1.789 € recuperados por phishing frente a WiZink

SENTENCIA Nº 150/2025

JUEZ/MAGISTRADO- JUEZ: D./Dña. XXXXXXXX
Lugar: Madrid
Fecha: diecinueve de marzo de dos mil veinticinco

Vistos por la Ilma. Sra. Dña. XXXXXXXX, Magistrada Juez del Juzgado de Primera Instancia nº 42 de Madrid, los presentes autos de Juicio Verbal sobre reclamación de cantidad, seguidos ante este Juzgado con el nº 1125/24, a instancia de DÑA. XXXXXXXX, representada por el Procurador D. XXXXXXXX, y asistida por el Letrado Sr. Metola Rodríguez, contra WIZINK BANK S.A., representado por la Procuradora Dña. XXXXXXXX, y asistido por el Letrado Sr. XXXXXXXX.

ANTECEDENTES DE HECHO

PRIMERO: Por la parte actora se formuló demanda, en la cual se solicitaba, previa alegación de los hechos y los fundamentos de derecho, que se dicte sentencia “por la que, estimando íntegramente la demanda, condene a WIZINK BANK S.A. a abonar a mi representado el importe de 1.798 euros junto con los intereses legales de dicha cantidad desde la fecha de su cargo en cuenta, Todo ello con condena a la demandada al pago de las costas causadas con expresión de temeridad”.

SEGUNDO: Admitida a trámite la demanda, por Decreto de 10 de Septiembre de 2024, se acordó dar traslado a la otra parte, que contestó en tiempo y forma a la demanda, solicitando al mismo tiempo la celebración de juicio, por lo que se citó a ambas a la celebración de una vista. En el acto de la vista, se practicaron todas las pruebas propuestas y admitidas por SSª, quedando los autos vistos para sentencia.

TERCERO: En la tramitación del presente procedimiento se han observado todas las prescripciones legales, y de general y pertinente aplicación.

FUNDAMENTOS DE DERECHO

PRIMERO: Por la parte actora se ejercita la acción de reclamación de las cantidades que dice adeudar la demandada, como consecuencia del defectuoso cumplimiento de sus obligaciones contractuales, al no haberle reembolsado las cantidades que le fueron detraída de la tarjeta que tiene contratada con la entidad, cargos que ella en ningún momento autorizó. Entiende la demandante que ha sido objeto de una estafa o fraude informático, del que ninguna responsabilidad puede atribuírsele, habida cuenta de que nunca cedió sus datos ni claves bancarios a quien le contractó vía correo electrónico, de manera que, habiendo advertido al banco de manera inmediata que no fue ella quien realizó tales compras, es obligación del banco devolverle el importe de las mismas, sin que hasta el momento haya cumplido con dicha obligación Por todo ello, y siendo imposible una solución extraprocesal, reclama ahora, a través de este procedimiento, lo que cree que le es debido.

La parte demandada se opone, en su contestación, alegando que fue la demandante la que, con su actuar negligente, accediendo al enlace que se adjuntaba a ese correo electrónico recibido, e introduciendo sus claves bancarias facilitó la consecución de esta estafa, habiendo adoptado la entidad cuantas medidas de seguridad le son exigibles para evitar este tipo de fraudes, sin que se le pueda hacer responsable cuando se acredita, como en el presente caso, que fue el/la cliente quien no adoptó las medidas adecuadas para evitarlo. Por todo ello, solicitan la desestimación de la demanda, con imposición de costas a la parte contraria.

SEGUNDO: Se ejercita, por la parte actora, la acción de responsabilidad contractual, por un defectuoso cumplimiento del demandado, de su obligación de responder frente a cliente que ha sido víctima de una estafa, y reembolsarle el dinero indebidamente detraído de sus cuenta, con motivo de la misma, y sin su consentimiento.

Precisamente por encontrarnos en el marco de una relación contractual, que se entiende establecida desde el momento en que el usuario paga un precio, previamente estipulado, por la adquisición de un producto o por la prestación de un servicio que ofrece la entidad demandada, hemos de partir de lo dispuesto en los artículos 1101, 1105 y concordantes de nuestro Código Civil, según los cuáles quedan sujetos a la obligación de indemnizar daños y perjuicios quienes, en el cumplimiento de sus obligaciones, incurran en dolo, negligencia o morosidad, y los que de cualquier modo contravinieren su tenor, a no ser que los mismos sean imputables a la contraparte, a fuerza mayor, o a caso fortuito.

Junto a tal normativa, no podemos olvidar la aplicación al caso que nos ocupa del Texto Refundido de la Ley de Defensa de Consumidores y Usuarios, aprobado por Real Decreto Legislativo 1/2007 de 16 de Noviembre, al tratarse del “consumo” de un bien o servicio, y, por tanto, la sujeción del mismo al régimen de responsabilidad recogido en los artículos 128 y siguientes de dicha norma. El artículo 128 señala que “todo perjudicado tiene derecho a ser indemnizado en los términos establecidos en este Libro por los daños o perjuicios causados por los bienes o servicios. Las acciones reconocidas en este libro no afectan a otros derechos que el perjudicado pueda tener a ser indemnizado por daños y perjuicios, incluidos los morales, como consecuencia de la responsabilidad contractual, fundada en la falta de conformidad de los bienes o servicios o en cualquier otra causa de incumplimiento o cumplimiento defectuoso del contrato, o de la responsabilidad extracontractual a que hubiere lugar”.

En el presente caso, tratándose el servicio contratado de un servicio de operaciones de pago con tarjeta, hemos de acudir a la normativa específica en tal materia, que es la contenida en el Real Decreto Ley 19/2018, DE 23 DE Noviembre, de Servicios de Pago y otras medidas urgentes en materia financiera. El artículo 45 de dicha Ley señala que “1. Sin perjuicio del artículo 43 de este real decreto-ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada.

El artículo 43, por su parte, establece que “1. El usuario de servicios de pago obtendrá la rectificación por parte del proveedor de servicios de pago de una operación de pago no autorizada o ejecutada incorrectamente únicamente si el usuario de servicios de pago se lo comunica sin demora injustificada, en cuanto tenga conocimiento de cualquiera de dichas operaciones que sea objeto de reclamación, incluso las cubiertas por el artículo 60, y, en todo caso, dentro de un plazo máximo de trece meses contados desde la fecha del adeudo”. Y, finalmente, el artículo 46 del propio Texto Legal viene a decir que “El ordenante soportará todas las pérdidas derivadas de operaciones de pago no autorizadas si el ordenante ha incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41. En esos casos, no será de aplicación el importe máximo contemplado en el párrafo primero”

Las expresiones contenidas en los preceptos citados, reflejan que en la citada Ley de Servicios de Pago antes dicha lo que se establece es un sistema de responsabilidad cuasi objetiva de la entidad proveedora del servicio de pago, con inversión de la carga probatoria, al presumirse la falta de autorización, si el titular lo niega, como ocurre en el presente supuesto. Este sistema de responsabilidad civil, tan solo cesa cuando conforme a lo establecido en el artículo 32 o 46 de dicha Ley, el cliente ha actuado fraudulentamente o con negligencia grave a la hora de aplicar los medios razonables de protección de seguridad personalizados de que haya sido provisto, o en el caso de que no haya comunicado a la entidad el pago no autorizado, en cuanto tenga conocimiento del mismo, siempre y cuando la entidad disponga de un sistema de comunicación adecuado, gratuito y disponible, en todo momento, que le permita al usuario del servicio efectuar la comunicación de la actuación fraudulenta.

Corresponde, por tanto, al cliente demandante, la carga de acreditar que no autorizó dichos pagos, y al Banco la obligación de demostrar, no qué actuó con la diligencia debida, ni que adoptó todas las medidas de seguridad a su alcance para evitar que este tipo de fraudes afecte a sus clientes, sino si el cliente concreto de cada caso contribuyó, con su actuar negligente, a que el fraude pudiera tener lugar.

TERCERO: Respecto de la primera de las cuestiones ningún problema plantea su declaración como acreditada desde el momento en que la parte actora acompaña, junto con sus demanda, extracto bancario de todos y cada uno de los movimientos que dice no haber realizado ni consentido, así como copia de la denuncia penal interpuesta en comisaría, narrando lo acontecido (dos.4 y 6 de la demanda). A ello se le une el hecho de que la parte demandada no haya puesto en duda el hecho de que la actora fuera víctima de una estafa, poniendo el foco de atención en el comportamiento de la demandante al recibir el correo electrónico que desencadenó la estafa, lo que abordaremos a continuación. Ello significa que, no siendo un hecho controvertido, y en virtud de lo dispuesto en el artículo 281.3 LEC, el primer de los requisitos de la acción ha de entenderse concurrente.

Pasando al análisis del segundo de los presupuestos, las partes solicitaron inicialmente vista, pero luego renunciaron a ello, por lo que, para el esclarecimiento de los hechos, contamos sólo con la prueba documental de una y otra parte, y con el atestado policial instruido tras la denuncia de la demandante.

Así, de los documentos aportados con la demanda, aparte del cargo no autorizados, y de la reclamación extrajudicial dirigida por la demandante a su banco, con las respuestas del mismo, se aporta la denuncia penal interpuesta por la misma a petición de Wizink Bank. Si leemos con detenimiento la misma podemos constatar que en el relato en ella contenido en modo alguno se afirma que la demandante autorizara compra alguna, sino que accedió al enlace del mensaje con su contraseña bancaria y luego empezó a introducir los códigos que le remitían en la creencia de que estaba procediendo a la actualización de su cuenta para seguir disfrutando de los servicios de su tarjeta y banco, pero que interrumpió dicho proceso cuando empezó a sospechar que había algo extraño. En ningún punto de esta denuncia se dice que le pidieran su clave y ella las facilitara.

Frente a ello, la parte demandada adjunta a su contestación las publicaciones de su página web advirtiendo de posibles fraudes como el presente así como un certificado, expedido por la empresa Redsys, señalando que las operaciones fraudulentas denunciadas por la cliente de WIZINK BANK fueron autorizadas, registradas con exactitud y contabilizadas, y no se vieron afectadas por un fallo técnico o cualquiera otra deficiencia, tratándose de operaciones autenticadas mediante el método de seguridad de la marca.

Con todo cuanto antecede es evidente que la parte demandada, entidad bancaria en este caso, no ha acreditado que su cliente hoy demandante no actuara con diligencia, puesto que no queda probado, como debiera, por dicha parte, que la misma facilitara de uno u otro modo el acceso de personas ajenas a sus datos bancarios, ni que facilitara sus claves a terceros, propiciando que los mismos pudieran acceder a su cuenta y realizar movimientos como si de ella misma se tratase. Asimismo, sí queda demostrado que la demandante puso lo ocurrido inmediatamente en conocimiento de su banco, de manera que tampoco le es imputable un retraso indebido en la comunicación del fraude sufrido.

A tales efectos, es de destacar que los anuncios de posibles operaciones de estafa que realizó el Banco fueron a través de su página web, es decir, que no se trató de comunicaciones directas a sus clientes, mediante correos electrónicos, cartas, o mensajes en su propia app, a los que tuvieran acceso en el momento de operar con su tarjeta, sino mensajes o anuncios generalizados en una página web que el cliente no tiene por qué visitar, y que no garantiza en modo alguno que le haya llegado dicha información. Respecto del certificado mencionado, garantiza, efectivamente, que no hubo fallos en el sistema, pero no que la demandante actuara de modo negligente, único supuesto en que decaería la obligación de la entidad bancaria de devolverle los importes de las operaciones no autorizadas y denunciadas por ellas.

En este sentido, cabe recordar lo declarado en la Sentencia de la Audiencia Provincial de Zaragoza, de 14 de mayo de 2013, que manifestó lo siguiente: [Con estos datos el banco demandado considera que debió de existir un comportamiento negligente por parte de los clientes para que un tercero accediera a las claves y coordenadas que daban acceso a las cuentas y a la orden de transferencias y operaciones desde ellas. Ampara su tesis en que el sistema informático de «Barclays» es muy seguro y, además, se adoptan importantes medidas de seguridad y advertencias de uso correcto a los clientes, a fin de evitar errores o caer en engaños o simulaciones de la página real de la entidad.

Obviamente, estas afirmaciones nada prueban y, menos aún, cuando la legislación aplicable carga con la prueba del correcto funcionamiento del sistema informático al banco o proveedor del servicio de pago (art 30 Ley de Servicio de Pagos). Así lo reitera el Informe del Banco de España recaído en este asunto concreto, de 13-9-2010. Parece de una obviedad incontestable que no ha de ser el cliente quien tenga que detectar las disfunciones de un sistema que ni ha creado ni manejado, ni tiene posibilidad de ello].

En sentido similar, la Sentencia de la Audiencia Provincial de Alicante, Sección 8º, de fecha 12 de Marzo del 2018, viene a recalcar que «…no es cierto que la carga de la prueba sobre la implementación de medidas de seguridad adecuadas, suficientes, eficiente s y actuales al nivel de riesgo modalidades de ataques informáticos en la red bancaria de banca online lo sea a cargo del usuario del sistema, pues el marco de responsabilidad establecido para el caso de operaciones de pagos hechos por proveedores de servicios no autorizadas o ejecutadas incorrectamente, es el de la cuasi-objetividad tal cual se desprende de la regulación específica sobre la materia, sin perjuicio del régimen general de la carga de la prueba”

Y, finalmente, debemos mencionar lo resuelto por La Audiencia Provincial de Barcelona, Sección 14ª, en Sentencia de 7 de Marzo de 2013, en supuesto similar al analizado, que defiende que «En estudio de la presente debemos señalar que hay distintos fraudes informáticos sobre las cuentas de los clientes de entidades crediticias, uno de ellos el denominado phising que proviene del inglés pescar, phishing es la contracción de password harvesting fishing: cosecha y pesca de contraseñas, y, en el que se utiliza, como se indica en la demanda, a unas personas llamadas «muleros», que son personas que abren una cuenta corriente a la que se transfieren los fondos, y después éste los transfiere a otra o dispone de los mismos, cobrando por ello una comisión, y no necesariamente son conocedores del acto ilegal. El phising tal como la misma Caixa contesta al demandante conoce su existencia y operativa, pues dicha modalidad fraudulenta de movimientos de cuenta es una práctica extendida, por lo que, exige por ello que la entidad bancaria o crediticia deba adoptar medidas de seguridad específicas, siguiendo las recomendaciones existentes, o que puedan practicar otras entidades. Siendo conocido o debe serlo en una entidad como la demandada, los distintos fraudes, como clonación de tarjeta en comercio o en un banco «Pisica» o gato en lengua rumana, el lazo libanés o falsa boca en cajero en que se introduce la tarjeta, skimming o carcasa superpuesta que tiene diferentes variantes, y el phising que aquí se alega por la Caixa como utilizado, que también pudiere ser el Pharming en que similar a aquel, pero consiste en introducirse en un servidor ya sea local o ISP, a través de hackers. O, ya bien, a través de la introducción de virus o spyware en los ordenadores, o keyloogers que registra todas las teclas que el usuario oprime en el teclado para capturar claves, contraseñas, etc…, o el hacking o variantes del hijacking o secuestro o modificación de (IP, o page, o módem, o browser, etc…). En definitiva, lo que no puede ofrecerse es un sistema on line sin adoptar las medidas de seguridad necesarias, conociendo además de su existencia, por lo que, la declaración del legal representante de la demandada en juicio, al igual que la contestación que recibe por carta el actor, no pueden admitirse, en una exención total de responsabilidad sin más. Pues, por más recomendaciones que se hagan al usuario o cliente, como se alega por la Caixa, es ésta la que ofrece un producto en principio seguro, pero con conocimiento de los distintos riesgos ajenos a un uso del cliente con todas las recomendaciones, por lo que corresponde a la misma adoptar las medidas de seguridad o control necesarias, y renovarse ante los distintos modos de «ataque» informático”.

Por todo lo anteriormente expuesto, y teniendo en cuenta la línea argumental común de la Jurisprudencia señalada, procede condenar a la demandada por su responsabilidad contractual frente a la demandante, al no haber faltado a su obligación de reintegrar los importes de las operaciones no autorizadas por la misma de manera inmediata, ante la ausencia de negligencia demostrada por parte del cliente, debiendo, en consecuencia, estimar íntegramente la demanda, y condenar a la demandada al pago de la cantidad de 1.798 euros.

CUARTO: En cuanto a los intexeses reclamados, el artículo 1108 del Código Civil establece que “si la obligación consistiere en el pago de una cantidad de dinero, y el deudor incurre en mora, la indemnización de daños y perjuicios, no habiendo pacto en contrario, consistirá en el pago de los intereses convenidos, y, a falta de convenio, en el interés legal”. En el presente caso dichos intereses habrán de empezarse a computar desde la interpelación judicial, el 12 de Marzo de 2024 y hasta el dictado de la presente resolución. A partir de que haya recaído sentencia, comenzarán a devengarse los intereses legales del artículo 576 de la Ley de Enjuiciamiento Civil, con el alcance que establece dicho precepto, por ser estos de aplicación directa, sin necesidad de que sean solicitados por la parte interesada.

QUINTO: En materia de costas, dada la estimación total de la demanda, hay que estar a lo dispuesto en el nº 1 del artículo 394 de la Ley de Enjuiciamiento Civil, por lo que procede imponer el pago de las mismas a la parte demandada.

FALLO

ESTIMO la demanda interpuesta por el Procurador D. XXXXXXXXX, en nombre y representación de DÑA. XXXXXXXXX frente a WIZINK BANK S.A., y CONDENO al demandado al pago de la cantidad de MIL SETECIENTOS NOVENTA Y OCHO EUROS (1.798´00 euros), más los intereses moratorios y legales correspondientes, imponiéndoles, asimismo, el pago de las costas procesales que se hubieren causado.

Notifíquese esta sentencia a las partes, haciéndoles saber que no es firme, y que contra la misma cabe interponer RECURSO DE APELACIÓN que, en su caso, deberá interponerse ante este mismo Juzgado en el plazo de 20 días a contar desde su notificación (Art. 455 LEC). La interposición de dicho recurso exige la previa constitución de depósito judicial en la cantidad de 50 EUROS, a ingresar en la cuenta de depósitos y consignaciones de este Juzgado, advirtiéndose a las partes que la no constitución del citado depósito dará lugar a la inadmisión a trámite del mismo (Apartado 6 y 7 de la Disposición Adicional Decimoquinta de la LOPJ, según redacción dada a la misma por Ley Orgánica 1/2009 de 3 de Noviembre). Dicho depósito será devuelto al recurrente en caso de estimación total o parcial de la apelación planteada.

Llévese el original al libro de sentencias.

Por esta mi sentencia, de la que se expedirá testimonio para incorporarlo a las actuaciones, la pronuncio, mando y firmo.

PUBLICACIÓN: Leída que ha sido la anterior Sentencia por la Magistrada Juez que la firma, estando celebrando Audiencia Pública en el día de la fecha; doy fe.