2.228,95 € recuperados por phishing frente a WiZink

JDO. PRIMERA INSTANCIA N. 7 LOGROÑO

SENTENCIA: 00001/2025
C/ MARQUÉS DE MURRIETA, Nº 45-47 DE LOGROÑO
Teléfono: XXXXXXXX / XX, Fax: XXXXXXXX
Correo electrónico: XXXXXXXXXX
Equipo/usuario: ABA
Modelo: XXXXXXXXXX
N.I.G.: XXXXXXXXXX

JVB JUICIO VERBAL 0001279 /2024
Procedimiento origen: /
Sobre OTRAS MATERIAS

DEMANDANTE D/ña. XXXXXXXX
Procurador/a Sr/a. XXXXXXXX
Abogado/a Sr/a. IVÁN METOLA RODRÍGUEZ

DEMANDADO D/ña. WIZINK BANK, S.A.
Procurador/a Sr/a. XXXXXXXX
Abogado/a Sr/a. XXXXXXXX

Don XXXXXXXX, Magistrado-Juez titular del Juzgado de Primera Instancia número Siete de Logroño y su partido, sobre borrador elaborado por la Juez en Prácticas doña XXXXXXXX, HA PRONUNCIADO la siguiente

SENTENCIA Nº 1 /2025

En la ciudad de Logroño a 8 de enero de 2025; habiendo visto y oído los presentes autos de juicio verbal, tramitado ante este Juzgado bajo el 1279/2024, y entre partes; como demandante don XXXXXXXX, representada por la Procuradora de los Tribunales doña XXXXXXXX y asistida por el Letrado don Iván Metola Rodríguez; y como demandada WiZink Bank, S.A., representada por la Procuradora de los Tribunales doña XXXXXXXX y asistida por el Letrado don XXXXXXXX, sobre reclamación de cantidad, y

ANTECEDENTES DE HECHO

Primero: Por la parte actora se presentó en fecha 9 de septiembre de 2024 demanda de juicio verbal contra la indicada demandada, en la que tras exponer los hechos y fundamentos de derecho que estimó pertinentes, concluyó con la súplica al Juzgado de que tras los trámites oportunos se dictase sentencia por la que se “CONDENE a WIZINK BANK, S.A., a abonar a mi representado el importe de DOS MIL DOSCIENTOS VEINTIOCHO EUROS CON NOVENTA Y CINCO CÉNTIMOS DE EURO (2.228,95 €) junto con los intereses legales de dicha cantidad desde la fecha de su cargo en cuenta. Todo ello con condena a la demandada al pago de las costas causadas con expresión de temeridad”.

Segundo: La representación de la demandada presentó contestación, en la que, después de alegar los hechos y fundamentos de derecho que estimó de aplicación, terminó solicitando se dictase sentencia por la que se le desestimasen los pedimentos recogidos en la demanda.

Tercero: Ninguna de las partes ha interesado la celebración de vista.

FUNDAMENTOS DE DERECHO

Primero: La actora alega que es cliente de la entidad demandada en virtud de contratos multicanal y de tarjeta instrumentados mediante una Tarjeta de crédito WiZink con número XXXXXXXX, doc.1. Se sostiene que en fecha 23 de febrero de 2023 recibió una comunicación de WiZink en la que se le informaba de la confirmación de una compra con su tarjeta, por lo que, dado que no había realizado operación alguna, el actor decidió acceder a su banca online, constatando entonces que se habían detraído de su cuenta 2.228,95 euros mediante dos operaciones que ÉL NUNCA AUTORIZÓ:

• Compra en fecha 23/02/2023 a las 08:57 horas por importe de 1.329,95 euros en Orange E-Shop (multinacional de telecomunicaciones francesa) desde Bruselas (Bélgica).
• Compra en fecha 23/02/2023 a las 09:03 horas por importe de 899,00 euros en Samsung Netherlands (filial neerlandesa de la multinacional tecnológica coreana Samsung) desde Delft (Países Bajos), doc.3.

La actora alega que la entidad bancaria procedió a reintegrar al usuario el importe correspondiente a las compras reclamadas; posteriormente dichas cantidades volvieron a ser cargadas en la cuenta del actor y, en la actualidad, la demandada se niega a su reintegro, doc.5.

El actor sostiene que el banco se debió percatar de la anormalidad de las operaciones, una en Bélgica y otra en Países Bajos en un intervalo de seis minutos y que además no coinciden con el resto de operaciones realizadas por el demandante con la tarjeta. El actor alega que los días 21 y 22 se produjeron ataques de phishing frente a la entidad demandada.

La actora defiende que “WiZink Bank no realizó ningún análisis de las operaciones de pago teniendo en cuenta los datos de que disponía sobre el uso normal característico de su cliente y, sobre todo, no informó al cliente del importe de las operaciones, de su naturaleza, ni del beneficiario.

En este sentido, WiZink Bank no remitió ninguna comunicación a la parte actora proporcionándole información sobre el número del terminal telefónico desde el que se estaban ordenando las compras fraudulentas.

Ni tampoco de circunstancia alguna, como por ejemplo el importe de las operaciones de pago y el beneficiario, datos estos que la entidad proveedora de servicios debía analizar si se correspondía con los patrones habituales de las operaciones de la usuaria de la banca online y que hubiera permitido conocer tal uso fraudulento.”

Segundo: La demandada alega que WiZink Bank tiene un sistema de seguridad consistente en enviar al dispositivo del cliente un clave a la que sólo el propio cliente puede acceder para validar la operación realizada, por lo que la comisión de los hechos por los que se demanda sólo es explicable con una conducta negligente del actor que haya dejado esa clave o su dispositivo a merced de un tercero que pudiera cometer un fraude. En consecuencia, el demandado afirma que se limitó a confirmar unas compras que fueron debidamente autorizadas sin que se hubiera puesto en su conocimiento el robo o extravío de la tarjeta con anterioridad a las operaciones realizadas.

Así, entiende que la conducta se originó debido a una negligencia del demandante, quien pudo dejar los datos de autorización a un tercero que podría haberlos utilizado con fines fraudulentos. Asimismo, afirma que el demandante declaró en la denuncia (doc. 4.) que había sufrido una duplicación de la tarjeta SIM de su teléfono móvil, por lo que WiZink no intervino en modo alguno en el proceso de fraude, habiendo cumplido todas las medidas de seguridad oportunas.

No habiéndose discutido la realidad de las operaciones, la cuestión controvertida se refiere a determinar la responsabilidad derivada de las operaciones no autorizadas.

Tercero: Para resolver la cuestión controvertida es necesario acudir al RDL 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, y concretamente los artículos 41 y siguientes, que se refieren, en concreto, a las obligaciones del usuario y del proveedor del servicio de pago, la notificación y rectificación de operaciones de pago no autorizadas, la prueba de la autenticación y ejecución de dichas operaciones y la responsabilidad en dichos casos del proveedor y del ordenante de servicios de pago.

Así, se establece la carga probatoria del proveedor sobre la autenticación de la operación en caso de negativa de autorización por el usuario. Establece la SAP de Madrid, Sección 9ª, de 4 de mayo de 2015, que “en la LSP se establece un sistema de responsabilidad cuasi objetiva de la entidad proveedora del servicio de pago, con inversión de la carga probatoria, al presumirse la falta de autorización, si el titular lo niega (…). Este sistema de responsabilidad civil tan solo cesa cuando (…) el cliente ha actuado fraudulentamente o con negligencia grave a la hora de aplicar los medios razonables de protección de seguridad personalizados de que haya sido provisto, o en el caso de que no haya comunicado a la entidad el pago no autorizado, en cuanto tenga conocimiento del mismo, siempre y cuando la entidad disponga de un sistema de comunicación adecuado, gratuito y disponible, en todo momento, que le permita al usuario del servicio efectuar la comunicación de la actuación fraudulenta”.

Como consecuencia de dicha responsabilidad cuasi objetiva atribuible al proveedor de servicios de pago, dispone la SAP de La Rioja, Sección 1ª, de X, que la negligencia grave del usuario debe, para excluir la responsabilidad de dicho proveedor, “ser grave en atención a las circunstancias demostradas del caso, atribuyéndose en todo caso la carga probatoria de la misma al proveedor del servicio con arreglo al art.217 LEC”. Y continúa diciendo, en línea con la SAP de Pontevedra 117/2023, de 23 de marzo, que “en interpretación de la Directiva 2015/2366, la negligencia que hace responder al cliente es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional. Como parámetro del actuar negligente también cabrá acudir al art. 1.104 Código Civil, que exige la diligencia asociada a la naturaleza de la obligación y a las circunstancias personales, de tiempo y lugar. Ello destacándose la complejidad y grado de perfección que presenta en la actualidad el método de ‘phishing’ de difícil detección por persona de formación media, así como el deber de la proveedora, del servicio de dotarse de tecnología suficiente y adecuada con exigencia de medidas implantadoras activas, sin entenderse suficientes avisos generales o en página web de mero carácter informativo o divulgativo”.

De conformidad con el marco legal aplicable y la doctrina jurisprudencial expuesta, en lo que respecta a la responsabilidad por operaciones de pago fraudulentas, el proveedor de servicios de pago se encuentra sujeto al cumplimiento de específicas obligaciones de protección en la emisión de los instrumentos de pago y en los procesos de autenticación de las operaciones de pago cuya finalidad es minimizar la probabilidad de ejecución de operaciones no autorizadas y en relación con los instrumentos de pago ha de cumplir con las obligaciones sobre emisión y uso seguro que se establecen en el mencionado art. 42.1 RDL 19/2018 y será el proveedor de los servicios de pago quien habrá de responder por las operaciones de pago resultantes del uso fraudulento del instrumento de pago por un tercero, y siempre que la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por ninguna deficiencia del servicio prestado por el proveedor de servicios de pago, salvo que el ordenante actuara de manera fraudulenta, o incumpliendo deliberadamente o por negligencia grave alguna de las obligaciones recogidas en el art. 41 RDL 19/2018.

De esta manera, al proveedor de servicios de pago le corresponde la carga procesal de acreditar tanto su propio comportamiento diligente en la autenticación de la operación de pago como, en su caso, el fraude (requerirá de la acreditación de hechos de los que pudiera llegar a inferirse que aquel actuó con engaño para beneficiarse de la operación de pago) o la negligencia grave del ordenante (requerirá de la acreditación de las circunstancias concurrentes en la operación de pago de las que quepa inferir que la misma pudo realizarse porque aquel obró con una significativa falta de diligencia al usar del instrumento de pago o al proteger sus credenciales).

Pues bien, de la prueba practicada, si bien es posible acreditar que la entidad actora ha cumplido con su obligación de demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago, sin embargo, no ha demostrado, y a ella correspondía la carga probatoria, que se hubiera producido una negligencia grave en el actuar del actor, que exonere de responsabilidad a la entidad demandada, así como tampoco que hubiera proveído al demandante de los mecanismos de autenticación y supervisión suficientes (reforzados) para detectar y evitar la utilización fraudulenta de su medio de pago, como puede ser el dotarse de la tecnología antiphishing precisa para detectar las páginas o enlaces fraudulentos, impidiendo su acceso, lo que, de haberse producido, hubieran evitado que el defraudador pudiera hacerse con las credenciales del usuario del instrumento de pago por ella emitido, pues la rotura del enlace haría ya ineficaz cualquier conducta que frente al mismo pudiera observar el usuario receptor.

Así, de la lectura del SMS recibido por el actor no es posible concluir, que de haber clicado en el enlace (aunque él lo niegue), se derive su falta de diligencia en la protección de las credenciales del instrumento de pago. No ha de olvidarse que en el phishing se usan técnicas para ganarse la confianza del usuario del instrumento de pago y aprovecharse de una simulación cada vez más perfeccionada. A ello debiera responderse por la entidad bancaria también con mecanismos de protección cada vez mayores y mejores. Así, no podía la entidad desconocer que frecuentemente mediante esta técnica el tercero defraudador utiliza los datos de la tarjeta para activarla en una aplicación de pago, por lo que debiendo conocer que el teléfono desde el que se le había solicitado la activación no se encontraría entre los que hubiera registrado su nombre el actor, la comunicación del número de terminal telefónico devenía exigible para que aquella pudiera conocer que era un tercero quien podría disponer de los datos de la tarjeta mediante la aplicación de pago que se activaría.

De lo expuesto se concluye que la entidad demandada no habría acreditado la observancia de los deberes de diligencia que le eran exigibles en la autenticación de las operaciones de pago, pues ni habría probado haber implementado un mecanismo antiphishing de protección de los usuarios de los instrumentos de pago por ella emitidos frente al uso fraudulento por un tercero para hacerse con las credenciales del instrumento; ni tampoco de avisarle por el mecanismo habitual de contacto con el cliente que se estaba intentando adquirir determinados productos a precios ciertamente importantes en comercios electrónicos situados en el extranjero, a fin de que el demandante hubiera podido, con carácter previo, dar su visto bueno a las utilizaciones concretas que se pretendían, lo que hubiera permitido conocer tal uso fraudulento, conocimiento que solo adquirió tras la recepción del SMS confirmando las operaciones y examinar los movimientos de su cuenta bancaria. Es decir, una mínima diligencia en el cumplimiento de los deberes que la LSP impone al proveedor de servicios de pago podría haber hecho sospechar a la entidad demandada de que las operaciones que se estaban realizando no correspondían a la actividad normal del usuario: el importe de las mismas resulta desproporcionado en atención a las disposiciones de dinero normalmente realizadas por el mismo; por otra parte, se trata de dos operaciones, realizadas en un lapso de 6 minutos en dos países distintos y ajenos al de residencia habitual del usuario, correspondientes a adquisiciones en Orange E-Shop en Bruselas y Samsung Netherlands en Delft (Países Bajos), empresas que no operan en el mercado español, por lo que habría sido fácilmente comprobable si tales operaciones se habían efectuado desde el terminal asociado al usuario y, ante la sospecha de fraude en la ejecución de las operaciones, haber sido bloqueadas o, por lo menos, desplegado las medidas de seguridad a su disposición.

La oposición de la demandada se centra en que el pago se realizó correctamente y fue validado a través del dispositivo móvil mediante comercio electrónico seguro, con lo que, o la contraparte realizó ella misma los pagos o ha sido víctima de un delito de estafa, lo que ha permitido a un tercero tener acceso a la clave que vincula su método de pago móvil. En este sentido, la AP de Burgos señala en Sentencia de 14 de marzo de 2024: “Aunque la entidad demandada dispone de un sistema de seguridad reforzado y que las operaciones realizadas se indica fueron realizadas con los requisitos de autorización pertinentes, se reconoce por aquella que existen distintos sistemas de suplantación de identidad, entre ellos el denominado: SIM swapping que consiste en la clonación o duplicación de la tarjeta SIM del teléfono de la víctima con la finalidad de tener acceso al número de telefónico y, de esta manera, usurpar la identidad del perjudicado, acceder a redes sociales donde constan los datos personales de la víctima, poder acceder al correo electrónico vinculado al dispositivo, a la información contenida en el teléfono móvil entre la que pudiera encontrarse las claves o credenciales personales, secretas e intransferibles del propietario del terminal, incluida la clave de firma electrónica de acceso a la banca online de las entidades financieras. De ello resulta que, en esos casos, el SMS de clave de operación se puede recibir en un terminal fraudulento, lo que hace ineficaz el citado sistema de seguridad”.

Por lo tanto, la garantía de seguridad del sistema está especialmente vinculada a la validación del pago a través de la clave remitida por SMS al teléfono identificado por el cliente. No obstante, sistemas como el swapping suponen un ataque en el que los ciberdelincuentes se hacen con el control de la cuenta bancaria de la víctima haciéndose pasar por ella ante la entidad. Lo hacen a través de un duplicado de la tarjeta SIM del objetivo, a través del cual suplantan su número de teléfono y pasan a recibir los mensajes del banco que sirven para autorizar los cambios de claves o las operaciones de transferencia de dinero. Ello hace que el sistema de seguridad creado por la demandada no sea lo eficiente que ella defiende.

A ello se une la falta de prueba por la demandada de la conducta gravemente negligente del demandante en la observancia de sus deberes de conducta al usar el instrumento de pago. A pesar de manifestar la demandada que el demandante afirma en su denuncia que habían duplicado su tarjeta SIM, no consta en dicha denuncia, doc.4, nada al respecto. Es más, la propia conducta del demandante, al comunicar de forma instantánea la presencia de dos operaciones fraudulentas no autorizadas y presentar denuncia ante la Policía Nacional pocos días después, excluye entender presente la conducta negligente que pudiera excluir la responsabilidad de la demandada, y en consecuencia habrá de ser esta última, como proveedora de los servicios de pago usados de manera fraudulenta por un tercero logrando con ello acceder a la cuenta bancaria del demandante, quien haya de responder las pérdidas sufridas por este con tales operaciones.

Cuarto: Estimando íntegramente la demanda, procede condenar a la parte demandada al pago de los intereses legales de los artículos 1100 y 1108 del Código Civil, desde la fecha de la interposición de la demanda – 9 de septiembre de 2024 – hasta la fecha de la presente resolución. Desde ese momento y hasta su completo pago, se aplicarán los intereses del artículo 576 de la Ley de Enjuiciamiento Civil.

Quinto: Conforme al artículo 394 de la Ley de Enjuiciamiento Civil, “en los procesos declarativos las costas de la primera instancia se impondrán a la parte que haya visto rechazadas todas sus pretensiones, salvo que el tribunal aprecie, y así lo razone, que el caso presentaba serias dudas de hecho o de derecho; si fuera parcial la estimación o desestimación de las pretensiones, cada parte abonará las costas causadas a su instancia y las comunes por mitad, a no ser que hubiese méritos para imponerlas a una de ellas por haber litigado con temeridad”. En el presente caso, procede su imposición a la demandada.

VISTOS los preceptos legales citados, concordantes y demás de general y pertinente aplicación,

FALLO

ESTIMAR la demanda presentada por la Procuradora de los Tribunales doña XXXXXXXX, en nombre y representación de don XXXXXXXX y frente a WIZINK BANK S.A., y, en consecuencia:

1. Condenar a la entidad demandada a abonar a la actora la suma de 2.228,95 euros

2. Condenar a la entidad demandada a abonar a la actora los intereses legales, que serán los previstos en los artículos 1100 y 1108 CC desde la interposición de la demanda el día 9 de septiembre de 2024 hasta la fecha de la presente resolución, y desde ese momento y hasta su completo pago se aplicarán los del artículo 576 LEC.

3. Las costas se impondrán a la parte demandada.

Advierto a las partes que contra esta sentencia no cabe interponer recurso alguno.

Así por esta mi sentencia lo pronuncio, mando y firmo.

EL MAGISTRADO