliente medio un conocimiento informático sobre las eventuales técnicas de apropiación de sus datos personales, expuestos en la red en aras de posibilitar la agilidad y tratamiento masivo de transacciones electrónicas. Comparte esta sala el criterio que expresan las sentencias citadas en cuanto a que la mera advertencia protocolaria o estereotipada acerca del riesgo del fraude pueda servir para excluir la responsabilidad de la entidad bancaria, conforme a la normativa incoada”, Sentencia número 689/2022 de 19 octubre, de la Sección Tercera de la Audiencia Provincial de Valladolid.

El reproche de la demandada se centra en que el demandante ha incumplido el deber de custodia, habiendo facilitado sus credenciales y autorizado, así, el acceso fraudulento desde un dispositivo ajeno. Al respecto nuestra Audiencia Provincial argumenta en la ya indicada Sentencia que “Sobre tal cuestión el art. 41 RDL 19/2018 establece que «El usuario de servicios de pago habilitado para utilizar un instrumento de pago: a) utilizará el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago que deberán ser objetivas, no discriminatorias y proporcionadas y, en particular, en cuanto reciba un instrumento de pago, tomará todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas», es decir impone al cliente la obligación de proteger razonablemente sus credenciales personales. En el presente caso, tal y como concluye la Magistrada a quo, la Sala, constituida en forma unipersonal, no advierte la existencia de un actuar negligente por parte del ahora apelado, siendo razonablemente esperable en un sujeto de una diligencia media actuar como lo hizo el demandante, esto es, ante la alarma de intento de acceso no autorizado en su cuenta bancaria del cual fue advertido por el canal habitual de mensajería por el que recibía las comunicaciones de su entidad bancaria, y en contestación al SMS que le fue enviado, procedió a cumplimentar las instrucciones recibidas, que básicamente consistieron en una verificación de datos personales y códigos o claves de seguridad que, reiteramos, no era descabellado pensar que le pudiera estar pidiendo su banco. En este orden de cosas, y consciente el legislador, como es lógico, de la vulnerabilidad de los sistemas telemáticos y en línea, traslada al prestador del servicio la carga de garantizar al cliente la conformación de unos deberes de conducta que doten de seguridad y certeza al consentimiento prestado por el cliente. Así, el prestador «garantizará que las credenciales de seguridad personalizadas del usuario de servicios de pago no sean accesibles a tercero» y que «los transmite a través de canales digitales seguros y eficientes» (art. 38.3 b RDL 19/2018). Es decir que la seguridad o inseguridad en el canal de comunicación prestador/ cliente opera a cargo y riesgo del proveedor, lo que resulta de que el régimen de responsabilidad definido legalmente por los fraudes que terceros hayan podido realizar aprovechándose de las ventanas tecnológicas que les permiten acceder a cuentas y depósitos de los clientes y suplantar su consentimiento para realizar órdenes o mandamientos de pagos en perjuicio de los clientes: se traslada al prestador del servicio el riesgo de que se haya producido una manipulación, en los canales de comunicación, que no han sido, por la razón que sea y en contra del mandato legal, fiables y seguros. Ello es así por cuanto el sistema legal de riesgos (que para la entidad proveedora del servicio de pagos es cuasi objetiva, con inversión de la carga de la prueba) lo que trata de evitar es que el daño no se soporte indebidamente por el sujeto más vulnerable de todo el sistema, es decir por el cliente. Insistiendo en lo dicho, el legislador, como se infiere de los art. 42 y 44 RDL 19/2018 (el prestador del servicio tiene la obligación de cerciorarse que las credenciales personalizadas solo sean accesibles para el usuario y tiene la carga de probar que la operación fue autenticada por el cliente, si este niega su consentimiento), traslada al beneficiario del sistema o lo que es lo mismo al prestador del servicio, la carga de garantizar al cliente que las credenciales de seguridad las transmite a través de canales seguros y eficientes ( art. 38.3 b RDL 19/2018), de ahí que si la prestadora del servicio no ha logrado crear canales seguros de comunicación en términos que permitan la confiabilidad plena del sistema y den certeza a la autenticidad de las órdenes de pago, necesariamente ha de asumir el riesgo, es decir que la seguridad o inseguridad en el canal de comunicación prestador y cliente opera a cargo y riesgo del proveedor. Por todo expuesto, y como resulta de la sentencia apelada, la responsabilidad de la entidad demandada, ahora apelante, en cuanto proveedor de los servicios de banca online, es de riesgo, y, consecuentemente, es a la entidad a quien corresponde acreditar que la operación ordenada sí fue auténtica, que no estuvo afectada por un fallo técnico o por otra deficiencia, o que hubo por parte del demandante negligencia en la custodia de sus claves.

Tratándose, como en el supuesto de autos, de una trasferencia no autorizada, traemos a colación la Sentencia número 107/2018 de 12 marzo, de la Sección 8ª de la Audiencia Provincial de Alicante:

“Para una mejor respuesta al motivo, y dado que la responsabilidad que se imputa a la entidad, derivada de la ejecución de una transferencia no autorizada por la titular de la cuenta de la cliente demandante realizada a través del sistema de banca online, lo es en tanto prestadora de servicios de pago a través del modelo de banca virtual puesta a disposición de su cliente, concretaremos el régimen legal y contractual en el que se desenvuelve la banca electrónica, cuáles son las obligaciones el prestador y del usuario conforme a la legislación aplicable, el significado jurídico de las órdenes de pago y el marco de responsabilidades que del mismo resulta y la jurisprudencia más señalada al respecto.

Pues bien, tales aspectos pueden concretarse en los puntos que seguidamente numeramos.

1.- La transferencia bancaria es un servicio que forma parte del contrato de servicio de caja entre un proveedor de servicios de pago (el banco) y sus clientes y sirve de medio de pago mediante el débito en la cuenta del ordenante y abono en la del beneficiario, tratándose en suma de un procedimiento financiero de movimiento de la moneda.

Se trata de un medio de pago consistente en una orden dada al banco (banco emisor) por parte de un cliente (ordenante) a fin de que, con cargo a su cuenta, abone un determinado importe en otra cuenta del mismo o distinto banco (banco destinatario) abierta a nombre de un tercero (beneficiario) o del propio ordenante.

2.- Las transferencias se regulan, trasponiendo la Directiva 2007/64/CE (LCEur 2007, 2042) del Parlamento Europeo y del Consejo Europeo, de 13 de noviembre de 2007, sobre servicios de pago en el mercado interior, por la que se modifican las Directivas 97/7/CE (LCEur 1997, 1493) , 2005/65/CE (LCEur 2005, 2672) y 2006/48/CE (LCEur 2006, 1495) y por la que se deroga la Directiva 97/5/CE (LCEur 1997, 338) , en la Ley 16/2009, de 13 de noviembre (RCL 2009, 2193y RCL 2010, 1119) , de Servicios de Pago (LSP).

La Directiva 2007/64/CE (LCEur 2007, 2042) ha sido derogada por la Directiva UE 2015/2366 (LCEur 2015, 2231) del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE (LCEur 2002, 2613), 2009/110/CE (LCEur 2009, 1494) y 2013/36/UE (LCEur 2013, 928) y el Reglamento UE nº 1093/2010 (LCEur 2010, 1748) y se deroga la Directiva 2007/64/CE.

3.- La LSP define la orden de pago como toda instrucción cursada por un ordenante o beneficiario a su proveedor de servicios de pago por la que se solicite la ejecución de una operación de pago» (art. 2.16 LSP).

4.- Desde un punto de vista contractual toda transferencia constituye una forma de ejecución de obligaciones contractuales previamente asumidas, ejecución obligada cuando se dan las condiciones pactadas, de ordinario, que haya provisión de fondos.

Es por ello que se entiende que la orden de transferencia constituye una declaración de voluntad o mandato (en el sentido del art. 254 CCo (leg 1885, 21)) en virtud del cual el banco asume la realización de transferencias por cuenta del cliente como parte del contrato de servicio de caja.

5.- Dado el carácter negocial de la orden de pago, ésta puede pactarse que tenga lugar en cualquier forma, incluida la electrónica.

En particular, el consentimiento a operaciones de pago por el usuario en el ámbito de la banca electrónica supone que el cliente deba haber firmado un contrato de adhesión a los servicios de banca electrónica.

El art. 25.1IILSP establece al respecto que «el ordenante y su proveedor de servicios de pago acordarán la forma en que se dará el consentimiento así como el procedimiento de notificación del mismo», negocio jurídico que determina que la transferencia se entienda autorizada por el ordenante de acuerdo con el mismo precepto de la LSP.

El consentimiento del ordenante se prestará, según el medio utilizado para prestar dicho consentimiento, mediante, o la firma de la autorización y orden de transferencia correspondiente, o verbalmente a través de la vía telefónica o a través de banca por internet o electrónica.

6.- Tanto en la banca telefónica como por internet, el proveedor de servicios de pago, o lo que es lo mismo, el banco emisor, debe implementar las medidas necesarias para asegurar la autenticación e identidad del ordenante a la hora de prestar su consentimiento.

Por ello y para su ejecución, el banco debe comprobar en todo caso la autenticidad de la orden y, salvo pacto en contrario, que existe saldo suficiente.

7.- De ordinario, para la realización de transferencias ordinarias con cargo a una cuenta vinculada es preciso que el cliente haya de autenticar la operación mediante la introducción de las claves previamente facilitadas por la entidad de crédito con la que contrata, con respecto a las cuales tendrá unos deberes de custodia.

8.- La falsedad de la transferencia (es decir, que el ordenante no sea el titular de la cuenta) es un riesgo a cargo del banco porque, en principio, el deudor sólo se libera pagando al verdadero acreedor por lo que, si el banco cumple una orden falsa, habrá de reintegrar en la cuenta correspondientes las cantidades cargadas. Una excepción a esta distribución de riesgos se produce en el caso de que el titular haya creado o elevado el riesgo de falsificación de forma imputable en el caso concreto (STS 15 de julio de 1988 (RJ 1988, 5717)).

9.- La doctrina había abogado con anterioridad a la Ley de Servicios de Pago a favor de aplicar en el caso de la falsificación de una orden de transferencia, la solución que para la falsificación de un cheque establece el art. 156 de la Ley Cambiaria y del Cheque (RCL 1985, 1776, 2483) que establece que el daño que resulte del pago de un cheque falso o falsificado será imputado al librado, a no ser que el librador haya sido negligente en la custodia del talonario de cheques, o hubiere procedido con culpa.

Este es el principio se recoge hoy en el art. 30, 31 y 32 LSP. En concreto, dispone el art. 30 LSP que » cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá a su proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud, y que no se vio afectada por un fallo técnico o cualquier otra deficiencia. 2. A los efectos de lo establecido en el apartado anterior, el registro por el proveedor de servicios de la utilización del instrumento de pago no bastará necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que este actuó de manera fraudulenta o incumplió deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 27″. Y en el art. 31 se dice que » en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante le devolverá de inmediato el importe de la operación no autorizada y, en su caso, restablecerá en la cuenta de pago en que se haya adeudado dicho importe el estado que habría existido de no haberse efectuado la operación de pago no autorizada. «

10.- Los servicios que prestan las entidades de crédito a sus clientes a través de su oficina virtual se desenvuelven en redes TCP/IP (Internet) o WAP (comunicaciones móviles).

11.- Siendo Internet una red pública de comunicaciones, la seguridad de las operaciones bancarias precisa de soluciones tecnologías avanzadas a los efectos de garantizar tanto la autenticidad como la integridad y la confidencialidad de los datos.

Por estos motivos las entidades prestadoras del servicio de banca online deben dotarse de medidas suficientes que garanticen al usuario la seguridad de las operaciones.

Consecuencia derivada de la omisión, insuficiencia o defectuoso funcionamiento de las adoptadas es que han de ser las entidades bancarias las que asuman las consecuencias derivadas de los fallos de seguridad del sistema.

12.- La banca electrónica está siendo objeto de transferencias no autorizadas por el cliente y que vienen antecedidas por el método delictivo conocido como phishing que constituye una modalidad específica de fraude informático que visualiza las deficiencias de seguridad del sistema informático de una entidad y que trae causa en el uso de las redes telemáticas.

De acuerdo con la Agencia Española de Protección de Datos (Resolución del Expediente Nº: E/00762/2004, DE 24 DE MAYO DE 2006):» el objetivo de los ataques de «phishing» es la obtención de forma engañosa y fraudulenta de los códigos de usuarios y contraseñas de clientes de Banca Electrónica, al objeto de realizar transferencias no autorizadas…Su operatoria comienza con la adquisición en internet de un «paquete de herramientas», que incluyen programas informáticos e información necesaria para realizar los ataques. Esta información incluye «listas de equipos comprometidos» que pueden ser utilizados bien para mandar correos electrónicos, bien para alojar páginas web falsificadas. Incluyen además «bases de datos de direcciones de correo electrónico».

Una vez en posesión del paquete, se remiten los correos electrónicos con carácter indiscriminado (buscando contactar con clientes de la entidad financiera) informando de la necesidad de conectarse a una página web que parece pertenecer a la citada entidad y portar los códigos de acceso y contraseñas de clientes. Dicha página web se suele alojar en un equipo conectado a Internet cuya seguridad se haya [visto] comprometida», sin conocimiento de su usuario, y que se encuentra normalmente en un país distinto al de los destinatarios del ataque. De esta forma se constituye un «fichero de datos personales con códigos de usuarios y contraseñas de clientes» recabados de forma engañosa y fraudulenta, que se ubica normalmente en el mismo «equipo remoto comprometido» en el que se aloja la página web falsificada. Con los datos obtenidos se realizan transferencias a cuentas de colaboradores situados en España los cuales a su vez retiran el dinero en efectivo y tras descontar una comisión realizan transferencias monetarias internacionales mediante entidades especializadas».

13. -La responsabilidad en estos supuestos no puede atribuirse directamente al supuesto ordenante de la transferencia por entenderse ésta autorizada al haberse realizado de acuerdo con los sistemas de autenticación del banco.

Los sistemas de autenticación se establecen por los proveedores de servicios de pago y si un banco no ha sido capaz de limitar el acceso al canal de banca electrónica no puede pretender que el presunto ordenante víctima de esta práctica fraudulenta sea el único responsable, pues es el banco quien tiene responsabilidad respecto del buen funcionamiento y la seguridad del mismo.

Dispone a tal efecto el art. 25.1º LSP que «Las operaciones de pago se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución. A falta de tal consentimiento la operación de pago se considerará no autorizada».

Por tanto, en el caso de órdenes de pago y transferencias fraudulentas esta disposición supone que si la orden de pago o transferencia emitida por el cliente contiene una manifestación voluntad que actúa como causa del pago al tercero o la remisión de fondos al beneficiario, a «sensu contrario» puede afirmarse que sin dicha declaración de voluntad la operación de pago o transferencia de fondos se considerará no autorizada.

14.- Las medidas de seguridad no solamente están destinadas a proteger la seguridad de las órdenes de pago emitidas por los clientes, sino que su eficacia exonera a las entidades de crédito de sus responsabilidades frente a las órdenes de pago no emitidas por sus clientes de tal forma que el incumplimiento de este específico deber de vigilancia da lugar a una responsabilidad por «culpa in vigilando» o responsabilidad objetiva por el mal funcionamiento de los servicios de banca electrónica.

En base a este fundamento la Sentencia de la Audiencia Provincial de Barcelona, Sección 11, de fecha 23 de julio 2015, declaró la responsabilidad de Barclays Bank, S.A. a pagar a una clienta la cantidad de 9.979 € por cargos y extracciones de efectivo no autorizados que tuvieron su origen en la introducción por los delincuentes de un mensaje fraudulento en la página oficial del banco a través del cual se canalizó la operación.

Este mismo hecho, considerado una infracción de los deberes de vigilancia del banco, fue la causa por la que el Banco de Santander fue condenado por sentencia dictada por la Audiencia Provincial de Valencia, Sección 9 de fecha 23 de abril de 2013 (PROV 2013, 254877) a restituir a su cliente la cantidad de 42.500 €.

La Sentencia de la Audiencia Provincial de Barcelona ( Sección Decimocuarta) de fecha 7 de marzo de 2013 (PROV 2013, 171665) condenó a la CAIXA DE ESTALVIS DE CATALUNYA (actualmente CATALUNYA BANK,S.A.) a devolver a una empresa víctima de «phising» la cantidad de 32.099 € por cuanto la entidad bancaria no adoptó las medidas de seguridad adicionales previstas en las Condiciones Generales del contrato al haberse producido movimientos inusuales de fondos de la cuenta corriente y ser transferidos a cuentas sospechosas de su control por » muleros» que la entidad debió detectar. Asimismo, la entidad bancaria permitió que se sobrepasara el límite de disposición diario de las cuentas pactado en el contrato.

La Sentencia de la Audiencia Provincial de Zaragoza de fecha 14 de mayo de 2013 (PROV 2013, 197766) condenó a BARCLAYS BANK a reintegrar 20.947 € al cliente víctima de phising. La Sentencia señala que la Ley de Servicios de Pago expresa con claridad que, salvo una tardanza injustificada del usuario del servicio de banca electrónica en comunicar la irregularidad de las operaciones, será el banco quien deberá devolverle de inmediato el importe de la operación no autorizada y, en su caso, restablecerá la cuenta de pago en que haya adeudado dicho importe al estado que habría existido de no haberse efectuado la operación de pago no autorizada. Por ello y salvo actuación fraudulenta o negligencia grave del titular de la cuenta, la responsabilidad de la operación es del banco al que corresponde además probar el correcto funcionamiento del sistema informático.

La Sentencia de la Audiencia Provincial de Madrid de 4 de mayo de 2015 (PROV 2015, 151311) condenó a CAJAMAR a abonar a la víctima la cantidad de 17.390’35 €. En este caso la víctima facilitó sus claves y contraseñas a una página web clonada que simulaba ser la del banco. La sentencia razona que el artículo 31 de la Ley 16/09 de 13 de noviembre de Servicios de Pago establece un sistema de responsabilidad cuasi objetiva de la entidad proveedora del servicio de pago con inversión de la carga probatoria al presumirse la falta de autorización de la orden de pago o transferencia si el cliente lo niega.

15.- En consecuencia, hay responsabilidad bancaria por los defectos de seguridad del sistema que determina la ejecución de órdenes de pago no autorizadas por su cliente, con la única excepción de que el banco acredite la culpa o negligencia de la víctima.

Dice al respecto el art. 32.2 LSP que » El ordenante soportará el total de las pérdidas que afronte como consecuencia de operaciones de pago no autorizadas que sean fruto de su actuación fraudulenta o del incumplimiento, deliberado o por negligencia grave, de una o varias de sus obligaciones con arreglo al artículo 27. «

Estas obligaciones a cargo del usuario respecto a las entidades de crédito se concretan – art 27 LSP – en tomar las medidas razonables a fin de proteger los elementos de seguridad personalizados y en caso de extravío, sustracción o utilización no autorizada del instrumento de pago, notificarlo sin demoras indebidas al proveedor de servicios de pago o a la entidad que este designe en cuanto tenga conocimiento de ello.

16.- Constituye por tanto obligación esencial de las entidades prestadoras del servicio de banca online el dotarse de medidas suficientes que garanticen al usuario la seguridad de las operaciones por lo que, en el supuesto de insuficiencia o mal funcionamiento de las adoptadas, deben ser las entidades bancarias las que asuman las consecuencias derivadas de los fallos de seguridad del sistema.

17.- A tal efecto, aparte el uso de protocolos seguros de cifrado de información que permite establecer una conexión cifrada entre el usuario y la entidad de crédito impidiendo con ello el que terceras personas no autorizadas puedan acceder a la información confidencial que viaja a través de la Red, los sistemas de seguridad empleados por las entidades de crédito en sus operaciones electrónicas deben estar basados en última instancia en infraestructuras de claves públicas que garantizan la autentificación del usuario mediante el uso de claves de firma digital.

18.- Normalmente las medidas establecidas por los bancos se articulan en varios niveles de seguridad complementarios y compatibles entre sí.

El primer nivel consiste en un código de usuario y contraseña o clave secreta privada que cada cliente podrá configurar para acceder a la oficina virtual.

En otro nivel de seguridad se sitúa la denominada tarjeta de coordenadas proporcionada por la entidad bancaria a cada usuario que consiste en un código de autorización de las operaciones, único y personal para cada una de ellas. Estas claves se exigen al cliente para realizar cualquier operación que no sea una mera consulta de saldos como puede ser el movimiento de dinero entre cuentas, compras o transferencias.

Un tercer nivel lo constituye las comunicaciones con el cliente de las operaciones que se ejecutan en la red, advirtiéndole de las mismas a fin de tomar conocimiento inmediato y eficaz caso de fraude.

19.- Otra medida distinta de la tarjeta de coordenadas lo constituye el empleo de claves aleatorias perecederas de un solo uso («One time password») que evitan el riesgo de copia, pérdida o robo de las claves de seguridad, sistema de seguridad que cuenta además con el refrendo de la European Banking Authority (Autoridad Bancaria Europea). Estas claves aleatorias se remiten por la entidad de crédito al teléfono móvil del cliente mediante SMS con la finalidad de autorizar la operación.

20.- El uso de la firma digital permite a la entidad de crédito imputar la autoría de la orden de pago al cliente presumiéndose por ello que ha sido válidamente emitida por éste. Sobre este particular debe recordarse que la firma electrónica avanzada o reconocida respecto de los datos consignados en forma electrónica tiene el mismo valor que la firma manuscrita en relación con los consignados en papel (artículo 3 apartados 2 y 4 de la Ley 59/2003, de 19 de diciembre (RCL 2003, 2975) de Firma Electrónica).

21.- Aparte de estas medidas, las entidades de crédito introducen advertencias de seguridad -recomendaciones- en sus páginas web oficiales, entre otras y como más habitual, que en ningún caso la entidad solicitará al cliente sus claves confidenciales previniéndoles del riesgo de facilitar sus datos confidenciales a terceros.

En cuanto a la pretendida información facilitada por la entidad bancaria al actor sobre las medidas de seguridad a adoptar expuestas en el clausulado del contrato suscrito entre las partes, la referida Sentencia afirma lo siguiente:

“Pues bien, y a pesar de las afirmaciones del recurrente sobre la implementación de un modelo seguro de banca online, es lo cierto que ninguna prueba objetiva se aporta, lo que no implica que el Tribunal niegue que el sistema fuera genéricamente seguro, porque es consustancial al propio sistema, sino porque no consta qué medidas en particular constituían el modelo de actuación progresivo y de respuesta ante las distintas formas o riesgos de acceso ilegítimo a la plataforma por parte de terceros no autorizados, siempre en progreso y evolutivas, y de protección de los productos de los clientes accesibles a través de dicha plataforma telemática. Desde luego, en caso alguno bastaban los avisos y advertencias a los clientes. En efecto, tampoco sirve de excusa la inclusión de avisos en web y otros medios de la entidad sobre el comportamiento seguro que en el uso de la plataforma había de tener el cliente -que por lo demás, conforma una concreta obligación contractualmente asumida, tal cual ya hemos apuntado- en tanto no es sino una fórmula predispuesta por el profesional, vacía de contenido al resultar contradicha por los hechos que no son otros que las barreras informáticas efectivas que deben estar implementando el sistema. Por tanto, a falta de prueba hemos de afirmar que la entidad financiera no cumplió con los deberes de seguridad frente a los riesgos concretos que podrían derivarse del funcionamiento de su plataforma de banca digital, deberes que no se cumplen con la mera literalidad genérica de los contratos suscritos, ni con la firma o suscripción de los mismos, pues son de índole material y técnico que han de fluir a través de diversos niveles de seguridad que pueden constituir opciones de la entidad pero no frente a sus clientes usuarios del sistema en caso de fallo del mismo pues, en tales casos, constituye objetivamente la omisión de una medida esencial en tanto tienen por objeto garantizar la autenticación de la orden de pago como, por lo demás, se desprende del propio tener del contrato de banca próxima. En consecuencia, es la prestadora de los servicios de pago quien tiene la obligación de facilitar un sistema de banca telemática segura, y no son sus clientes- usuarios los que deben prevenir ni averiguar las modalidades de riesgos que el sistema conlleva, ni prevenir con un asesoramiento experto los mismos, no pudiendo en suma la parte obligada legalmente a ofrecer un modelo de servicio de caja que requiere de un especial nivel de seguridad, objetar que el usuario debía conocer aspectos técnicos tales como identificar una web como falsa -cuando no consta que fuera burda y por tanto, evidente de toda falsedad-, ni que no eran fallos técnicos sino riesgos fraudulentos, determinados comportamientos de la plataforma que, no se olvide, son tan factibles que incluso el contrato de banca directa alude -para eludir responsabilidades el prestador- al riesgo de fallos técnicos, errores, interrupciones, desconexiones, sobrecargas y otras formas de defectos en la conexión, identificando precisamente como tales la empleada de la entidad, Sra. XXXXXXXX, el relato que en su día ofrece el marido de la actora”.

Finalmente, ninguna duda cabe que nos hallamos ante el ejercicio de una acción de responsabilidad contractual de forma que el plazo para su ejercicio es el de 5 años del artículo 1964.2 CC. Se rechaza la excepción de prescripción defendida por la parte demandada, en primer lugar, porque no nos hallamos ante un supuesto de responsabilidad extracontractual y, en segundo lugar, porque la operación fraudulenta fijada como “dies a quo” acontece el 20 de septiembre de 2020; a efectos interruptivos existen reclamaciones previas el 26 de noviembre de 2020, Documento número 8 de la demanda y el 11 de junio de 2021, Documento número 11 de la demanda, presentándose finalmente la demanda el día 21 de septiembre de 2023.

En conclusión, resulta evidente que en el caso hubo un incumplimiento contractual del banco al ejecutar una orden de pago sin comprobar su legitimidad, es decir, que provenía efectivamente del titular (o autorizado) de la cuenta, al no disponer de un sistema adecuado de seguridad que previniera tal tipo de órdenes fraudulentas ni adoptar medidas concretas y específicas en el caso cuando toma conocimiento de una situación operativa anormal que debió, cuando menos de forma puntual y excepcional, verificar cualquiera orden que se diera en relación a las cuentas del demandante. La responsabilidad en estos supuestos no puede atribuirse directamente al supuesto ordenante de la transferencia por entenderse ésta autorizada al haberse realizado de acuerdo con los sistemas de autenticación del banco. Los sistemas de autenticación se establecen por los proveedores de servicios de pago y si un banco no ha sido capaz de limitar el acceso al canal de banca electrónica no puede pretender que el presunto ordenante, víctima de esta práctica fraudulenta, sea el único responsable, pues es el banco quien tiene responsabilidad respecto del buen funcionamiento y la seguridad del mismo.

Todo lo así argumentado conlleva que, de conformidad con la previsión legal contenida en el artículo 45, “Responsabilidad del proveedor de servicios de pago en caso de operaciones de pago no autorizadas”, la entidad bancaria ahora demandada satisfaga al actor la cantidad de 4.780 euros, más los intereses legales del artículo 1.108 del Código Civil devengados desde 26 de noviembre de 2020, fecha de la reclamación efectuada de forma extraprocesal por la parte actora, Documento número 8 de la demanda, al entender que desde ese momento la demandada incurrió en mora en el pago de tal importe, artículo 1.100 CC.

CUARTO. En cuanto a las costas del presente procedimiento, la estimación íntegra de la demanda conlleva que, de conformidad con la previsión legal contenida en el artículo 394.1 LEC, las mismas han de ser satisfechas por la parte demandada.

Vistos los artículos legales citados y demás de pertinente y general aplicación,

FALLO

Que ESTIMANDO ÍNTEGRAMENTE la demanda interpuesta por la Procuradora, Dª XXXXXXXX, en nombre y representación de D. XXXXXXXX contra BANCO SANTANDER, S.A representada por el Procurador, D. XXXXXXXX, debo CONDENAR y CONDENO a la referida demandada a satisfacer al actor la cantidad de 4.780 euros, más los intereses legales devengados desde el 26 de noviembre de 2020; todo ello, con expresa imposición de las costas procesales a la parte demandada.

Notifíquese esta sentencia a las partes, haciéndoles saber que contra la misma cabe RECURSO DE APELACIÓN que, en su caso, deberá interponerse ante este mismo Juzgado dentro de los veinte días siguientes al en que se notifique esta resolución. De conformidad con lo establecido en la disposición adicional decimoquinta de Ley Orgánica 1/2009, de 3 de noviembre, complementaria de la Ley de reforma de la legislación procesal para la implantación de la nueva Oficina judicial, por la que se modifica la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, se hace saber a las partes la necesidad de acreditar documentalmente, en el momento de anunciar o preparar el referido Recurso de Apelación, la previa constitución de un depósito por valor de 50 euros en la oportuna entidad de crédito y en la «Cuenta de Depósitos y Consignaciones» abierta a nombre de este Juzgado.

Llévese el original al libro de sentencias.

Por esta mi sentencia, de la que se expedirá testimonio para incorporarlo a las actuaciones, lo pronuncio, mando y firmo.