5.000 € recuperados por Phishing en Unicaja

SENTENCIA Nº 235/2025

Magistrado: XXXXXXXXXX

Barcelona, 28 de abril de 2025

ANTECEDENTES DE HECHO

Primero.- En el Juicio verbal (250.2) (VRB) 822/2023 la parte demandante XXXXXXXXXX, XXXXXXXXXX representada por el/la Procurador/a XXXXXXXXXX y defendida por el/la Letrado/a Ivan Metola Rodriguez, presentó demanda contra UNICAJA BANCO S.A., representado por el/la Procurador/a XXXXXXXXXX y defendido por el/la Letrado/a .

Segundo.- La demanda se admitió y se tramitó conforme a la normativa procesal para este tipo de procedimiento y, finalmente, quedaron los autos para dictar la correspondiente sentencia.

FUNDAMENTOS DE DERECHO

Primero.- Valoración Probatoria.-

La parte actora solicita en su escrito de demanda se dicte “Sentencia por la que se condene a la demandada por la que, estimando íntegramente la demanda, CONDENE a UNICAJA BANCO, S.A. a abonar a mis representados el importe de 5.000 (cinco mil) €, junto con los intereses legales de dicha cantidad desde la fecha de su cargo en cuenta. Todo ello con condena a la demandada al pago de las costas causadas con expresión de temeridad.”, todo ello por los motivos contenidos en el referido escrito y, que se tienen por reproducidos por cuestiones de economía procesal.

La parte demandada presentó escrito de contestación, oponiéndose a las pretensiones formuladas de adverso, pro los argumentos vertidos en el citado escrito de contestación, y que se dan en la presente resolución por reproducidos, por cuestiones de economía procesal.

En primer lugar, y entrando a conocer del fondo del asunto, se puede recordar que es sabido que los ciberdelincuentes usan estrategias con las que engañan al usuario. En ocasiones le hacen creer, por ejemplo, que su banco le pide actualización de datos. El cliente atiende porque la solicitud le llega por medio de su correo electrónico o a través de una web casi idéntica a la de la entidad bancaria. Responde al pedido y entrega sus datos. Así comienza el phishing.

Hay, pero otras modalidades, como es el caso del smishing, que es un ciberataque que se dirige a las personas a través de SMS (servicio de mensajes cortos) o mensajes de texto. El término es una combinación de «SMS» y «phishing». En un ataque de smishing, los ciberdelincuentes envían mensajes de texto engañosos para inducir a las víctimas a compartir información personal o financiera, hacer clic en enlaces malintencionados o descargar software o aplicaciones dañinas. Al igual que los ataques de phishing basados en el correo electrónico, estos mensajes engañosos suelen parecer proceder de fuentes fiables y utilizan tácticas de ingeniería social para crear una sensación de urgencia, curiosidad o miedo con el fin de manipular al destinatario para que realice una acción no deseada.

La jurisprudencia reciente es unánime a la hora de sentenciar que el banco debe reembolsar las cantidades sustraídas a su cliente, y ello porque, el Tribunal entiende que el banco está obligado a custodiar la información confidencial de los usuarios. Por lo tanto, generalmente son los bancos los que tienen la obligación de devolver el dinero a la víctima del phishing. La excepción a este criterio es que el cliente haya cometido una negligencia grave. Es importante considerar el carácter de «grave» de la negligencia del usuario. Aunque se reconozca que el cliente cometió un descuido, este descuido tiene que ser grave para que se le adjudique la responsabilidad.

Y aquí es donde entra el análisis de la carga de la prueba y de la consideración de cuando es y cuando no tributaria la negligencia de ser considerada o calificada de grave. Pues bien, para empezar, hay que recordar que la condición de grave de la negligencia es cuestión que ha de ser atribuida por el Tribunal. Y así la Audiencia Provincial de Madrid ha definido la negligencia grave del cliente como una conducta que se produce por iniciativa del usuario y no por consecuencia del engaño realizado por un delincuente profesional . Según esta definición, la persona que ha sido engañada para robarle su identidad no estaría cometiendo negligencia grave. Casos de negligencias graves son, por ejemplo: la persona extravía los datos personales y de su cuenta bancaria con las contraseñas anotadas en el mismo papel, en una libreta o similar; la web o correo electrónico de los estafadores es muy diferente de la real del banco, y a simple vista es fácil deducir que no es la legítima.

Incidiendo más en esa característica de grave, la Sala Penal del Tribunal Supremo tiene declarado que el » phishing » es una estafa informática en la que se integran todos los elementos del tipo penal del Art. 248.2 CP : el ánimo de lucro, la manipulación informática, el acto de disposición y el engaño bastante (STS (Penal), sec. 1ª, nº 379/2019, de 23 de julio de 2019 ). Con respecto al «engaño bastante», la Sala Penal del Tribunal Supremo afirma que «no debe desplazarse indebidamente sobre los perjudicados la responsabilidad de comportamientos en los que la intención de engañar es manifiesta, y el autor ha conseguido su objetivo, lucrándose en perjuicio de su víctima» porque » el engaño no tiene que quedar neutralizado por una diligente actividad de la víctima» ( STS (Penal), sec. 1ª, nº 51/2020, de 17 de febrero de 2020 ).

Por su parte, de los Arts. 1101 y 1104 del Código Civil se infiere que la negligencia grave se equipara a la culpa lata, que «consiste en no proceder ni siquiera con la más elemental diligencia» o en «la más grave falta de diligencia, no hacer lo que todos hacen, no prever lo que todos prevén». Se alude a la culpa con previsión o dolo eventual, cuando el incumplimiento no es directamente querido, pero se han previsto los hechos. Se incurren en este tipo de negligencia cuando se omite las precauciones más elementales, dejando de prever lo que el resto de las personas habría previsto.

Asimismo, el Considerando 72 de la DSP2 dice que «A la hora de evaluar la posible negligencia o la negligencia grave del usuario de servicios de pago, deben tomarse en consideración todas las circunstancias. (…) si el concepto de negligencia supone un incumplimiento del deber de diligencia, la negligencia grave tiene que significar algo más que la mera negligencia, lo que entraña una conducta caracterizada por un grado significativo de falta de diligencia. Un ejemplo sería el guardar las credenciales usadas para la autorización de una operación de pago junto al instrumento de pago, en un formato abierto y fácilmente detectable para terceros«.

La SAP de Madrid, Sec. 20ª, nº 184/2022, de fecha 20/5/2022, Rec. 945/2021 , afirma que » en la normativa europea antes referida [la negligencia grave] se equipara a la comisión de un fraude» y que «como se indica en la Directiva 2015/2036 la negligencia que le hace responder al cliente, es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que ha sido inducido por un delincuente profesional (…)». Este razonamiento guarda relación directa y necesaria con: (a) la doctrina de la Sala Penal de Tribunal Supremo (STS (Penal), sec. 1ª, nº 51/2020, de 17 de febrero de 2020 ), según la cual no se pude desplazar sobre el perjudicado la responsabilidad de comportamientos en los que la intención de engañar es manifiesta, porque el engaño no tiene que quedar neutralizado con una actividad de diligencia de la víctima y (b) con la finalidad de la Directiva 2015/2366, de Servicios de Pago (DSP2), cuyos considerandos declaran esencial el desarrollo de un mercado único integrado por pagos electrónicos en el que los usuarios gocen de la debida protección frente a los riesgos inherentes a estos nuevos medios de pago.

Así pues, la negligencia grave debe surgir como consecuencia de la iniciativa del usuario, no como consecuencia de la iniciativa de un delincuente profesional, porque el engaño típico de la estafa excluye la negligencia grave. Si el phishing está caracterizado por el «engaño bastante», que es algo más que un burdo engaño, en el que caen multitud de personas, la víctima nunca puede haber actuado con negligencia grave, que es la más grave falta de diligencia, hacer lo que nadie más hace o no prever lo que todos prevén, o como dice el Considerando 72 de la DSP2 » una conducta caracterizada por un grado significativo de falta de diligencia» . En caso de «criminalizar» a la víctima por dejarse engañar no sólo se subvierte la finalidad de la norma, sino que, además, se puede llegar al absurdo de descriminalizar estas estafas, porque la declaración de que el cliente actúa con negligencia grave podría excluir el engaño bastante y con ello la rebaja del tipo penal. Por ello, una interpretación errónea del concepto de «negligencia grave» que lleve a penalizar a los clientes por su falta de diligencia por el hecho de haber sido víctimas de una estafa punible, puede llevar al absurdo de proteger a los delincuentes.

En relación con la carga de la prueba, la SAP de Alicante, Sec. 8ª, nº 107/2018, de 12/3/2018 considera que la responsabilidad de la Entidad Bancaria es de «naturaleza cuasi-objetiva o de riesgo por razón legal». Esta declaración se reitera, entre otras, en la SAP de Zaragoza, Sec. 5ª, S. 01-07-2022, nº 804/2022, rec. 1130/2021.

Pero es que, además, los proveedores de servicios de pago no sólo están obligados a rastrear las páginas web que suplantan su identidad, también están obligados a realizar un análisis de riesgo de las operaciones y a implementar medidas de seguridad acorde a los riesgos presentes. Como dice la Sentencia de 16 de septiembre de 2022 del Juzgado de 1ª Instancia nº 3 de Santander » los bancos deberían incorporar sus propios «detectores de humo» para anticipar cuando puede estar teniendo lugar una estafa e intervenir«, afirmación que guarda relación con la obligación que impone el Reglamento Delegado 2018/389 de realizar un análisis de riesgos en tiempo real para detectar cuándo una orden de pago es fraudulenta.

Asimismo, la Sentencia nº 88/2023, de 7 de junio de 2023, dictada por el Juzgado de 1ª Instancia nº 7 de Cerdanyola del Vallés , se pronuncia en un sentido análogo cuando razona » 11. Siendo Internet una red pública de comunicaciones, la seguridad de las operaciones bancarias precisa de soluciones tecnologías avanzadas a los efectos de garantizar tanto la autenticidad como la integridad y la confidencialidad de los datos. Por estos motivos las entidades prestadoras del servicio de banca online deben dotarse de medidas suficientes que garanticen al usuario la seguridad de las operaciones.

Consecuencia derivada de la omisión, insuficiencia o defectuoso funcionamiento de las adoptadas es que han de ser las entidades bancarias las que asuman las consecuencias derivadas de los fallos de seguridad del sistema. (…)

12.-La responsabilidad en estos supuestos no puede atribuirse directamente al supuesto ordenante de la transferencia por entenderse ésta autorizada al haberse realizado de acuerdo con los sistemas de autenticación del banco. Los sistemas de autenticación se establecen por los proveedores de servicios de pago y si un banco no ha sido capaz de limitar el acceso al canal de banca electrónica no puede pretender que el presunto ordenante víctima de esta práctica fraudulenta sea el único responsable, pues es el banco quien tiene responsabilidad respecto del buen funcionamiento y la seguridad del mismo. (…)

13.- Las medidas de seguridad no solamente están destinadas a proteger la seguridad de las órdenes de pago emitidas por los clientes sino que su eficacia exonera a las entidades de crédito de sus responsabilidades frente a las órdenes de pago no emitidas por sus clientes de tal forma que el incumplimiento de este específico deber de vigilancia da lugar a una responsabilidad por » culpa in vigilando» o responsabilidad objetiva por el mal funcionamiento de los servicios de banca electrónica«.

Finalmente y teniendo en cuenta el incremento de este tipo de fraudes, cuyas cifras de criminalidad rebasan las de otros sectores de actividades peligrosas y siendo la finalidad de la DSP2, que los usuarios gocen de la debida protección frente a los riesgos inherentes a los medios de pago digitales, la doctrina jurisprudencial establece que quien tiene las ventajas de un negocio por el que obtiene un lucro, debe soportar los inconvenientes de ese negocio como contraprestación por el lucro obtenido ( STS, Sala 1ª, S. 3-6-2006, nº 328/2006, rec. 281/1999 ). En consonancia con ello el Tribunal Supremo tiene declarado que en sectores de actividades peligrosas debe regir una responsabilidad objetiva, en razón al riesgo inherente al servicio prestado, cuyo título de imputación se fundamenta en la falta de la diligencia debida, que en estos casos debe ser rigurosa, ajustada las circunstancias concurrentes.

Como se explica en la STS (Civil Pleno), S. 15-3-2021, nº 141/2021, rec. 1235/2018 (Caso Uralita ), F.D. Cuarto [sic] «En estos supuestos de actividades peligrosas permitidas, por ser socialmente útiles, colisionan los intereses de los terceros de no resultar perjudicados, con el propio y legítimo de los titulares que las gestionan de obtener los mayores rendimientos económicos posibles derivados de su explotación, a veces sometida, aunque no siempre, a un régimen de responsabilidad objetiva bajo aseguramiento obligatorio. Esa desigualdad, en las posiciones de ambas partes, se pone fácilmente de manifiesto por la circunstancia de que mientras los terceros soportan la amenaza eventual de sufrir daños significativos, con la única ventaja de obtener a cambio, en el mejor de los casos, un beneficio meramente difuso, el titular de la actividad, por el contrario, se beneficia de las ganancias generadas de su explotación en su particular provecho. Esta asimetría conduce a la posibilidad de justificar decisiones normativas que, por razones de justicia conmutativa, impongan a quien se aproveche de ese stock de riesgos, las cargas económicas de los perjuicios causados a los terceros ajenos a la misma, con la finalidad de compensar esa especie de daños expropiatorios o de sacrificio. De esta manera, se han utilizado las fórmulas latinas ubi emolumentum, ibi onus (donde está la ganancia está la carga) o cuius commoda, eius incommoda (quien obtiene una ventaja debe padecer los inconvenientes)«.

Dado que el artículo 16 de la LSP obliga a los proveedores de servicios de pago a dotarse de un seguro de responsabilidad civil profesional, es dable declarar la responsabilidad objetiva de los proveedores de servicios de pago en aquéllos casos en los que sus clientes sean víctimas de una estafa de phishing, porque los pagos digitales se trata de un sector de actividad en auge, con constante incremento del índice delictivo, caracterizado por técnicas de engaño basadas en ingeniería social y uso de programas informáticos maliciosos imposibles o difícilmente detectables por los usuarios, en el que el principal beneficiario del uso de este sistema de pagos son los proveedores de estos medios-cuando menos son quienes obtienen el beneficio económico-, mientras que los clientes, que se ven obligados al uso de estos medios de pago -tanto por las restricciones legales al uso de dinero metálico como por el interés de los proveedores de servicios de pago en el uso de estas tecnologías-, sólo obtienen un interés difuso por el ahorro de tiempo en desplazamientos presenciales a la sucursal.

Así en el caso del smishing al hacer clic en el enlace del SMS se abre un programa que induce a la instalación de un programa (un troyano) en el terminal que, a través de vulnerar la utilidad de accesibilidad del móvil (pensada para personas con capacidades sensoriales alteradas), se apodera del mismo y permite espiar y vigilar lo que se hace en el teléfono, de forma que aunque fuese el actor quien autorizó la operación tras recibir el SMS, el teléfono ya estaba infectado, por lo que entiende que no ha existido negligencia por parte de los demandantes, siendo que además, cabe destacar la contestación proporcionada por la Unidad de investigación de los Mossos d´Esquadra que obra en la actuaciones.

En base a todo lo expuesto anteriormente, se debe estimar íntegramente la demanda.

Segundo.- Costas.-

Conforme a lo previsto en el artículo 394 de la Ley de Enjuiciamiento Civil (LEC) las costas deben imponerse a la parte cuya pretensión haya sido desestimada.

Por tanto, al estimarse la demanda, procede hacer expresa imposición de costas a la parte demandada.

FALLO

Se Estima la demanda presentada por el/la Procurador/a XXXXXXXXX, en nombre y representación de XXXXXXXXX, XXXXXXXXX, contra UNICAJA BANCO S.A.; y se Condena a la parte demandada a abonar a la parte actora el importe de 5.000 euros, junto con los intereses legales de dicha cantidad desde la fecha de su cargo en cuenta; con expresa condena en costas a la parte demandada.

Modo de impugnación: recurso de APELACIÓN ante la Audiencia Provincial de Barcelona (art.455 de la LEC).

El recurso se interpone mediante un escrito que se debe presentar en este órgano judicial dentro del plazo de VEINTE días, contados desde el siguiente al de la notificación, en el que se debe exponer las alegaciones en que se base la impugnación, citar la resolución apelada y los pronunciamientos que impugna.

Además, se debe constituir, en la cuenta de Depósitos y Consignaciones del órgano judicial ate el que se interponga el recurso, el depósito a que se refiere la DA 15ª de la LOPJ reformada por la LO 1/2009, de 3 de noviembre. Sin estos requisitos no se admitirá la impugnación (arts. 458.1 y 2 de la LEC).

Lo acuerdo y firmo.

La Magistrada