770 euros recuperados por Phishing en Unicaja

JDO. PRIMERA INSTANCIA N. 7 DE GIJON

JVB JUICIO VERBAL 0001311 /2023

Procedimiento origen: . . /.

Sobre RECLAMACION DE CANTIDAD

DEMANDANTE D/ña. XXXXXXXXXXX

Procurador/a Sr/a.

Abogado/a Sr/a. IVAN METOLA RODRIGUEZ

DEMANDADO D/ña. UNICAJA BANCO, S.A.

Procurador/a Sr/a. XXXXXXXXXXX

Abogado/a Sr/a.

S E N T E N C I A Nº 146/2024

En Gijón, a veinticinco de marzo de dos mil veinticuatro.

Vistos por el Sr. D. XXXXXXXXXXX, Magistrado Juez del Juzgado de Primera Instancia número siete de esta ciudad, los presentes autos de juicio verbal civil sobre reclamación de cantidad, seguidos ante este Juzgado con el número de registro 1311/23, en los que ha sido parte demandante D. XXXXXXXXXXX, dirigida por el Letrado D. XXXXXXXXXXX, y siendo demandada la entidad UNICAJA BANCO, SOCIEDAD ANÓNIMA, representada por la Procuradora de los Tribunales D. XXXXXXXXXXX, y dirigida por la Letrada Dª. XXXXXXXXXXX.

ANTECEDENTES DE HECHO

PRIMERO. Por la demandante se interpuso demanda de juicio verbal civil que, tras su reparto correspondió a este Juzgado, alegando en esencia los siguientes hechos: La demandante Dª. XXXXXXXXXXX es titular de una tarjeta de crédito librada por la entidad demandada Unicaja Banco, S.A., que fue indebidamente utilizada por tercera persona, quien procedió a la extracción no autorizada de dinero. Se solicita que se indemnice a la parte actora en la cantidad defraudada. A continuación citaba los fundamentos de derecho que estimaba aplicables, terminando solicitando que, previos los trámites legales citados, se condenara a la parte demandada al pago de la cantidad de 769,85.- euros, intereses legales y costas procesales.

SEGUNDO. Admitida a trámite la demanda se acordó emplazar a la parte demandada, con entrega de copias de la demanda y de los documentos que la acompañan, por término de diez días, comunes para comparecer y contestar a la misma, lo que hizo dentro del plazo concedido, en la representación que tiene acreditada oponiéndose a ella en base a los hechos que constan en escrito de contestación a la demanda que obra en las actuaciones, cuyo contenido se da por reproducido, citando a continuación los fundamentos de derecho que estimaba aplicables, terminando solicitando que, previos los trámites legales pertinentes se dictara sentencia por la que, desestimando la demanda se le absolviera de lo solicitado en el suplico de la misma, condenando en costas a la parte actora.

TERCERO. Convocadas las partes para la celebración de vista, comparecieron ambas partes, en la representación que tienen acreditada y, tras declararse abierto el acto y habiéndose comprobado que subsistía el litigio entre ellas, se dio la palabra a las partes para ratificarse en sus escritos de demanda y de contestación a la demanda, para realizar aclaraciones, y para fijar los hechos sobre los que existía contradicción. No existiendo conformidad, se acordó el recibimiento del pleito a prueba, proponiéndose por las partes las pruebas que estimaron convenientes, en la forma que obra en el acta, que se da por reproducida. Declaradas pertinentes las pruebas propuestas, se procedió a su práctica seguidamente, en la forma que obra en las actuaciones. Finalizado el período de prueba, y no estimándose procedente por el Tribunal la concesión a las partes de un turno de palabra para formular oralmente conclusiones, se dio por terminado el juicio, y se acordó dejar los autos vistos para dictar sentencia, en un plazo de diez días.

CUARTO. En la tramitación del presente juicio se han observado las prescripciones legales.

FUNDAMENTOS DE DERECHO

PRIMERO. La demandante Dª. XXXXXXXXXXX reclama a la entidad demandada Unicaja Banco, S.A. el pago de la suma de 769,86.- euros, más los intereses legales, en retrocesión de los abonos llevados a cabo por la utilización indebida por terceras personas, de identidad desconocida, de una tarjeta de crédito emitida por dicho Banco, de la que es titular la parte demandante.

SEGUNDO. Del resultado de la prueba practicada en este juicio se pone de manifiesto que, por la utilización por terceras personas de una página con apariencia similar a la de la entidad Unicaja Banco, S.A., se les facilitó el número personal de la tarjeta de crédito de la demandante Dª. XXXXXXXXXXX; y, como consecuencia de ello, se realizaron operaciones de retirada de dinero por importe total de 769,85.- euros.

La parte demandada alegó que la Sra. XXXXXXXX no había ha custodiado debidamente la contraseña para acceder a su cuenta corriente, a pesar de que tiene que ser consciente, por ser un hecho notorio, que para acceder a la misma es necesario utilizarlo, como filtro de seguridad. Indicó que la utilización por un tercero de dicha contraseña, sin el consentimiento de la persona titular de la cuenta corriente, únicamente puede ser imputable a una negligencia en su custodia.

TERCERO. La contratación electrónica es aquella en que la oferta y la aceptación se tramita por medios electrónicos de tratamiento y almacenamiento de datos, conectados a una red de telecomunicaciones.

La utilización del sistema de banca eléctrónica es un medio que tienen los consumidores de acceder a las cuentas corrientes de las que son titulares.

Se trata de una práctica que beneficia al consumidor.

Pero, quien obtiene mayor beneficio es la entidad bancaria, entre otras variadas razones porque le evita afrontar los gastos de contratación de personas que se dediquen al cumplimiento de una de sus principales obligaciones, como es la de atender a sus clientes para realizar las operaciones asociadas a una cuenta corriente, en cumplimiento de lo dispuesto en los artículos 1766 y concordantes del Código Civil. Dicho beneficio económico directo no se genera en favor del cliente.

A dicha modalidad se refiere la Ley de Condiciones Generales de la Contratacion y, más explícitamente, la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información. También existen referencias en la Ley 7/1996, de 1º5 de enero, de Ordenamiento del Comercio Minorista, y la Ley 22/2007, de 11 de julio, de Comercialización a Distancia de Servicios Financieros destinados a Consumidores.

En todas esas normas se establece una protección especial al consumidor frente a la incertidumbre jurídica que produce el desarrollo de las tecnologías digitales. Dicha protección se articula, de manera fundamental, en la inmediata reposición o anulación de los cargos indebidos al titular del elemento o medio de pago utilizado indebida o fraudulentamente.

En tal sentido, el artículo 46 de la Ley Orgánica del Comercio Minorista expone que «cuando el importe de una compra hubiese sido cargado fraudulenta o indebidamente utilizando el número de una tarjeta de pago, su titular, podrá exigir la inmediata anulación del cargo. En tal caso, las correspondientes anotaciones de adeudo y reabono en las cuentas del proveedor y del titular se efectuarán a la mayor brevedad».

En la Ley de Servicios de Pago se establece un sistema de responsabilidad cuasi objetiva de la entidad proveedora del servicio de pago. Se invierte la carga probatoria, presumiéndose que la falta de autorización cuando el titular lo niega, como ocurre en el presente supuesto.

El artículo 31 de la Ley de Servicios de Pago (actualmente artículos 36 ss. del Real Decreto Ley 19/1018, de 23 de noviembre, que es una trasposición de la Directiva UE 2015/2366, del Parlamento y del Consejo de 25 de noviembre 2015 sobre servicios de pago), se refiere a la responsabilidad del proveedor de servicios de pago, en caso de operaciones no autorizadas, disponiendo expresamente que «si perjuicio de las indemnizaciones por daños y perjuicios a las que pudiera haber lugar conforme a la normativa aplicable al contrato celebrado entre el ordenante y su proveedor de servicios de pago, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante le devolverá de inmediato el importe de la operación no autorizada y, en su caso, restablecerá en la cuenta de pago en que se haya adeudado dicho importe el estado que habría existido de no haberse efectuado la operación de pago no autorizada»

El artículo 32 dispone que «el ordenante soportará el total de las pérdidas que afronte como consecuencia de operaciones de pago no autorizadas que sean fruto de su actuación fraudulenta o del incumplimiento, deliberado o por negligencia grave, de una o varias de sus obligaciones».

La parte demandada no ha acreditado que concurra el presupuesto de hecho para la aplicación de esta norma. No se ha demostrado que las operaciones de pago no autorizadas hayan sido fruto de una actuación fraudulenta de la titular de la cuenta Sra. XXXXXXXXXXX. Tampoco existe ninguna prueba de que haya incumplido sus obligaciones de manera deliberada, o con negligencia grave, a la hora de aplicar los medios razonables de protección de seguridad personalizados de que haya sido provisto.

No puede exigirse al titular de una cuenta bancaria que despliegue una actividad de custodia tan inusitada que le lleve a tener que considerar a todo semejante como un potencial estafador. Tampoco es lícito que el Banco revierta en el cliente el riesgo que se genera por dicho sistema: quien realmente disfruta de los beneficios económicos del mismo es quien debe asumir las consecuencias de cualquier riesgo que, en definitiva, ha sido generado por el propio Banco. El sistema para el funcionamiento electrónico de una cuenta corriente lo ha creado la entidad bancaria, o un tercero con el que ha contratado su uso en beneficio propio. Por tanto, los fallos del sistema deben ser asumidos por quien ha creado dicho sistema con fallos en su funcionamiento.

Si el sistema operativo de la comunicación con el cliente no es completamente seguro, recaerá sobre el Banco el deber de impedir el mal uso, por ser quien ha instaurado dicho sistema.

De ahí su responsabilidad relativa al funcionamiento del sistema cuyos riesgos y limitaciones conoce, sin que deban imputarse al usuario. Es decir, la presunción opera en principio en contra de la entidad emisora que se beneficia de este tipo de medio de pago.

CUARTO. Dicha situación sólo cede en caso de negligencia grave, contrastada y clara, del titular de la tarjeta, en cuanto que sea quien haya propiciado una disposición fraudulenta de sus fondos, en aplicación del artículo 1101 del Código Civil.

La sentencia dictada por la Sala primera del Tribunal Supremo con fecha de 16 de diciembre de 2009, respecto a la utilización indebida de la tarjeta por haberse obtenido el conocimiento del número personal, declara que «debe señalarse que la carga de la prueba de una fuerza mayor o coacción que dio lugar a que el titular del instrumento de pago, único que conoce y puede modificar el número secreto, corresponde al que la sufrió, porque en otro caso se crea para la entidad una situación de «probatio diabólica» atribuyéndole las consecuencias de una falta de prueba de un hecho negativo, de práctica imposibilidad probatoria». Pero, añade que, no obstante, no resulta proporcionado en la perspectiva del equilibrio contractual, tratar de reducir, explícita o implícitamente, la responsabilidad bancaria en los casos de revelación del número secreto por fuerza mayor o coacción. La utilización subrepticia, realizada a distancia, no permite declarar, sin más, la exoneración de su responsabilidad, “cuando es notorio que, en ciertas circunstancias, las entidades bancarias pueden advertir utilizaciones indebidas empleando la diligencia que les es exigible en armonía con su experiencia y medios técnicos. Por lo tanto, no se trata de derivar la responsabilidad a la entidad bancaria, sino de estimar abusiva una cláusula que le exonere de responsabilidad en todo caso.»

No se ha practicado en este juicio ninguna prueba técnica para acreditar la imposibilidad de acceder, por paginas similares a las del Banco, al número personal de la cuenta de Dª. XXXXXXXXXXX, traspasando y vulnerando los elementos de seguridad creados por el Banco que, dado el resultado producido, se han manifestado como ineficaces e incompletos.

No se ha demostrado por la parte demandada una conducta que pueda calificarse como grave negligencia cometida por la titular de la cuenta corriente, por lo que no puede imputarle la responsabilidad por la utilización fraudulenta que terceros hayan hecho de la misma. De ello será siempre responsable quien realmente se beneficia económicamente del sistema electrónico que ha impuesto, que es la entidad bancaria demandada.

A la vista de la documentación aportada por las partes con sus escritos de demanda y de contestación a la demanda, y por el resultado de la prueba practicada en el presente juicio, queda acreditado que Dª. XXXXXXXXXXX fue víctima de un engaño urdido y tramado por terceras personas que, falsificando una página web similar a la de la entidad demandada, les ha permitido obtener el número “pin” de la tarjeta de aquella, y también los demás datos necesarios para utilizar como propia la cuenta corriente de dicha cliente.

Todo ello genera responsabilidad contractual de la demandada.

En relación con el régimen de las obligaciones de las partes: en lo que al consumidor se refiere, el nivel de diligencia exigible es la del buen padre de familia; y, en relación con la entidad bancaria, la diligencia que le es exigible es la de un profesional o “comerciante experto” pues, por el contrato de cuenta corriente se generan diversos deberes para el Banco, como son los de rendición de cuentas, de información (artículos 263 del Código de Comercio y 1720 del Código Civil), y el de actuar conforme a las instrucciones recibidas, con diligencia «quam in suis» (prevista en el artículo 255 del Código de Comercio), que establece responsabilidad por culpa.

No puede pretenderse que una persona con conocimientos medios de los sistemas bancarios, esté obligado a percatarse inmediatamente de que va a ser objeto de un engaño, y que tenga que ser consciente de que es víctima de un fraude.

La sentencia dictada con fecha de uno de julio de 2022 por la Audiencia de Zaragoza condenó a la entidad bancaria a reintegrar el importe defraudado, por ausencia de autentificación reforzada en ese tipo de operaciones, al acceder a los datos del cliente mediante la recepción de un correo electrónico con un link al que pinchó aquel facilitando el enrolamiento de la cuenta a un sistema de pago.

La sentencia dictada con fecha de 20 de mayo de 2022 por la Audiencia de Madrid condenó al banco al reintegro de cantidades defraudadas tras estudiar que la víctima fue víctima de un phising al recibir un SMS al móvil asociado al contrato de cuenta corriente, haciendo clic en un enlace clonado de la web del banco.

La sentencia dictada por la sección décimo primera por la Audiencia Provincial de Barcelona con fecha de 23 de julio 2015 se declara la responsabilidad del Banco a pagar los cargos y extracciones de efectivo no autorizados que tuvieron su origen en la introducción por los delincuentes de un mensaje fraudulento en la página oficial del banco a través del cual se canalizó la operación.

La sentencia dictada con fecha de 4 de mayo de 2015 por la Audiencia de Madrid condenó al Banco a abonar a la víctima, que había facilitado sus claves y contraseñas a una página “web” clonada que simulaba ser la del Banco, en base a la responsabilidad cuasi objetiva establecida en el artículo 31 de la Ley de Seguridad de Pagos, con inversión de la carga probatoria.

QUINTO. El fraude electrónico o “phishing” es la contracción de «password harvesting fishing» (cosecha y pesca de contraseñas), fue sufrido por la parte demandante. Consistió en la suplantación de la identidad del Banco por parte del “phisher” o estafador, con la finalidad de adquirir información confidencial sobre contraseñas de su cuenta bancaria, o cualquier otra información en relación con el Banco, que permita entrar en las cuentas de los usuarios en internet de banca electrónica.

El internauta recibe un correo electrónico o cualquier mensaje instantáneo, a través del cual se le informa de que debe cambiar sus claves bancarias, proporcionándole un enlace a través del cual pueda acceder a la página web de la supuesta entidad bancaria, y allí realizar la modificación aconsejada.

En la mayoría de los métodos de “phishing” se utilizan técnicas de engaño, a través de las cuales el “phisher” o defraudador utiliza contra la víctima el propio código de programa del Banco o servicio similar, adquiriendo la página web la verdadera apariencia de la entidad bancaria.

Igualmente, resulta muy habitual que el internauta reciba un correo en el que se le informe de que debe verificar sus cuentas, seguido por un enlace que parece la página web oficial de la entidad bancaria.

Dicha modalidad fraudulenta es una práctica muy extendida, hasta el punto de que la entidad bancaria debe ser consciente de ello y, como consecuencia, debe adoptar medidas de seguridad específicas, siguiendo las recomendaciones técnicas existentes sobre dicha cuestión. Cuando no lo hace (y el resultado o estafa que se produjo demuestra que las medidas de prevención eran insuficientes), de genera responsabilidad para dicho Banco. No puede ofrecerse a un consumidor un producto que obligue al uso de un sistema “on line”, sin adoptar las medidas de seguridad necesarias. Por ello, no puede exonerarse al Banco de la responsabilidad reclamada.

Pueden hacerse cuantas recomendaciones se quiera al usuario o cliente. Pero si se ofrece como seguro un servicio, sabiendo que existen riesgos ajenos a un uso normal por parte del cliente, el Banco debe adoptar previamente las medidas de seguridad o control necesarias, renovando las medidas de defensa ante los distintos modos de «ataque» informático. Y, como no lo ha hecho (pues el resultado producido así lo acredita), ha incurrido en responsabilidad contractual, y debe responder de los perjuicios causados.

Es cierto que no es posible instaurar un sistema electrónico con seguridad absoluta. Cualquier programa conlleva riesgos asociados. Por ello, el Banco debe apurar su diligencia para implantar las medidas de protección de sus clientes. No basta con medidas genéricas o avisos estereotipados de adopción de precauciones. La creación y puesta a disposición en la red de páginas que clonan las del sitio oficial de las entidades emisoras del instrumento de pago exigen un deber de diligencia de la entidad demandada, que debía dotarse de la tecnología antiphising precisa para detectar las páginas clonadas de las oficiales propias y cerrarlas o eliminarlas.

Corresponde a la entidad Unicaja Banco, S.A. proteger a sus clientes de cuantas conductas puedan ser realizadas a través de la banca electrónica. Lo ocurrido permite constatar la vulnerabilidad del sistema bancario creado por la entidad demandada, cuya seguridad ha sido burlada fácilmente.

La sentencia dictada con fecha de 12 de marzo de 2018 por la sección octava de la Audiencia de Alacant hace especial hincapié en las medidas de seguridad que ha de adoptar la entidad oferente de la banca electrónica.

Considera que, tanto en la banca telefónica como electrónica, el proveedor de servicios de pago, o lo que es lo mismo, el banco emisor, debe implementar las medidas necesarias para asegurar la autenticación e identidad del ordenante a la hora de prestar su consentimiento. En caso contrario, le corresponde la devolución de lo ilícitamente obtenido de la cuenta del cliente, sin que basten medidas genéricas de protección o avisos estereotipados de cuidado, La seguridad de las operaciones bancarias precisa de soluciones tecnológicas avanzadas a los efectos de garantizar tanto la autenticidad como la integridad y confidencialidad de los datos.

Entiende que los avisos genéricos de los bancos, a través de su página web, no suplen los deberes contractuales de las partes, ni la implementación de medidas de seguridad eficaces.

Tales avisos ostentarían la calificación de «formulas predispuestas», vacías de contenido.

No son los clientes los que deben prevenir ni averiguar las modalidades de riesgos que el sistema conlleva, ni prevenir con su asesoramiento experto dichos riesgos. No se puede objetar al usuario que debía conocer aspectos técnicos tales como identificar una web falsa (salvo supuestos de evidentes falsedad) u otros fallos técnicos.

SEXTO. En un caso como el enjuiciado se constata la facilidad de que terceras personas no autorizadas han operado a una cuenta ajena a través de la Banca electrónica. Ello permite afirmar que la entidad Unicaja Banco, S.A. ha incurrido en negligencia grave de sus obligaciones. Ha permitido efectuar operaciones bancarias superando filtros que se han demostrado que no eran fiables.

No se ha acreditado por la parte demandada que se hayan adoptado, en relación con el sistema fraudulento empleado, medidas de seguridad efectivas. No consta que existiera ningún filtro de seguridad para evitarlo, ni se han aportado estudios sobre dicho riesgo. No se ha solicitado la práctica de prueba testifical, o pericial, en la que personas técnicas, empleadas del Banco, o terceros, explicaran cual había sido el funcionamiento del sistema electrónico de Banca digital. No existe ninguna prueba sobre dichos extremos, salvo alegaciones sin prueba que las respalde. Lo único que se sabe es que las prevenciones adoptadas no han dado un resultado correcto. Por ello, debe interpretarse que las medidas de seguridad ofertadas por el Banco eran insuficientes y, reiterando lo anteriormente dicho, le es exigible responsabilidad contractual, por incumplimiento. Ello conlleva su obligación de reponer la cantidad total perdida por los actores, estimándose íntegramente la demanda.

SÉPTIMO. A mayor abundamiento, la parte demandante tiene la condición de consumidor. El artículo 147 del Texto Refundido de la Ley para la Defensa de los Consumidores y Usuarios establece que «los prestadores de servicios serán responsables de los daños y perjuicios causados a los consumidores o usuarios, salvo que prueben que han cumplido las exigencias y requisitos reglamentariamente establecidos y demás cuidados y diligencias que exige la naturaleza del servicio».

La norma reseñada, se complementa con el artículo 148, que establece que «se responderá de los daños originados en el correcto uso de los servicios, cuando por su propia naturaleza, o por estar así reglamentariamente establecido, incluyan necesariamente la garantía de niveles determinados de eficacia o seguridad, en condiciones objetivas de determinación, y supongan controles técnicos, profesionales o sistemáticos de calidad, hasta llegar en debidas condiciones al consumidor y usuario».

Estos preceptos constituyen el fundamento de la responsabilidad de la entidad Unicaja Banco, S.A., como proveedor de servicios en el ámbito de la sociedad de la información y, en particular, cuando no aparece vinculada exclusivamente a la falta de específicas medidas de autoprotección, sino a la falta de un especial cuidado en atención a la naturaleza del servicio de que se trata, al modo empresarial de su prestación y al rol que en este desempeña un usuario típico, ponderado el hecho de que si el evento dañoso acaece, es porque hay un déficit de la seguridad que legítimamente no cabía esperar del servicio prestado. Teniendo en cuenta, además, que se produce cuando el evento ocurre, dentro de un ámbito que se halla bajo el control del empresario prestador del servicio, que es quien cuenta con la información sobre las medidas de cuidado exigibles, y en su caso adoptadas, a fin de reducir el riesgo, es el proveedor quien deviene responsable del daño.

En definitiva, no se ha practicado a instancias de la parte demandada ninguna prueba cuyo resultado permita exculpar al Banco de su responsabilidad, en aplicación de la normativa expresada. La parte demandada no ha demostrado que era segura de línea electrónica. No ha acreditado que funcionaron los filtros o controles establecidos por el Banco para asegurarse de que quien opera es el cliente. Un Banco es consciente de la existencia de actuaciones delictivas fraudulentas por parte de terceros y, a pesar de ello, ha incumplido con la obligación de proporcionar seguridad a sus clientes.

OCTAVO. A mayor abundamiento, la responsabilidad del proveedor de los servicios de banca electrónica es de riesgo y, por tanto, cuasi objetiva. La consecuencia es que corresponde al Banco acreditar que la operación ordenada sí fue auténtica, y que no estuvo afectada por un fallo técnico o por otra deficiencia como, por ejemplo, por un ataque informático de naturaleza fraudulenta al sistema bancario.

De acuerdo con la resolución de 24 de mayo de 2006 de la Agencia Española de Protección de Datos «el objetivo de los ataques de «phishing» es la obtención de forma engañosa y fraudulenta de los códigos de usuarios y contraseñas de clientes de Banca Electrónica, al objeto de realizar transferencias no autorizadas… Su operatoria comienza con la adquisición en internet de un «paquete de herramientas», que incluyen programas informáticos e información necesaria para realizar los ataques. Esta información incluye «listas de equipos comprometidos» que pueden ser utilizados bien para mandar correos electrónicos, bien para alojar páginas web falsificadas. Incluyen además «bases de datos de direcciones de correo electrónico». Una vez en posesión del paquete, se remiten los correos electrónicos con carácter indiscriminado (buscando contactar con clientes de la entidad financiera) informando de la necesidad de conectarse a una página web que parece pertenecer a la citada entidad y portar los códigos de acceso y contraseñas de clientes. Dicha página web se suele alojar en un equipo conectado a Internet cuya seguridad se haya [visto] comprometida», sin conocimiento de su usuario, y que se encuentra normalmente en un país distinto al de los destinatarios del ataque. De esta forma se constituye un «fichero de datos personales con códigos de usuarios y contraseñas de clientes» recabados de forma engañosa y fraudulenta, que se ubica normalmente en el mismo «equipo remoto comprometido» en el que se aloja la página web falsificada. Con los datos obtenidos se realizan transferencias a cuentas de colaboradores situados en España los cuales a su vez retiran el dinero en efectivo y tras descontar una comisión realizan transferencias monetarias internacionales mediante entidades especializadas».

El incumplimiento por el Banco de sus deberes genera una responsabilidad contractual por «culpa in vigilando», que tiene naturaleza objetiva, pues se deriva del mal funcionamiento de los servicios de banca electrónica.

Por esta razón, en combinación con las anteriores, también debe declararse la responsabilidad contractual de la entidad Unicaja Banco, S.A., y condenarle a indemnizar a Dª. XXXXXXXXXXX en las sumas reclamadas.

NOVENO. Pueden citarse las siguientes resoluciones, que resuelven supuestos similares al enjuiciado, y declaran la responsabilidad del Banco.

La sentencia dictada con fecha de 23 de abril de 2013 por la sección novena de la Audiencia de València considera que hechos como el relatado suponen una infracción de los deberes de vigilancia del Banco, y causa por la que debe ser condenado a restituir a su cliente la cantidad de la que ha sido despojada su cliente.

La sentencia dictada por la sección décimo cuarta de la Audiencia de Barcelona con fecha de 7 de marzo de 2013 condenó al Banco a devolver a una víctima de phising» la cantidad de defraudada, por considerar que la entidad bancaria no adoptó las medidas de seguridad adicionales previstas en las Condiciones Generales del contrato.

La sentencia dictada con fecha de 14 de mayo de 2013 por la Audiencia de Zaragoza condenó al Banco a reintegrar a su cliente víctima de “phising”, con base a la Ley de Servicios de Pago, en la que se expresa con claridad que, salvo una tardanza injustificada del usuario del servicio de banca electrónica en comunicar la irregularidad de las operaciones, será el Banco quien deberá devolverle de inmediato el importe de la operación no autorizada y, en su caso, restablecerá la cuenta de pago en que haya adeudado dicho importe al estado que habría existido de no haberse efectuado la operación de pago no autorizada. Por ello y salvo actuación fraudulenta o negligencia grave del titular de la cuenta, la responsabilidad de la operación es del banco al que corresponde además probar el correcto funcionamiento del sistema informático.

La sentencia dictada con fecha de 3 de julio de 2023 por la sección quinta de la Audiencia de Coruña declara que, no habiendo quedado acreditado que la entidad demandada cumpliera en la forma que le es exigible los deberes de diligencia en la autenticación de las operaciones de pago, pues ni habría probado haber implementado un mecanismo antiphising de protección de los usuarios de los instrumentos de pago por ella emitidos frente al uso fraudulento por un tercero de páginas imitativas de las propias para hacerse con las credenciales del instrumento, ni habría puesto en conocimiento del usuario los datos necesarios para que este conociera que se trataba de instalar su tarjeta en una aplicación de pago de un terminal de un tercero, y no apreciándose que el demandante incurrió en negligencia grave en el cumplimiento de sus deberes de custodia y uso de la tarjeta, ha de declararse la responsabilidad de la entidad demandada como proveedora de los servicios de pago usados de manera fraudulenta por un tercero y por tanto es quien debe responder de las pérdidas sufridas por el demandante con tales operaciones, responsabilidad que se hace extensible a la totalidad de la pérdida, pues en momento alguno anterior a que se realizase la última de las operaciones fraudulentas de pago, la entidad demandada había informado a la demandante del número de terminal telefónico desde el que se estaban realizando las órdenes de pago fraudulentas, ni de circunstancia alguna que hubiera permitido conocer al demandante tal uso fraudulento.

Por otro lado, para poder completar el fraude no bastaba con que la actora pinchase en el enlace que se le facilitó, sino que el ciberdelincuente necesitaba conocer los códigos enviados al teléfono móvil registrado o validado frente a la entidad, pues sólo introduciendo esos códigos podían confirmarse las operaciones controvertidas. No es que la parte demandante facilitase las claves a un tercero, sino que éste, después de hacerse, mediante engaño, con las credenciales de seguridad, pudo modificar fácilmente el número de teléfono móvil y/o la dirección de correo electrónico validado frente a la entidad para el intercambio de comunicaciones. La responsabilidad de ello sólo puede atribuirse a la entidad demandada, toda vez que, siendo cada vez más habituales este tipo de fraudes, debería adoptar mayores garantías para evitar que un tercero, sin autorización del titular de la cuenta, pueda modificar el canal para el intercambio de comunicaciones.

Por todo lo expuesto, al no resultar acreditado que la actora incurriera en negligencia grave en el deber de custodia de sus credenciales, siendo la parte demandada la que debería haber implementado un mecanismo antiphishing de protección de los usuarios frente al uso fraudulento por parte de terceros de páginas que imitan a las oficiales para hacerse con las credenciales de los clientes, procede estimar las pretensiones de la parte actora.

DÉCIMO. Por tanto, una ausencia de autenticación reforzada, o de sistemas de seguridad fiable instalados por el Banco para evitar una operación como la realizada fraudulentamente, en consonancia con la ausencia de prueba de negligencia grave de Dª. XXXXXXXXXXX, como cliente, conduce a declarar la obligación de la demandada de devolver lo indebidamente
extraído por terceros.

DÉCIMO PRIMERO. La entidad Unicaja Banco, S.A. deberá abonar los intereses legales producidos desde la fecha de interposición de la demanda, por aplicación de lo dispuesto en los arts. 1100 y 1108 del C.c.

DÉCIMO SEGUNDO. Debe condenarse a la entidad Unicaja Banco, S.A. al pago de las costas procesales, en aplicación del art. 394 de la LEC, por haberse estimado la demanda interpuesta en su integridad.

Vistos los preceptos legales citados, concordantes y demás de general y pertinente aplicación,

FALLO: Que estimando íntegramente la demanda interpuesta por Dª. XXXXXXXXXXX, debo condenar y condeno a la entidad demandada UNICAJA BANCO, SOCIEDAD ANÓNIMA, representada por el Procurador de los Tribunales D. XXXXXXXXXXX, a que pague a la demandante la cantidad de SETECIENTOS SESENTA Y NUEVE EUROS CON OCHENTA Y CINCO CÉNTIMOS (769,85.- euros), con más los intereses legales producidos desde la fecha de interposición de la demanda, condenando a la parte demandada al pago de las costas causadas en el presente procedimiento.

En relación con los recursos que pueden ser interpuestos, es de aplicación a la sentencia dictada en el presente procedimiento lo dispuesto en el artículo 455 de la Ley de Enjuiciamiento Civil, en el que establece que “las sentencias dictadas en toda clase de juicio, los autos definitivos y aquéllos otros que la ley expresamente señale, serán apelables, con excepción de las sentencias dictadas en los juicios verbales por razón de la cuantía cuando ésta no supere los 3.000 euros”. Dada la naturaleza y la cuantía de este procedimiento, no cabe interponer ninguna clase de recurso.

Así por esta mi sentencia lo pronuncio, mando y firmo.

E/.