1.000€ recuperados por Phishing en Unicaja

Sección Civil del Tribunal de Instancia de Málaga. Plaza nº 1

C\ Fiscal Luis Portero García, s/n, 29010, Málaga, Tlfno.: 677982210 951939021, Fax: 951939121, Correo electrónico:

Sec.Civil.PlazaN1.TI.malaga.JUS@juntadeandalucia.es

N.I.G: XXXXXXXXXX.

Tipo y número de procedimiento: Juicio verbal (250.2) 1525/2024. Negociado: V6I

Materia: Obligaciones

De: XXXXXXXXXX
Abogado/a: IVAN METOLA RODRIGUEZ
Procurador/a: XXXXXXXXXX

Contra: UNICAJA BANCO, S.A.
Abogado/a: XXXXXXXXXX
Procurador/a: XXXXXXXXXX

SENTENCIA N.º 72/2026

En Málaga, a veinte de febrero de dos mil veintiséis.

Vistos por mí, Dña. XXXXXXXXXX, Magistrada Titular de la Plaza nº 1 de la Sección Civil del Tribunal de Instancia de Málaga, los presentes autos de JUICIO VERBAL nº 1525/2024 sobre reclamación de cantidad, a instancia de D. XXXXXXXXXX, representado por el Procurador Sr. XXXXXXXXXX y asistido del Letrado Sr. Metola Rodríguez, contra la entidad Unicaja Banco S.A., representada por el Procurador Sr. XXXXXXXXXX y asistida de la Letrada Sra. XXXXXXXXXX.

ANTECEDENTES DE HECHO

PRIMERO.- La demanda que da inicio a este juicio se presentó el día 23/02/2024, correspondiendo su conocimiento por turno de reparto a esta plaza judicial.

SEGUNDO.- Admitida a trámite la demanda, se dio traslado de la misma a la parte demandada para que la contestara en un plazo de diez días hábiles, lo que efectuó.

Convocada la celebración de una vista, fue señalada para el día 12/02/2026.

TERCERO.- El día de la vista comparecieron ambas partes asistidas y representadas de Letrado y Procurador, ratificándose en sus respectivos escritos de demanda y de contestación a la misma.

Recibido el pleito a prueba y practicadas las que fueron declaradas pertinentes, una vez hubieron emitido conclusiones los comparecientes, quedaron los autos conclusos para sentencia.

FUNDAMENTOS DE DERECHO

PRIMERO.- En el presente procedimiento, se ejercita por la parte actora, D. XXXXXXXXXXX, una acción de responsabilidad contractual contra la entidad bancaria demandada, Unicaja, a fin de que sea condenada a abonarle la suma de 1.000 euros (más intereses legales moratorios), tras alegar que es cliente de la entidad bancaria demandada en virtud de contrato de cuenta corriente con número ESXXXXXXXXXXXXXXXXX; que en fecha 3 de diciembre de 2022 recibió una comunicación mediante SMS, aparentemente remitida por su entidad bancaria, en la que se le informaba de que se había vinculado un nuevo dispositivo a su cuenta y se le instaba a acceder con carácter urgente a un enlace web para el caso de que no reconociese dicha operación; mensaje que aparecía como el último de la misma cadena de mensajes provenientes de Unicaja Banco, por lo que todo parecía indicar que el remitente era, efectivamente, el banco; que confiando en la legitimidad del mensaje, accedió a dicho enlace, el cual le redirigió a una página web de idénticas características a la de su entidad en la que se le solicitaba su número de DNI y la clave de acceso a la Banca Online; que recibió un segundo SMS en el que se le informaba de una operación que se iba a realizar desde su cuenta; momento en que recibió una llamada telefónica, cuyo interlocutor se identificó como personal de Unicaja, preguntando al actor de si había realizado una transferencia por importe de 1.000 euros; que ante la negativa, se le informó de que para cancelar dicha operación debía proporcionar al interlocutor la clave de seguridad incluida en dicho SMS, a lo que accedió, creyendo legítimamente que estaba tratando con su entidad bancaria de confianza; y minutos después, y tras haber finalizado la llamada, constató que se habían detraído de su cuenta 1.000 euros mediante una operación que nunca autorizó; que de forma inmediata comunicó vía telefónica a la entidad lo ocurrido, así como interpuso denuncia ante los Mossos d’Esquadra de Terrassa; que la entidad demandada se niega al reintegro de dicha cantidad; que era obligación del banco haber constatado en tiempo real que no se trataba de una operación habitual para el usuario de la cuenta bancaria, debiendo haber bloqueado el instrumento de pago por razones justificadas de sospecha de una utilización fraudulenta del mismo; que con un análisis sencillo de los datos que arroja la huella digital (IP, dispositivo, navegador, localización de la conexión, etc) el Banco debía haber detectado con facilidad que un dispositivo nuevo se había conectado a la cuenta y bloquear la operación si no era el dispositivo habitual del usuario.

La parte demandada se opuso a la demanda, alegando la inexistencia de fallos de seguridad en los sistemas de Unicaja. En todo caso, niega el banco demandado la responsabilidad que le imputa la parte demandante, al entender que el traspaso de dinero en cuestión se ha producido por la negligencia grave de la propia parte demandante, al no haber observado la diligencia mínima de leer el mensaje de autorización recibido, que no era susceptible de inducir a error.

SEGUNDO.- Sobre la normativa vigente que regula las obligaciones del proveedor y del usuario de los servicios de pago y el régimen de responsabilidad en la materia, han de tenerse en cuenta a los efectos que nos ocupan los siguientes preceptos del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera:

-Artículo 41, sobre “obligaciones del usuario de servicios de pago en relación con los instrumentos de pago y las credenciales de seguridad personalizadas”, establece que: “El usuario de servicios de pago habilitado para utilizar un instrumento de pago: a) utilizará el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago que deberán ser objetivas, no discriminatorias y proporcionadas y, en particular, en cuanto reciba un instrumento de pago, tomará todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas; b) en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, lo notificará al proveedor de servicios de pago o a la entidad que este designe, sin demora indebida en cuanto tenga conocimiento de ello”.

-Artículo 42, sobre “obligaciones del proveedor de servicios de pago en relación con los instrumentos de pago”, establece que: “1. El proveedor de servicios de pago emisor de un instrumento de pago:

a) Se cerciorará de que las credenciales de seguridad personalizadas del instrumento de pago solo sean accesibles para el usuario de servicios de pago facultado para utilizar dicho instrumento, sin perjuicio de las obligaciones que incumben al usuario de servicios de pago con arreglo al artículo 41.

b) Se abstendrá de enviar instrumentos de pago que no hayan sido solicitados, salvo en caso de que deba sustituirse un instrumento de pago ya entregado al usuario de servicios de pago.

Esta sustitución podrá venir motivada por la incorporación al instrumento de pago de nuevas funcionalidades, no expresamente solicitadas por el usuario, siempre que en el contrato marco se hubiera previsto tal posibilidad y la sustitución se realice con carácter gratuito para el cliente.

c) Garantizará que en todo momento estén disponibles medios adecuados y gratuitos que permitan al usuario de servicios de pago efectuar una notificación en virtud del artículo 41.b), o solicitar un desbloqueo con arreglo a lo dispuesto en el artículo 40.4. A este respecto, el proveedor de servicios de pago facilitará, también gratuitamente, al usuario de dichos servicios, cuando éste se lo requiera, medios tales que le permitan demostrarque ha efectuado dicha comunicación, durante los 18 meses siguientes a la misma.

d) Ofrecerá al usuario de servicios de pago la posibilidad de efectuar una notificación en virtud del artículo 41.b), gratuitamente y cobrar, si acaso, únicamente los costes de sustitución directamente imputables al instrumento de pago.

e) Impedirá cualquier utilización del instrumento de pago una vez efectuada la notificación en virtud del artículo 41.b).

2. El proveedor de servicios de pago soportará los riesgos derivados del envío de un instrumento de pago al usuario de servicios de pago o del envío de cualesquiera elementos de seguridad personalizados del mismo”.

-Artículo 44, sobre “prueba de la autenticación y ejecución de las operaciones de pago”, establece que: “1. Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago.

Si el usuario de servicios de pago inicia la operación de pago a través de un proveedor de servicios de iniciación de pagos, corresponderá a éste demostrar que, dentro de su ámbito de competencia, la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable.

2. A los efectos de lo establecido en el apartado anterior, el registro por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 41.

3. Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave (…)”.

-Artículo 45, sobre “responsabilidad del proveedor de servicios de pago en caso de operaciones de pago no autorizadas”, establece que: “1. Sin perjuicio del artículo 43 de este real decreto-ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada (…)”.

– Artículo 46, sobre “responsabilidad del ordenante en caso de operaciones de pago no autorizadas”, establece que: “1. No obstante lo dispuesto en el artículo 45, el ordenante podrá quedar obligado a soportar, hasta un máximo de 50 euros, las pérdidas derivadas de operaciones de pago no autorizadas resultantes de la utilización de un instrumento de pago extraviado, sustraído o apropiado indebidamente por un tercero, salvo que:

a) al ordenante no le resultara posible detectar la pérdida, la sustracción o la apropiación indebida de un instrumento de pago antes de un pago, salvo cuando el propio ordenante haya actuado fraudulentamente, o

b) la pérdida se debiera a la acción o inacción de empleados o de cualquier agente, sucursal o entidad de un proveedor de servicios de pago al que se hayan externalizado actividades.

El ordenante soportará todas las pérdidas derivadas de operaciones de pago no autorizadas si el ordenante ha incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41. En esos casos, no será de aplicación el importe máximo contemplado en el párrafo primero.

En todo caso, el ordenante quedará exento de toda responsabilidad en caso de sustracción, extravío o apropiación indebida de un instrumento de pago cuando las operaciones se hayan efectuado de forma no presencial utilizando únicamente los datos de pago impresos en el propio instrumento, siempre que no se haya producido fraude o negligencia grave por su parte en el cumplimiento de sus obligaciones de custodia del instrumento de pago y las credenciales de seguridad y haya notificado dicha circunstancia sin demora.

2. Si el proveedor de servicios de pago del ordenante no exige autenticación reforzada de cliente, el ordenante solo soportará las posibles consecuencias económicas en caso de haber actuado de forma fraudulenta. En el supuesto de que el beneficiario o el proveedor de servicios de pago del beneficiario no acepten la autenticación reforzada del cliente, deberán reembolsar el importe del perjuicio financiero causado al proveedor de servicios de pago del ordenante.

3. Salvo en caso de actuación fraudulenta, el ordenante no soportará consecuencia económica alguna por la utilización, con posterioridad a la notificación a que se refiere el artículo 41.b), de un instrumento de pago extraviado o sustraído.

4. Si el proveedor de servicios de pago no tiene disponibles medios adecuados para que pueda notificarse en todo momento el extravío o la sustracción de un instrumento de pago, según lo dispuesto en el artículo 42.1.c), el ordenante no será responsable de las consecuencias económicas que se deriven de la utilización de dicho instrumento de pago, salvo en caso de que haya actuado de manera fraudulenta”.

-Artículo 64, sobre “ausencia de responsabilidad cuando concurran circunstancias excepcionales e imprevisibles”, establece que: “La responsabilidad establecida con arreglo a los Capítulos II y III de este Título no se aplicará en caso de circunstancias excepcionales e imprevisibles fuera del control de la parte que invoca acogerse a estas circunstancias, cuyas consecuencias hubieran sido inevitables a pesar de todos los esfuerzos en sentido contrario, o en caso de que a un proveedor de servicios de pago se le apliquen otras obligaciones legales”.

-Artículo 68, sobre “autenticación”, establece que: “1. Los proveedores de servicios de pago aplicarán la autenticación reforzada de clientes, en la forma, con el contenido y con las excepciones previstas en la correspondiente norma técnica aprobada por la Comisión Europea, cuando el ordenante:

a) acceda a su cuenta de pago en línea;

b) inicie una operación de pago electrónico;

c) realice por un canal remoto cualquier acción que pueda entrañar un riesgo de fraude en el pago u otros abusos”.

El Tribunal Supremo, en su reciente Sentencia nº 571/2025, de 9 de Abril, tras repasar la normativa comunitaria y nacional (entre ella la mencionada anteriormente), así como jurisprudencia comunitaria, sobre la materia, realiza las siguientes conclusiones al respecto en el apartado 6 del fundamento jurídico segundo:

“1.º El usuario de servicios de pago debe adoptar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas y, en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, ha de notificarlo al proveedor de servicios de pago de manera inmediata, tan pronto tenga conocimiento de ello.

2.º En caso de que se produzca una operación de pago no autorizada o ejecutada incorrectamente, si el usuario de servicios de pago se lo comunica sin demora injustificada, el proveedor debe proceder a su rectificación y reintegrar el importe de inmediato, salvo que tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España.

3.º Cuando un usuario niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, incumbe al proveedor la carga de demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago.

4.º El mero hecho del registro por el proveedor de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones, correspondiendo al proveedor la prueba de que el usuario del servicio de pago cometió fraude o negligencia grave.

En suma, la responsabilidad del proveedor de los servicios de pago, en los casos de operaciones no autorizadas o ejecutadas incorrectamente, tiene carácter cuasi objetivo, en el doble sentido de que, primero, notificada la existencia de una operación no autorizada o ejecutada incorrectamente, el proveedor debe responder salvo que acredite la existencia de fraude; y, segundo, cuando el usuario niegue haber autorizado la operación o alegue que ésta se ejecutó incorrectamente, corresponde al proveedor acreditar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio, sin que el simple registro de la operación baste para demostrar que fue autorizada ni que el usuario ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave.

Profundizando en este último punto, la expresión «operaciones no autorizadas» incluye aquellas que se han iniciado con las claves de usuario y contraseña del usuario -necesarias para acceder al sistema de banca digital- y confirmado mediante la inserción del SMS enviado por el propio sistema al dispositivo móvil facilitado por el usuario, siempre que éste niegue haberlas autorizado, en cuyo caso el banco deberá acreditar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio que presta.

A este respecto, la mención «deficiencia del servicio» no significa error o fallo del sistema informático o electrónico -posibilidad que estaría prevista en el concepto de «fallo técnico»-, sino que abarca cualquier falta de diligencia o mala praxis en la prestación del servicio, en el entendimiento de que el grado de diligencia exigible al proveedor de los servicios de pago no es el propio del buen padre de familia, sino que la naturaleza de la actividad y los riesgos que entraña el servicio que se presta, sobre todo en una relación empresario/consumidor, obliga a elevar el nivel de diligencia a un plano superior, como es el del ordenado y experto comerciante.

Lógicamente, las buenas prácticas pasan por adoptar las medidas de seguridad necesarias para garantizar el correcto funcionamiento del sistema de servicios de pago, entre las cuales destacan las orientadas a detectar de forma automática la concurrencia de indicios de que puede tratarse de una operación anómala y generar una alerta o un bloqueo temporal (v.gr. reiteración de transferencias sin solución de continuidad, horario en que se producen, importe de las mismas, destinatarios, antecedentes en el uso de la cuenta…), o las dirigidas a incrementar el control y vigilancia cuando se han recibido noticias o alertas de un posible aumento del riesgo”.

Entrando a analizar el caso concreto, señala el Alto Tribunal en el apartado 7 del mismo fundamento jurídico, que: “…el que la entidad bancaria acredite que la operación fue autenticada, registrada con exactitud y contabilizada, no es suficiente para eximirle de responsabilidad. Ha de probar que la operación no resultó afectada por un fallo técnico u otra deficiencia del servicio prestado, y, dado que el cliente niega que la operación fuera consentida, que no hubo por parte de este último fraude, incumplimiento deliberado o negligencia grave.

Sin embargo, lejos de haber acreditado tales extremos, la prueba practicada evidencia lo contrario.

La secuencia fáctica permite observar que (i) tres semanas antes, el demandante informó a la entidad de la recepción en su dispositivo móvil de diversos mensajes SMS en los que se indicaban otros tantos códigos para validar transferencias desde su cuenta y que él no había solicitado; (ii) en fechas 27 de febrero y 2 y 12 de marzo de 2021, Google Play y Google Ads realizaron varios cargos no autorizados en la cuenta titularidad de D. XXXXXX y su esposa en Ibercaja Banco S.A., utilizando su tarjeta VISA, lo que el demandante comunicó a la entidad bancaria; (iii) el 16 de marzo, D.ª XXXXXXXX recibió un email de Google en la que se alertaba de que «Alguien acaba de usar tu contraseña para intentar iniciar sesión en tu cuenta», por lo que procedió a cambiar la contraseña, y, al día siguiente, 17 de marzo, el actor acudió a la oficina bancaria, donde informó sobre lo sucedido y solicitó la cancelación de la tarjeta y la emisión de otra nueva; y (iv) en la noche del 17 al 18 de marzo de 2021, se realizaron quince transferencias bancarias desde la cuenta corriente titularidad de D. Martin y sus padres, de las cuales diez lo fueron a través de la plataforma Bizum (por importe de 500 € cada una) y cinco a través de la plataforma de banca electrónica «Ibercaja Directo» (por importes de 28.970 €, 19.870 €, 9.876 € y dos de 9.870 € cada una).

Estos precedentes ponían de manifiesto, para cualquier observador medio, razonablemente atento y perspicaz, y más aún, para un empleado de banca, que alguien había conseguido acceder a las cuentas del actor, y, por ende, que disponía de sus claves de usuario y contraseña, lo que hubiera debido motivar una reacción inmediata, que pasaba cuando menos por la modificación de las claves y/o códigos. Nada se hizo. Al no adoptarse medida de protección alguna, tan solo restaba que los autores encontraran la manera de eludir el último obstáculo, esto es, la vía para recibir directamente el código de confirmación de la operación.

Por otra parte, los avances de la tecnología actual hacen relativamente sencillo diseñar sistemas o aplicaciones informáticas idóneas para detectar ciertas anomalías en la prestación de los servicios de pago. Operaciones que, tratándose de empresas o sociedades con un concreto objeto social, pueden calificarse como ordinarias, deben inmediatamente levantar sospechas y dar lugar a una respuesta cuando afectan a personas físicas ajenas a tales actividades. A este respecto, sería suficiente un control automático de determinados factores, como el número y sucesión de operaciones, el intervalo en que se ejecutan, la hora del día, su importe, entidades de destino…, para generar un aviso que reforzara los requisitos de confirmación y minimizara los posibles riesgos. No puede considerarse como normal e irrelevante que una persona que jamás efectúa operaciones de madrugada, de repente, proceda a llevar a cabo hasta diecisiete operaciones seguidas y por un importe tan elevado. Del mismo modo que el sistema rechazó dos de Bizum por exceder del máximo diario, el proveedor de servicios de pago ha de adoptar las medidas de seguridad que garanticen su correcto funcionamiento y minimicen los riesgos y los efectos nocivos de su materialización.

Llegado este punto, nos encontramos, de un lado, ante una conducta diligente del titular de la cuenta, que informó, inmediata y reiteradamente, al personal de entidad de lo que estaba sucediendo, cumpliendo la obligación que expresamente le imponía la normativa comunitaria y nacional; y, de otro lado, ante un servicio que se presta defectuosamente por el proveedor, tanto por no tomar en consideración la información recibida pese a su gravedad, como por omitir la adopción de medidas que posibilitaran la detección de eventuales maniobras fraudulentas”.

Y en el fundamento jurídico tercero indica finalmente el Alto Tribunal que:

“el hecho de que la filtración o el conocimiento de las claves por el tercero no sea imputable a la entidad bancaria tampoco la libera de obligación de responder ni traslada al usuario la obligación de soportar las pérdidas, ya que el proveedor de servicios de pago, además de demostrar que el servicio se prestó correctamente -lo que no sucedió-, debía acreditar la concurrencia de fraude o incumplimiento deliberado o gravemente negligente por parte del usuario, y, en relación con este extremo, las sentencias de instancia y de apelación coinciden en que no se ha probado fraude ni incumplimiento doloso o por negligencia grave de las obligaciones que correspondían al demandante, y, en concreto, las de tomar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas y de notificar al proveedor de servicios de pago la utilización no autorizada del instrumento de pago, tan pronto tuvo conocimiento de ello, lo que así hizo, participando las tentatIvas de acceso a su cuenta con una antelación de tres semanas.

Obsérvese que, contra lo que mantiene por la recurrente, el que un tercero hubiera podido acceder a las claves de acceso a la banca digital del demandante no supone per se que haya incurrido en negligencia alguna, pudiendo existir múltiples explicaciones, muchas de las cuales resultan difícilmente atribuibles a título de negligencia, y menos aún, de negligencia grave”.

TERCERO.- De conformidad con lo expuesto, una vez examinada la prueba practicada, no puede más que estimarse la demanda, con la consiguiente condena de la entidad bancaria demandada a abonar a la parte actora la suma reclamada de 1.000 euros, al no haber acreditado la demandada haber prestado correctamente los servicios que le incumbían ni haber acreditado la negligencia grave que atribuye a la parte demandante.

Y ello teniendo en cuenta que no niega la demandada la recepción por el demandante de los SMS en cuestión y su incorporación a la cadena de mensajes provenientes de Unicaja que solía recibir el demandante en su teléfono móvil, lo que se desprende en todo caso de las imágenes incorporadas a la demanda.

El segundo de los mensajes señala “Vas a TRANSFERIR 1.000,00 € hacia una cuenta PFS CARD SERVICES IRELAND LIMITED”; si bien, teniendo en cuenta que en ese mismo momento recibió el demandante una llamada telefónica (no negada por la demandada) de alguien que se identificaba como personal de Unicaja preguntando si había realizado una transferencia de 1.000 euros y que para cancelarla debía proporcionar la clave de seguridad incluida en dicho mensaje, lógicamente ante la confusión creada se pudo hacer creer erróneamente al demandante que con la actuación que le pedía el falso interlocutor de Unicaja anulaba de forma efectiva una transferencia no consentida.

La demandada reconoce en su respuesta escrita a la reclamación extrajudicial previa que el origen de la operación se puede encontrar en una actuación fraudulenta (documento nº 6 de la demanda); y aun cuando luego excusa su responsabilidad afirmando que los sistemas de seguridad de la entidad no habían sido quebrantados, habiéndose aplicado los medios de autenticación reforzados de operaciones, sin embargo, ello no resulta acreditado en modo alguno. Asimismo, recuerda la demandada en dicha misiva una serie de recomendaciones de seguridad, sin embargo, no consta que antes de lo acontecido hubiera sido advertido el demandante de las medidas a adoptar en determinadas situaciones.

En todo caso, no consta que la demandada hubiera extremado las precauciones con un bloqueo temporal de la cuenta del demandante o con una modificación de las claves y/o códigos o con un refuerzo de los requisitos de confirmación, ante una transferencia dineraria inusual en la cuenta bancaria del demandante, según se desprende del extracto de movimientos adjuntado a la demanda (documento nº 3), y con destino a una cuenta irlandesa, lo que denotaba que podía tratarse, como aconteció, que era una operación fraudulenta.

De conformidad con lo expuesto en el fundamento jurídico anterior, tras denunciar de forma inmediata el demandante una operación bancaria no consentida (según resulta de la denuncia y atestado de los Mossos d’Esquadra de Terrassa del mismo día 03/12/2022), incumbía al proveedor la carga de demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago, circunstancias estas últimas que no han sido probadas en modo alguno.

Por lo demás, ninguna negligencia grave puede imputarse a la parte demandante, que en cuanto tomó conocimiento de la transferencia no consentida por su parte, formuló la referida denuncia policial; acompañada en el mismo mes de Diciembre de 2022 de reclamación escrita a la entidad bancaria (documento nº 5); reiterada el 14/07/2023 vía mail a atención al cliente de Unicaja (documento nº 7), que no obtuvo respuesta.

CUARTO.- En cuanto a los intereses, solicita la parte actora los legales desde la fecha del cargo en cuenta de la operación fraudulenta de litis, a lo que ha lugar, por encontrar amparo legal en los artículos 1100, 1101 y 1108 C.C.

QUINTO.- En cuanto a las costas, estimada la demanda, procede su imposición a la parte demandada, por aplicación del artículo 394.1 de la LEC.

FALLO

Que, estimando la demanda formulada por D. XXXXXXXXXXX, representado por el Procurador Sr. XXXXXXXXXXX, contra la entidad Unicaja Banco S.A., representada por el Procurador Sr. XXXXXXXXXXX, DEBO CONDENAR Y CONDENO a la expresada parte demandada a abonar a la parte actora la cantidad de MIL EUROS (1.000), más los intereses legales de conformidad con lo expuesto en la anterior fundamentación jurídica. Ello con expresa condena de la parte demandada al pago de las costas procesales causadas.

Notifíquese esta resolución a las partes haciéndoles saber que contra la misma no cabe recurso de apelación, deviniendo firme.

Así, por esta mi sentencia, juzgando en esta instancia, lo pronuncio, mando y firmo.

PUBLICACIÓN.- Leída y publicada ha sido la anterior sentencia por el Ilmo. Magistrado-juez que la suscribe estando celebrando audiencia en el día de su fecha, de lo que doy fe.