939 € recuperados por Phishing en Unicaja

SENTENCIA N.º 92/2024

En Málaga, a veintiséis de mayo de dos mil veinticuatro.

Vistos por mí, Dª XXXXXXXX, Magistrada-Juez del Juzgado de Primera Instancia n. 22 de Málaga, los presentes autos de Juicio Verbal nº 235/2024, seguidos a instancias de D/Dña. XXXXXXXX, representado por el/la Procurador/a D./Dña. XXXXXXXX, y dirigido/a por el/la Letrado/a D/Dña. Iván Metola Rodríguez, contra Unicaja Banco SA representado/a por el/la Procurador/a D/Dña. XXXXXXXX, y asistido/a del/a Letrado/a D/Dña. XXXXXXXX, versando los autos sobre reclamación de cantidad.

ANTECEDENTES DE HECHO

PRIMERO. En fecha 25 de Enero de 2024 se presentó demanda de juicio verbal por el/la Procurador/a D./Dña. XXXXXXXX, en la representación que tiene acreditada en autos, y que por turno de reparto correspondió a este Juzgado, en base a los hechos, fundamentos de derecho y suplico que en aras a la brevedad se dan por reproducidos.

Acompañaba con la demanda los documentos base de la misma.

SEGUNDO. Por Decreto de fecha 2 de Febrero de 2024 se admitió a trámite la demanda, acordándose conforme al artículo 438.1 Lec, dar traslado de la misma a la parte demandada para que para compareciera en autos, se personara en legal forma y contestara a la misma dentro del término de diez días; la parte demandada se personó el día 20 de Marzo de 2024, contestando a la demanda.

TERCERO. Que mediante Diligencia de fecha de 20 de Marzo de 2024, se tuvo por contestada la demanda, y conforme a lo dispuesto en el art. 438.4 y 440 de la LEC se señaló para la celebración de la vista el día 6 de Mayo de 2024.

A la vista asistieron todas las partes asistidas de Letrado y Procurador. La actora se afirmó y ratificó en su escrito de demanda, solicitó el recibimiento del pleito a prueba. Por el/la Letrado/a del demandado/a se afirmó y ratificó en su escrito de contestación- reconvención a la demanda, solicitando el recibimiento del Juicio a prueba.

CUARTO.- Recibido el pleito a prueba por la actora se propuso la prueba documental consistente en que se den por reproducidos los documentos que acompañan a la demanda, y por la demandada se propuso la reproducción de la documental que aportó a la contestación de la demanda y testifical.

Admitidas las pruebas propuestas que se consideraron pertinentes, se practicaron en el acto con el resultado que obra en la grabación efectuada al efecto.

Tras la vista quedaron los autos conclusos para dictar sentencia.

QUINTO. En la tramitación del presente procedimiento se han observado todas las prescripciones legales, con excepción del plazo para dictar sentencia, debido al cúmulo de trabajo que pesa sobre este Juzgado.

FUNDAMENTOS DE DERECHO

PRIMERO. Se promueve por el/la Procurador/a de los Tribunales y de D/Dña. XXXXXXXX demanda de juicio verbal interesando se dicte sentencia por la que se condene a la demandada a abonar a la actora la suma de novecientos treinta y nueve euros, más los intereses intereses legales, y ello con expresa condena en costas a la demandada.

SEGUNDO. Entrando en el fondo de la cuestión litigiosa es alegado por la actora que el día 7 de abril de 2023 mi mandante recibió una comunicación mediante SMS, aparentemente remitida por su entidad bancaria, en la que se le informaba de un inicio de sesión de su banca electrónica desde un nuevo dispositivo y se le instaba a acceder con carácter urgente a un enlace web para el caso de que no reconociese dicho acceso, el actor accedió de forma inmediata a dicho enlace e introdujo su número de teléfono. Momentos después, mi mandante recibió una llamada telefónica desde el número XXXXXXXX, propiedad de Unicaja. Momentos después el actor constató que se había realizado desde su cuenta una transferencia por importe de 939,00 euros,

Se opone la demandada alegando que el actor incurrió en reiteradas negligencias graves y además oculta información, pues oculta el mensaje enviado por la demandada a las 21:56 Hrs del día 07/04/2023 donde se le indicaba “Vas a 2 transferir 939,00€” el nº de cuenta destinataria de los fondos y la entidad financiera, la clave de un solo uso como doble medida de seguridad, y la advertencia destacada en mayúsculas “no compartas esta clave con nadie”.

Se ejercita en la presente demanda una acción personal de reclamación de cantidad fundamentada en la responsabilidad de la demandada .

Se centra la discrepancia en la responsabilidad de los hechos.

La prueba practicada se redujo a la documental aportada por las partes y la testifical de D. XXXXXXXX, empleado de Unicaja.

Debemos comenzar recordando que dispone el art. 217 de la Ley de Enjuiciamiento Civil en sus tres primeros apartados las reglas generales de distribución de la carga de la prueba, y en su apartado 6 señala que «las normas contenidas en los apartados anteriores se aplicaron siempre que una disposición legal expresa no distribuya con criterios especiales la carga de probar los hechos relevantes». Esto es lo que sucede en este caso, en el que tanto la LDCU como el RD 19/2018 que regula los servicios de pago, establecen disposiciones especiales sobre la carga de la prueba, con inversión de la carga de la prueba y, consiguiente presunción de culpa de la prestadora del servicio, que da lugar a una responsabilidad casi objetiva de la misma.

El artículo 147 del Texto Refundido de la Ley para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, aprobado por el Real Decreto Legislativo 1/2007, de 16 de noviembre, dispone: «Los prestadores de servicios serán responsables de los daños y perjuicios causados a los consumidores o usuarios, salvo que prueben que han cumplido las exigencias y requisitos reglamentariamente establecidos y demás cuidados y diligencias que exige la naturaleza del servicio» , siendo indiscutido que los demandantes merecen la consideración de consumidores.

El art. 148 de la misma norma, según el cual «se responderá de los daños originados en el correcto uso de los servicios, cuando por su propia naturaleza, o por estar así reglamentariamente establecido, incluyan necesariamente la garantía de niveles determinados de eficacia o seguridad, en condiciones objetivas de determinación, y supongan controles técnicos, profesionales o sistemáticos de calidad, hasta llegar en debidas condiciones al consumidor y usuario».

El art. 44 del Real Decreto-ley 19/2018, de 23 de noviembre de regulación de los servicios de pago y otras medidas urgentes en materia financiera, que deroga la Ley 16/2009, de 13 de noviembre, de servicios de pago, con arreglo al cual «Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago»; y, conforme a su apartado tercero. «Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave».

El art. 45 de la misma norma establece «Sin perjuicio del artículo 43 de este real decreto -ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine».

Sentado lo anterior, entre los contendientes la discrepancia es, de inicio, sobre la forma de producirse los hechos, pues el actor sólo reconoce como cierto que accedió al enlace que le indicaba el mensaje malicioso, mientras que la demandada afirma que fue más allá al proporcionar las claves, la OTP y autorizar un nuevo dispositivo, lo que da pie a su razón de defensa, cual es que el proceder del actor fue extremadamente negligente y para así afirmar se apoya, como única prueba, en la aportación de la copia de los SMS recibidos por el actor, obviando que el art. 44.2 de la L.S.P. declara que la carga de la prueba de haber procedido diligentemente el proveedor del servicio no se satisface necesariamente con sólo lo obrante en sus registros y que el sólo examen de los SMS referidos, sin otra prueba (principalmente de carácter técnico), no conduce, necesariamente, al relato de hechos defendido por el demandado y además, y en todo caso, conviene recordar que el considerando 72 de la Directiva 2015/2366 afirma que para la atribución del daño patrimonial al usuario del Servicio debe apreciarse en su proceder un grado significativo de falta de diligencia que obviamente debe ponerse en relación con la forma del engaño y que, de otro lado, la LSP establece un régimen de responsabilidad de carácter cuasi objetivo imputando al proveedor de los servicios de pago la responsabilidad del resultado patrimonial negativo salvo demostración cumplida por su parte de que fue debido al proceder gravemente negligente del usuario.

Así las cosas, el relato fáctico es claro y la solución de la controversia ha de venir determinada por el resultado del conjunto de la prueba obrante en las actuaciones. Y, a tales efectos, se debe tener presente que RDL 19/2018, de 23 de noviembre, establece en su art. 44, un sistema de responsabilidad cuasi-objetiva de la entidad proveedora del servicio de pago, como han señalado las Sentencias de las Audiencias Provinciales de Almería, Sec. 1ª, de 31 de enero de 2023, que cita la nº 212/2022 de la Sec. 5ª de la Audiencia de Granada «es exigible a la apelante la responsabilidad patrimonial cuasi objetiva legalmente establecida, que, obviamente, supone un paso más en la protección al consumidor que el previsto en el art. 148 del Texto Refundido de la Ley para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, aprobado por el Real Decreto Legislativo 1/2007, de 16 de noviembre puesto que viene a excusar al consumidor de la negligencia en que pueda haber incurrido por facilitar sus datos personales y claves de confirmación o firma electrónica en virtud de la acción defraudatoria de terceros», y la dictada por la Sec. 20ª de la Audiencia de Madrid, de fecha 20 de mayo de 2022, y en igual sentido se ha pronunciado la reciente SAP de Logroño, Sec. 1ª, de 17 de febrero de 2023. Responsabilidad civil que solo cesa, de conformidad con el art. 46, cuando el ordenante ha actuado de manera fraudulenta o ha «incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41…», precepto este que impone al usuario la obligación de utilizar el instrumento de pago de conformidad con las condiciones que regulen la emisión y de tomar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas, y en caso de extravío, sustracción o apropiación indebida, notificarlos al proveedor de servicios de pago sin demora.

Por tanto, a tenor de lo expuesto, en el caso como el de autos, en el que el actor niega haber realizado, ni autorizado la operación realizada, salvo actuación fraudulenta, incumplimiento deliberado o negligencia grave del ordenante, la responsabilidad será del proveedor del servicio de pago, lo que comporta que pesa sobre él la carga de probar que la orden de pago no se vio afectada por «un fallo técnico u otra deficiencia del servicio prestado por dicho proveedor», o bien, probar que el cliente ha actuado fraudulentamente o con negligencia grave a la hora de aplicar los medios razonables de protección de que haya sido provisto o cuando no haya comunicado a la entidad el pago no autorizado en cuanto tenga conocimiento del mismo».

Y éste es también el criterio de nuestros tribunales, cupiendo reproducir, por atinadas e ilustrativas las consideraciones de la SAP, Secc. 3ª de Coruña de 5-10-2023 que dice así: «El marco legal aplicable al caso de autos está constituido por el Reglamento Delegado (UE) 2018/389 de la Comisión de 27.11.2017 que completa Directiva (UE) 2015/2366 sobre normas técnicas de regulación para la autenticación reforzada, el RDL 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (en adelante, LSP), y los arts. 147 y 148 del Real Decreto Legislativo 1/2007, de 16 de noviembre , por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias (en adelante, LGDCU). El art. 44.1 LSP establece la carga probatoria del proveedor sobre la autenticación de la operación ante negativa del usuario, sentando la responsabilidad del usuario que actúe de modo fraudulento o con negligencia grave (arts. 44.3 y 46.1) y fijando como obligaciones esenciales del citado usuario la protección de sus credenciales de seguridad personales y la comunicación sin de mora al proveedor del servicio en casos de extravío, sustracción o utilización no autorizada (art. 41). Por su parte, el prestador del servicio deberá garantizar el control técnico adecuado y debidos niveles de seguridad en la operativa, respondiendo por daños y perjuicios en caso de incumplimiento (arts. 148 y 147 LGDCU). A la hora de estudiar la concurrencia de negligencia grave del usuario del servicio de pago on line, partiendo del admitido criterio de responsabilidad cuasi-objetiva de la entidad en la prestación del servicio de banda virtual respecto a operaciones de pago como la transferencia, reiterada jurisprudencia considera que dicha negligencia debe ser grave en atención a las circunstancias demostradas del caso, atribuyéndose en todo caso la carga probatoria de la misma al proveedor del servicio con arreglo al art. 217 LEC. En interpretación de directiva 2015/2366, la negligencia que hace responder al cliente es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional. Como parámetro del actuar negligente también cabrá acudir al art. 1.104 CC, que exige la diligencia asociada a la naturaleza de la obligación y a las circunstancias personales, de tiempo y lugar. Ello destacándose la complejidad y grado de perfección que presenta en la actualidad el método de «phishing» de difícil detección por persona de formación media, así como el deber de la proveedora, del servicio de dotarse de tecnología suficiente y adecuada con exigencia de medidas implantadoras activas, sin entenderse suficientes avisos generales o en página web de mero carácter informativo o divulgativo (entre otras, SAP de Pontevedra núm. 177/2023, de 23 de marzo). Tercero.- Aplicación de la anterior normativa al caso de autos Alega la entidad demanda que «las operaciones se realizaron tras la configuración de la tarjeta de la demandante en el servicio de pago móvil SANTANDER WALLET (HCE), que es una forma de pagar con el móvil a través de la tokenización de la tarjeta del cliente. Cabe destacar que el pago tokenizado implica un doble factor de autenticación mediante el remplazo de los datos de la tarjeta por un identificador o token único pero que igualmente garantiza operatividad y evita que la información sea utilizada sin el consentimiento del usuario y además dicha operativa, para reforzar la seguridad del sistema, requiere, para la configuración de la tarjeta, introducir una clave de un solo uso (conocida en inlés como One Time Password u OTP). Las operaciones de pago reclamadas fueron realizadas en presencia del dispositivo móvil en el que fue configurada la tarjeta y fueron autenticada mediante verificación del PIN/huella del mismo». Concluyendo, a este respecto, que «según los registros y trazas del sistema de seguridad de mi representada, se evidencia que, tanto para configurar/ enrolar la tarjeta en la app de pagos como para modificar el límite de la tarjeta, era imprescindible conocer 1) las claves de acceso a la Banca Online del cliente y 2) la calve OTP remitida a su teléfono móvil, evidenciándose que se siguió un proceso de autenticación reforzada o doble autenticación, es decir, de dos factores (algo que el cliente conoce, una contraseña, y algo que tiene, que es su dispositivo móvil), tal como dispone la normativa europea PSD2». Para ello, la recurrente se apoya en el certificado REDYS de la operación, en tanto el mismo verifica el procedimiento de pago seguido para validar que la utilización de la tarjeta se ha efectuado con autorización cliente (registra datos relativos a la compra, cuantía, comercio, fecha y autenticación). Defiende el recurso de apelación que en este caso el certificado REDYS acredita que la compra se llevó a cabo a través del doble sistema de autenticación, planteando que ello demuestra que la operación fue real y se ejecutó con el doble filtro de autenticación del cliente. No obstante, ello no verifica la identidad real del usuario ordenante, es decir, se certifica la remisión de un SMS para activar esa validación, pero no identifica el número de teléfono móvil al que se remitió tal comunicación, no existiendo prueba alguna, en definitiva, demostrativa de la activación de la compra por la parte demandante. A este respecto, resulta ilustrativa la SAP de Navarra núm. 223/2023, de 9 de marzo, y plenamente aplicable al caso de autos, conforme a la que «en definitiva, lo que está planteando el recurso de apelación es, solamente, que la operación está autenticada por el doble refuerzo instaurado por la entidad (y ello sin ni siquiera demostrar el factor de posesión porque no está probado que se remitiese a un móvil ni dispositivo del usuario el segundo mecanismo de validación de la compra en la aplicación ‘Caixabank now’). Por lo tanto, en ningún momento se demuestra que esté garantizada la identidad del usuario que ejecutó esa autenticación, siendo que, como antes ha quedado dicho, en el tenor de la norma la ‘autenticación’ no sólo comprende la validez de la utilización de los antedichos filtros, sino también la comprobación de la identidad del usuario». En el caso de autos, la demandante Dª Gracia en su declaración en sede judicial negó, reiteradamente, haber registrado su tarjeta en la aplicación «Santander Wallet», sin que, por otro lado, hubiese recibido notificación o comunicación alguna vía correo electrónico o SMS de su activación, ni que se le hubiese solicitado en ese periodo dato alguno por bloqueo de cuenta o similar. Asimismo, declaró no haber estado en el comercio Jolly Minimarke (Italia) los días 9 y 10 de septiembre en que se produjeron los cargos no autorizados en su tarjeta a través de la aplicación «Santander Wallet» y que el dispositivo móvil siempre ha estado en su poder (desde 2m:14s a 2m:21s, desde 3m:20s a 4m:17s, desde 4m:58s a 5m:17s de la grabación y desde 8m:30s a 8m:38s de la grabación) La operación habrá sido «autenticada» en términos de la LSP (que tampoco es así, porque no consta el factor de posesión, como hemos dejado sentado anteriormente), pero lo que es elemento nuclear de este litigio es la «falsedad» de tal autenticación, en términos del art. 44 LSP (negación por el usuario de haber sido él quien ha autorizado la operación), escenario en el que recae la carga de la prueba en la entidad proveedora del sistema de pago. Pues bien, habiéndose constatado que la parte demandante ha sido víctima de «phishing», resulta claro que la operación no se encuentra completamente «autenticada» en términos de la LSP, porque falta la certificación de la identidad del usuario ordenante de la operación. Apunta a este respecto la SAP de Navarra núm. 223/2023, de 9 de marzo anteriormente citada que «no resulta suficiente, por sí solo, haber completado los mecanismos reforzados de autenticación establecidos por la entidad, debido a que si no se han implementado otros sistemas para restringir sólo al usuario el acceso al canal de banca electrónica que autentifica, no puede descansar automáticamente toda la responsabilidad en dicho usuario, dado que al proveedor del servicio de pago le compete la responsabilidad respecto del buen funcionamiento y la seguridad del mismo y es obligación esencial de las entidades prestadoras del servicio de banca on line el dotarse de medidas suficientes que garanticen al usuario la seguridad de las operaciones por lo que, en el supuesto de insuficiencia o mal funcionamiento de las adoptadas, deben ser las entidades bancarias las que asuman las consecuencias derivadas de los fallos de seguridad del sistema». Esta regla general de que, sin perjuicio de la posibilidad de repetir contra el proveedor de servicios de iniciación de pagos, es el proveedor de servicios de pago el que responde de la restitución al ordenante del importe de las operaciones de pago no autorizadas se ve excepcionada, atribuyéndose al ordenante esa responsabilidad, cuando aquel actúe de manera fraudulenta, o bien incumpla deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el art. 41 LSP, entre las que se incluyen la de tomar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas. Correlativa a esa obligación es la norma sobre la carga de la prueba, establecida en el art. 44.3 LSP, según la cual es al proveedor de Servicios de pago a quien le incumbe probar que el usuario del Servicio de pago cometió fraude o negligencia grave, porque como ha señalado la jurisprudencia, la responsabilidad de aquél es una responsabilidad cuasi-objetiva (entre otras, SSAP de Orense núm. 369/2023, de 9 de junio; Cuenca núm. 125/2023, de 16 de mayo; Madrid núm. 24/2023, de 13 de enero; Valladolid núm. 689/2022, de 19 de octubre; Cantabria núm. 679/2022, de 19 de septiembre; Zaragoza núm. 804/2022, de 1 de julio; Madrid núm. 184/2022, de 20 de mayo; Pontevedra núm. 113/2021, de 7 de abril). En atención a ello, el verdadero fondo esencial del recurso de apelación que aquí se sustancia es determinar si las demandantes, usuarias de Santander Wallet H.C.E (sistema de cobro mediante dispositivo móvil), cometieron negligencia grave, toda vez que la existencia de fraude por su parte aparece totalmente descartada. A este respecto, la sentencia de primera instancia considera que «no existe prueba alguna de cómo se produjo exactamente la defraudación», estimando, a este respecto, que «la usuaria no incumplió las obligaciones que le impone la ley en orden a la prevención del pago fraudulento, sin incurrir en fraude o negligencia grave (…)». Por su parte, la entidad demandada afirma en el párrafo 32 de su escrito de recurso de apelación que «si terceros desconocidos han tenido acceso a las claves de seguridad del cliente, que son personales e intransferibles, no ha sido debido a ninguna conducta de mandante, quien ha cumplido con las obligaciones que le impone la Ley de Servicios de Pago, sino que ello ha derivado necesaria e inexorablemente de una conducta (negligente) de la demandante, quien era y es responsable de la guarda y custodia de las mismas, no solo en virtud del contrato suscrito entre las partes, sino en virtud de lo recogido en la propia Ley de Servicios de Pago». Sin embargo, la negligencia que se exige en el usuario para que quede neutralizada la responsabilidad del proveedor de pagos ha de ser grave, es decir, no resulta suficiente con que dejara de observar una diligencia extrema. Señala a este respecto la SAP de A Coruña, 86/2023, de 29 de marzo, «la negligencia grave supone una falta de la diligencia más elemental que consiste en no hacer lo que todos hacen». En esta línea, la SAP de Pontevedra, 177/2023, de 23 de marzo establece que «la negligencia que hace responder al cliente es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional. Como parámetro del actuar negligente también cabrá acudir al art. 1.104 CC, que exige la diligencia asociada a la naturaleza de la obligación y a las circunstancias personales, de tiempo y lugar. Ello destacándose la complejidad y grado de perfección que presenta en la actualidad el método de ‘phishing’ de difícil detección por persona de formación media, así como el deber de la proveedora del servicio de dotarse de tecnología suficiente y adecuada con exigencia de medidas implantadoras activas, sin entenderse suficientes avisos generales o en página web de mero carácter informativo o divulgativo -por todas, SS. AP Pontevedra (Secc. 6ª) 21.12.21 y Madrid (20ª) 20.5.2022 , en la línea de lo razonado en SS. AP Valencia (6ª) 13.6.2022, Granada (5ª) 20.6.2022 y Badajoz (3ª) 21.6.2022 -«. Por tanto, la prueba de la negligencia grave del ordenante requerirá de la acreditación de las circunstancias concurrentes en la operación de pago de las que quepa inferir que la misma pudo realizarse porque aquel obró con una significativa falta de diligencia al usar del instrumento de pago o al proteger sus credenciales, aspectos que no concurre en el caso de autos (SAP de Pontevedra núm. 539/2021, de 21 de diciembre). Y, en el caso de autos, se desconocen cuáles fueron esas circunstancias concurrentes ya que, como refleja la sentencia de instancia, «no existe prueba alguna de cómo se produjo exactamente la defraudación», hecho que también es confirmado por la propia entidad demandada en su escrito de oposición a la demanda al señalar que «a pesar de que ello se omita en el escrito de demanda, fue la propia parte demandante la que necesariamente cedió sus claves de seguridad de alguna forma que esta parte no puede conocer puesto que pertenece a la esfera interna de la demandante (…). A este respecto, la demandante Dª Gracia negó en su declaración en sede judicial haber facilitado o cedido sus credenciales y el número PIN de su dispositivo móvil a terceros o a requerimiento presunta o aparentemente del Banco Santander (desde 5m: 39s a 6m: 14s de la grabación). No es suficiente para acreditar la negligencia grave en la actuación de la parte demandante elucubraciones sobre el modo en que se considera que la cesión de las claves de seguridad se acometió («seguramente tras acceder a un enlace malicioso enviado vía SMS o vía Email por un remitente que no era Banco Santander y teniendo el enlace nada que ver con entidad bancaria»), en tanto que dichas afirmaciones están huérfanas de toda prueba. Como señala la SAP de Cantabria núm. 679/2022, de 19 de septiembre «la entidad bancaria demandada no puede invertir la carga de la prueba exonerándose de la actividad acreditativa que le corresponde al amparo de la alegación de que todas las operaciones habían sido autenticadas, registradas y contabilizadas, en la medida, en que de ser así, lo fueron de forma fraudulenta porque el titular de los contratos no las autorizó y comunicó y denunció el fraude. Es a la entidad financiera a quien corresponde acreditar la falta de diligencia del usurario, sin apelar a meras conjeturas, no demostradas» (en similares términos, SAP de Cáceres núm. 132/2022, de 16 de febrero).

Por todo lo expuesto debe estimarse la demanda en los términos en que ha sido planteada y por el importe reclamado.

TERCERO. De acuerdo con lo dispuesto en el art 394 de la L.e.c. se imponen las costas del juicio a la parte cuyas pretensiones hayan sido totalmente desestimadas, a tenor del criterio del vencimiento objetivo.

VISTOS: Los artículos citados, los alegados por la parte actora y demás de general y pertinente aplicación

FALLO

Que debo estimar y estimo la demanda de juicio verbal planteada por el/la Procurador/a D./Dña. XXXXXXXX, en representación de D/Dña. XXXXXXXX, contra Unicaja Banco SA, condenando a esta última a abonar a la primera la suma de novecientos treinta y nueve euros (939´00 euros), más los intereses legales, y al pago de las costas del juicio.

Conforme a la Disposición Transitoria Única de la Ley 37/2011, de 10 octubre 2011 el 31/10/2011, esta resolución es firme y contra ella no cabe recurso alguno (artículo 455.1 L.E.C.).

Inclúyase la misma en el libro de legajos dejando testimonio bastante en los autos.

Así por esta mi sentencia, definitivamente juzgando en primera instancia, la pronuncio, mando y firmo, Dña. XXXXXXXX, Magistrada-Juez del Juzgado de Primera Instancia n.22 de Málaga.