3.429€ recuperados por Phishing en WiZink

SENTENCIA Nº 175/2025

Jueza: XXXXXXXXX

Barcelona, 8 de abril de 2025

ANTECEDENTES DE HECHO

Primero. En el Juicio verbal (250.2) (VRB) 1100/2024 la parte demandante XXXXXXXXX representada por el/la y defendida por el/la Letrado/a Ivan Metola Rodriguez, presentó demanda contra WIZINK BANK S.A, representado por el/la y defendido por el/la Letrado/a XXXXXXXXX en reclamación de la cantidad de 3429 euros, más intereses legales.

Segundo. La demanda se admitió y se tramitó conforme a la normativa procesal para este tipo de procedimiento oponiéndose el demandado en su contestación. No habiendo solicitado la celebración de vista se dio cuenta al JAT 2 de refuerzo de los juzgados de Instancia de Barcelona para su resolución.

FUNDAMENTOS DE DERECHO

PRIMERO.- El objeto de la controversia.

Señala la actora como objeto de su demanda que el día 24 de septiembre de 2023 sobre las 23.00 horas recibió una comunicación por correo electrónico aparentemente remitida por la entidad WIZINK en la que se indicaba que para evitar ataques de phishing el banco se encontraba en proceso de implantación de un sistema de autenticación doble y si no se realizaban los trámites, la cuenta quedaría bloqueada.

Explica que accedió al enlace enviado al correo e introdujo los datos personales de su identificación recibiendo un código de confirmación por SMS. A la mañana siguiente, el día 25 de septiembre vio constató que WIZINK le había remitido tres correos electrónicos (a las 0.02, a las 2.02 y a las 3.13 horas) alertándole de accesos sospechosos a su cuenta bancaria. Accedió a su cuenta online y observó que le habían detraido la cantidad de 3.429 euros realizando dos operaciones: (1) la primera de 1929 euros en Samsung Iberia, (2) la segunda, de 1500 euros en Fortuneo Credit. Comunicó inmediatamente a WIZINK las operaciones, que procedió a bloquear la tarjeta y puso denuncia en Mossos d’Esquadra. En un primer momento, WIZINK le devolvió el importe de la primera operación y con posterioridad lo volvió a cargar de nuevo, negándose a la devolución de las cantidades.

Opone la demandada que las operaciones le constan en su sistema como autenticadas por el titular, por lo que no debe responder de los importes que se le reclaman.

La solución del presente pleito pasa por determinar la responsabilidad de WIZINK en las operaciones fraudulentas que minoraron el patrimonio del actor.

SEGUNDO.- Marco legal aplicable.

No se discute por la parte demandada ni la existencia de relación contractual que liga a las partes, ni el cargo de esos importes en la cuenta de la actora. En efecto, las partes están ligadas por el contrato de cuenta bancaria: el banco se obliga a realizar cobros y pagos por cuenta del cliente y a admitir ingresos o reingresos. XXXXXXXX lo define «como un contrato de gestión, en virtud del cual el banco se compromete a realizar por cuenta de cliente cuantas operaciones son inherentes al servicio de caja, realizando las correspondientes anotaciones contables».

WIZINK BANK, demandada en este procedimiento, es la prestadora de Servicios de pago a través del modelo de banca virtual dispuesto por ella misma a disposición del cliente. Como partes del contrato, ambas tienen obligaciones conforme a la legislación aplicable.

Una transferencia bancaria es un servicio que forma parte del contrato de servicio de caja entre el banco (proveedor del Servicio de pago) y su cliente. Sirve de medio de pago mediante el débito en la cuenta del ordenante y abono en la del beneficiario. Se trata de un medio de pago consistente en una orden dada al banco (banco emisor) por parte de un cliente (ordenante) a fin de que, con cargo a su cuenta, abone un determinado importe en otra cuenta del mismo o distinto banco (banco destinatario) abierta a nombre de un tercero (beneficiario) o del propio ordenante.

Las transferencias se regulan en la Ley de Servicios de Pago (LSP) RD 18/2018 de 23 de noviembre, recogiendo la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015, al igual que ya hacía la Directiva 2007/64/CE. La LSP define la orden de pago como «toda instrucción cursada por un ordenante o beneficiario a su proveedor de servicios de pago por la que se solicite la ejecución de una operación de pago» ( art. 3.28 LSP ). Desde un punto de vista contractual toda transferencia constituye una forma de ejecución de obligaciones contractuales previamente asumidas, ejecución obligada cuan   do se dan las condiciones pactadas, de ordinario, que haya provisión de fondos. Es por ello que se entiende que la orden de transferencia constituye una declaración de voluntad o mandato en virtud del cual el banco asume la realización de transferencias por cuenta del cliente como parte del contrato de servicio de caja.

El art. 36 de la LSP establece al respecto que » el ordenante y su proveedor de servicios de pago acordarán la forma en que se dará el consentimiento así como el procedimiento de notificación del mismo«, negocio jurídico que determina que la transferencia se entienda autorizada por el ordenante de acuerdo con el mismo precepto de la LSP. El consentimiento del ordenante se prestará, según el medio utilizado para prestar dicho consentimiento, mediante, o la firma de la autorización y orden de transferencia correspondiente, o verbalmente a través de la vía telefónica o a través de banca por internet o electrónica. Tanto en la banca telefónica como por internet, el proveedor de servicios de pago, o lo que es lo mismo, el banco emisor, debe implementar las medidas necesarias para asegurar la autenticación e identidad del ordenante a la hora de prestar su consentimiento. Por ello y para su ejecución, el banco debe comprobar en todo caso la autenticidad de la orden. Tal como indica el articulo 36 en relación con el consentimiento del cliente bancario: «Las operaciones de pago se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución. A falta de tal consentimiento la operación de pago se considerará no autorizada«.

De ordinario, para la realización de transferencias ordinarias con cargo a una cuenta vinculada es preciso que el cliente haya de autenticar la operación mediante la introducción de las claves previamente facilitadas por la entidad de crédito con la que contrata, con respecto a las cuales tendrá unos deberes de custodia. La falsedad de la transferencia (es decir, que el ordenante no sea el titular de la cuenta) es un riesgo a cargo del banco porque, en principio, el deudor sólo se libera pagando al verdadero acreedor por lo que si el banco cumple una orden falsa, habrá de reintegrar en la cuenta correspondientes las cantidades cargadas. Una excepción a esta distribución de riesgos se produce en el caso de que el titular haya creado o elevado el riesgo de falsificación de forma imputable en el caso concreto.

En concreto, el articulo 44 señala que: “1. Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago. 2. A los efectos de lo establecido en el apartado anterior, el registro por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 41. 3. Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave”.

Sobre el concepto de fraude o negligencia grave en el usuario, la SAP de Barcelona sección 1 del 07 de junio de 2023 ( ROJ: SAP B 6560/2023 – ECLI:ES:APB:2023:6560 ) con cita de la «la SAP de Pontevedra, 177/2023, de 23 de marzo :» En interpretación de directiva 2015/2366 , la negligencia que hace responder al cliente es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario , no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional. Como parámetro del actuar negligente también cabrá acudir al art. 1.104 CC, que exige la diligencia asociada a la naturaleza de la obligación y a las circunstancias personales, de tiempo y lugar. Ello destacándose la complejidad y grado de perfección que presenta en la actualidad el método de «phishing» de difícil detección por persona de formación media, así como el deber de la proveedora, del servicio de dotarse de tecnología suficiente y adecuada con exigencia de medidas implantadoras activas, sin entenderse suficientes avisos generales o en página web de mero carácter informativo o divulgativo -por todas, SS. AP Pontevedra (Secc. 6ª) 21.12.21 y Madrid (20ª) 20.5.2022 , en la línea de lo razonado en SS. AP Valencia (6ª) 13.6.2022 , Granada (5ª) 20.6.2022 y Badajoz (3ª) 21.6.2022 -.»

Por estos motivos las entidades prestadoras del servicio de banca online deben dotarse de medidas suficientes que garanticen al usuario la seguridad de las operaciones. Consecuencia derivada de la omisión, insuficiencia o defectuoso funcionamiento de las adoptadas es que han de ser las entidades bancarias las que asuman las consecuencias derivadas de los fallos de seguridad del sistema. La banca electrónica está siendo objeto de transferencias no autorizadas por el cliente y que vienen antecedidas por el método delictivo conocido como phishing que constituye una modalidad específica de fraude informático que visualiza las deficiencias de seguridad del sistema informático de una entidad y que trae causa en el uso de las redes telemáticas. La responsabilidad en estos supuestos no puede atribuirse directamente al supuesto ordenante de la transferencia por entenderse ésta autorizada al haberse realizado de acuerdo con los sistemas de autenticación del banco. Los sistemas de autenticación se establecen por los proveedores de servicios de pago y si un banco no ha sido capaz de limitar el acceso al canal de banca electrónica no puede pretender que el presunto ordenante víctima de esta práctica fraudulenta sea el único responsable, pues es el banco quien tiene responsabilidad respecto del buen funcionamiento y la seguridad del mismo.

Las medidas de seguridad no solamente están destinadas a proteger la seguridad de las órdenes de pago emitidas por los clientes sino que su eficacia exonera a las entidades de crédito de sus responsabilidades frente a las órdenes de pago no emitidas por sus clientes de tal forma que el incumplimiento de este específico deber de vigilancia da lugar a una responsabilidad por «culpa in vigilando» o responsabilidad objetiva por el mal funcionamiento de los servicios de banca electrónica.

Por su parte los clientes tienen un deber de custodia respecto de sus claves de
acceso a la banca electrónica similares al que tienen los titulares de tarjetas de crédito respecto de su correspondiente número secreto. En consecuencia, hay responsabilidad bancaria por los defectos de seguridad del sistema que determina la ejecución de órdenes de pago no autorizadas por su cliente, con la única excepción de que el banco acredite la culpa o negligencia de la víctima. El artículo 41 de la LSP señala que “El usuario de servicios de pago habilitado para utilizar un instrumento de pago: a) utilizará el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago que deberán ser objetivas, no discriminatorias y proporcionadas y, en particular, en cuanto reciba un instrumento de pago, tomará todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas; b) en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, lo notificará al proveedor de servicios de pago o a la entidad que este designe, sin demora indebida en cuanto tenga conocimiento de ello”.

TERCERO.- Valoración de la prueba.

En nuestro caso concreto, el cliente recibe en su teléfono móvil un correo electrónico de, aparentemente, su banco, solicitándole precisamente que entre en su página web para mejorar las medidas contra ciberestafas. Así lo hace el cliente. Se comprueba mediante el documento 2 que el canal de comunicación es el mismo que el que utiliza WIZINK, pues el documento 3 (correo electrónico no fraudulento) tiene las mismas características, habiendo plagiado los ciberdelincuentes la web del demandado. El actor, utilizando el canal habitual de aviso de WIZINK (correo electrónico), entra en el enlace engañado por el ciberdelincuente, que tras hacerse con sus datos recibe los SMS de autenticación que envía WIZINK para las operaciones. Se acredita así la forma de realización del fraude mediante el documento 4. No pudiendo imputarse negligencia grave del cliente pues no consta en autos que tenga conocimientos suficientes para operar por internet detectando fraudes por el hecho de atender lo que considera una petición de su entidad bancaria y proceder según le piden, sobre todo si la propia entidad bancaria no ha conseguido evitar que le llegara tal comunicación fraudulenta. Se acredita, por contra, que el cliente no utiliza la tarjeta para realizar compras online y que los único productos comprados han sido los importes que aquí se reclaman. De hecho, WIZINK, cumpliendo con la obligación que le impone el artículo 43 de la LSP, devolvió el primer importe cargado en la cuenta bancaria del cliente, para retirárselo de nuevo después. A mayor razón, en la valoración de la diligencia debida en el control de las medidas de seguridad dispuestas, WIZINK BANK detectó durante la noche de los hechos accesos no consentidos y comunicó por correo electrónico al demandante (documento 3), sin evitar, aun detectando la intrusión, la retirada de los importes. El artículo 40.2 de la LSP dice que «2. Siempre que se haya acordado en el contrato marco, el proveedor de servicios de pago podrá reservarse el derecho de bloquear el instrumento de pago por razones objetivamente justificadas relacionadas con la seguridad del instrumento de pago, la sospecha de una utilización no autorizada o fraudulenta del mismo o, en caso de que esté asociado a una línea de crédito, un aumento significativo del riesgo de que el ordenante pueda ser incapaz de hacer frente a su obligación de pago». Por todo ello, la parte demandada no ha acreditado la culpa o negligencia grave del actor en el secreto de las claves de la banca online, hecho que le competía por aplicación del 217 y 44.3 de la LSP. Sino la voluntad de cumplimiento las obligaciones de su contrato con diligencia: colaborar con el que creía ser su banco que le solicitaba, por el canal de comunicación ordinario, para mejorar las medidas de seguridad y comunicar el fraude de manera inmediata. Fraude que, por otra parte, ya conocía su banco. En igual sentido cabe afirmar la responsabilidad también desde la perspectiva del art 147TRLGDCyU igualmente invocado en demanda pues la prestadora del Servicio no ha probado haber cumplido con las exigencias y requisitos impuestos normativamente ni haber observado los cuidados y diligencia que exige la naturaleza de estos servicios de pago que provee la demandada a la demandante.

Por tanto, aunque en el sistema interno de WIZINK ambas transferencias aparezcan como autenticadas, no pueden entenderse como tal pues no fue la voluntad del cliente y el banco no tenía los medios electrónicos necesarios para evitar la primera de las transferencias y en la segunda, aún detectando la intrusión, la admitió igualmente. Por lo que debe estimarse íntegramente la demanda.

CUARTO. Conforme a lo previsto en el artículo 394 de la Ley de Enjuiciamiento Civil (LEC) las costas deben imponerse a la parte cuya pretensión haya sido desestimada.

FALLO

Estimo la demanda presentada por el/la Procurador/a  XXXXXXXXX, en nombre y representación de Don XXXXXXXXX, contra WIZINK BANK S.A; y la condena a la parte demandada a abonar a la actora la cantidad de TRES MIL CUATROCIENTOS VEINTINUEVE EUROS (3429,00 euros), más intereses legales.

Impongo a la parte demandada del pago de las costas causadas en este proceso.

Modo de impugnación: recurso de APELACIÓN ante la Audiencia Provincial de Barcelona (art.455 de la LEC).

El recurso se interpone mediante un escrito que se debe presentar en la Audiencia Provincial dentro del plazo de VEINTE días, contados desde el siguiente al de la notificación, en el que se debe exponer las alegaciones en que se base la impugnación, citar la resolución apelada y los pronunciamientos que impugna. Además, se debe constituir, en la cuenta de Depósitos y Consignaciones del órgano judicial ate el que se interponga el recurso, el depósito a que se refiere la DA 15ª de la LOPJ reformada por la LO 1/2009, de 3 de noviembre. Sin estos requisitos no se admitirá la impugnación (arts. 458.1 y 2 de la LEC).

Lo acuerdo y firmo.

La Jueza.