La sentencia de la
Audiencia Provincial de Cáceres, sec. 1ª, de 16 de febrero de 2022, nº
132/2022, rec. 1370/2021, establece la responsabilidad directa de la entidad bancaria
por los cargos realizados mediante la utilización no consentida de la tarjeta
del cliente.
La entidad financiera
demandada no puede invertir la carga de la prueba exonerándose de la actividad
acreditativa que le corresponde al amparo de la alegación de que todas las
operaciones habían sido autenticadas, registradas y contabilizadas, en la
medida en que, de ser así, lo fueron de forma fraudulenta porque el titular de
los contratos no las autorizó y comunicó formalmente el fraude.
El artículo 44 del RDL
19/2018, que "impone a la entidad financiera la carga de la prueba de que
el usuario del servicio de pago cometió fraude o negligencia grave en los casos
en que el usuario niegue haber autorizado una operación de pago ya ejecutada o
alegue que ésta se ejecutó de manera incorrecta". Es decir, si el banco
dice que debió haber una confirmación por parte del cliente en la utilización de
su tarjeta de crédito, como introducir una clave recibida en un SMS, y éste
mantiene que no lo hizo, deberá ser la entidad la que lo demuestre.
Frente al riesgo de
clonaje de la tarjeta "corresponde a la entidad bancaria (quien facilita
la tarjeta y se lucra mediante el cobro de comisiones por su tenencia y uso) la
obligación de adoptar todos los medios a su alcance para conseguir la eficacia
del sistema, lo que exige que las transacciones se efectúen en un marco de
seguridad garantizada por la entidad". En este sentido, si el sistema
falla, y salvo grave negligencia o que se trate de un fraude, "debe
proclamarse la responsabilidad directa de la entidad".
A) Objeto de la litis.
En función del
contenido intrínseco de las posiciones sustantivas que, en este Proceso, han
mantenido, respectivamente y en ambas instancias, las partes actora y demandada
y, una vez analizado el sentido y el alcance de las concretas alegaciones que
conforman todas las vertientes del único motivo del Recurso de Apelación, no
cabe duda de que la cuestión controvertida se concreta -prácticamente con
exclusividad (como se acaba de indicar)- en la valoración de la prueba y en la
aplicación de las normas sobre la carga de la prueba.
Y, así, conviene
indicar, como premisa inicial y como declaración de principio, que la parte
actora ha ejercitado en la Demanda una acción de reclamación de cantidad por
importe líquido ascendente a 5.593,29 euros, como consecuencia de la
realización, desde dos de sus cuentas corrientes abiertas en la entidad
financiera Liberbank, S.A., de varias transferencias y recargas de tarjetas no
autorizadas por don Victor Manuel, así como el uso de tarjeta virtual de
Liberbank con la que se han realizado compras en internet, por un valor total
de 8.563,82 euros, entre los días 29 de Noviembre de 2.020 y 20 de Octubre del
mismo año, todas ellas no autorizadas por el titular de los contratos
bancarios, suplantando su identidad.
De dicha cantidad, la
entidad financiera demandada ha retrocedido al demandante la cantidad de
2.970,53 euros, correspondiente a una recarga no autorizada realizada el día 29
de Septiembre de 2.020.
Pues bien, atendiendo a
los antecedentes expuestos en el párrafo anterior, la entidad financiera
demandada no asume la reclamación articulada en la Demanda al amparo de la
alegación comprensiva de que todas las operaciones fueron autenticadas,
registradas y contabilizadas de forma correcta y documentalmente demostrada,
por lo que el supuesto fraude y/o suplantación de la identidad del titular de
los contratos bancarios no le sería atribuible, añadiendo además que el usuario
no actuó con diligencia en los medios de pago, exonerándose -decimos- de toda
responsabilidad. No obstante y, sin perjuicio de que posteriormente se incida
con mayor detenimiento sobre las concretas y específicas cuestiones
controvertidas en este Proceso, puede ya adelantarse que no asiste razón
jurídica alguna a la entidad financiera demandada por cuatro motivos: en primer
lugar, porque ha invertido impropiamente la carga de la prueba sobre la
responsabilidad en este tipo de operaciones bancarias; en segundo lugar, porque
los informes del Banco de España que se han presentado por la entidad demandada
solo afectan a la "responsabilidad -o a la práctica- bancaria" de la
entidad, pero no a la responsabilidad civil, que es la que se dirime en esta
sede; en tercer lugar, porque la entidad financiera demandada -con el máximo
rigor- ha reconocido el fraude y ha retrocedido el importe de una de las
operaciones realizadas en la cantidad de 2.970,53 euros, sin que haya explicado
(menos aun a satisfacción del Tribunal) la razón por la cual no ha procedido de
la misma manera con las restantes operaciones cuya retrocesión asimismo se
pretende, y, finalmente, porque no resulta admisible alegar la falta de
diligencia del demandante por haber hecho uso, en dos de las operaciones controvertidas,
de una red wifi abierta, en la medida en que no consta acreditado que en los
contratos reguladores del pago por medios telemáticos se prohíba la realización
de operaciones de pago si se realizan a través de este tipo de redes.
B) Regulación legal.
En relación con las
disposiciones normativas que la parte apelante estima infringidas, hemos de
reseñar lo siguiente: el artículo 41 del Real Decreto Ley 19/2.018, de 23 de
Noviembre, de servicios de pago y otras medidas urgentes en material financiera,
establece:
"El usuario de servicios de pago habilitado para utilizar un instrumento de pago:
a) utilizará el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago que deberán ser objetivas, no discriminatorias y proporcionadas y, en particular, en cuanto reciba un instrumento de pago, tomará todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas;
b) en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, lo notificará al proveedor de servicios de pago o a la entidad que este designe, sin demora indebida en cuanto tenga conocimiento de ello”.
El art. 44 del Real
Decreto Ley 19/2.018, de 23 de Noviembre, de servicios de pago y otras medidas
urgentes en material financiera, dispone:
“1. Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago.
Si el usuario de servicios de pago inicia la operación de pago a través de un proveedor de servicios de iniciación de pagos, corresponderá a éste demostrar que, dentro de su ámbito de competencia, la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable.
2. A los efectos de lo establecido en el apartado anterior, el registro por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 41.
3. Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave.
4. El proveedor de servicios de pago conservará la documentación y los registros que le permitan acreditar el cumplimiento de las obligaciones establecidas en este Título y sus disposiciones de desarrollo y las facilitará al usuario en el caso de que así le sea solicitado, durante, al menos, seis años. No obstante, el proveedor de servicios de pago conservará la documentación relativa al nacimiento, modificación y extinción de la relación jurídica que le une con cada usuario de servicios de pago al menos durante el periodo en que, a tenor de las normas sobre prescripción puedan resultarles conveniente para promover el ejercicio de sus derechos contractuales o sea posible que les llegue a ser exigido el cumplimiento de sus obligaciones contractuales.
Lo dispuesto en este apartado se entiende sin perjuicio de lo establecido en la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, así como en otras disposiciones nacionales o de la Unión Europea aplicables".
Finalmente, el artículo
45 establece:
"1. Sin perjuicio del artículo 43 de este real decreto-ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada.
La fecha de valor del abono en la cuenta de pago del ordenante no será posterior a la fecha de adeudo del importe devuelto.
2. Cuando la operación de pago se inicie a través de un proveedor de servicios de iniciación de pagos, el proveedor de servicios de pago gestor de cuenta devolverá inmediatamente y, en cualquier caso, a más tardar al final del día hábil siguiente, el importe de la operación de pago no autorizada y, en su caso, restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada.
Si el responsable de la operación de pago no autorizada es el proveedor de servicios de iniciación de pagos, deberá resarcir de inmediato al proveedor de servicios de pago gestor de cuenta, a petición de este, por las pérdidas sufridas o las sumas abonadas para efectuar la devolución al ordenante, incluido el importe de la operación de pago no autorizada. De conformidad con el artículo 44.1, corresponderá al proveedor de servicios de iniciación de pagos demostrar que, dentro de su ámbito de competencia, la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable.
3. Podrán determinarse otras indemnizaciones económicas de conformidad con la normativa aplicable al contrato celebrado entre el ordenante y el proveedor de servicios de pago o el contrato celebrado entre el ordenante y el proveedor de servicios de iniciación de pagos, en su caso ".
C) Valoración de la
prueba.
Pues bien, la
conjunción de estos tres preceptos conduce a aseverar (trasladadas sus
disposiciones normativas al supuesto que se somete a la consideración de este
Tribunal por mor del Recurso de Apelación interpuesto) que el demandante
observó toda la diligencia que objetivamente le puede ser exigible cuando
comprobó la realización en sus cuentas bancarias de operaciones que no había
realizado ni autorizado y que, indudablemente, eran fraudulentas, como son,
fundamentalmente, las siguientes actuaciones: la denuncia de los hechos ante la
Guardia Civil y la comunicación de las disposiciones de efectivo a la entidad
bancaria.
Luego no le fue
imposible evitar, ni la primera disposición, ni las demás, sucedidas -algunas-
incluso después de la denuncia de los hechos y de su comunicación a la entidad
financiera.
Por tanto, la entidad financiera demandada no puede invertir la carga de la prueba
exonerándose de la actividad acreditativa que le corresponde al amparo de la
alegación de que todas las operaciones habían sido autenticadas, registradas y
contabilizadas, en la medida en que, de ser así, lo fueron de forma fraudulenta
porque el titular de los contratos no las autorizó y comunicó formalmente el
fraude.
Es a la entidad
financiera a quien corresponde acreditar la falta de diligencia del usuario,
sin apelar a meras conjeturas, no demostradas, como sería la utilización de una
red wifi abierta, o la facilitación de las credenciales a un tercero.
Adviértase que el
artículo 44 del Real Decreto Ley 19/2.018, de 23 de Noviembre, no solo se
refiere a " demostrar que la operación de pago fue autenticada, registrada
con exactitud y contabilizada" sino también a que "no se vio afectada
por un fallo técnico u otra deficiencia del servicio prestado por el proveedor
de servicios de pago"; y este último extremo no ha resultado acreditado
por la entidad financiera mediante un elenco probatorio absolutamente objetivo.
Debe tenerse en cuenta
que estos mecanismos de pago, tanto por medio de tarjetas, como a través de la
banca a distancia o digital, no solo los articula la entidad financiera a
través de las correspondientes aplicaciones y software, sino que potencia su
utilización por sus clientes y usuarios bancarios, por lo que tiene -y debe-
implementar todas las medidas de seguridad necesaria para evitar fraudes ,
incluida la suplantación de identidad; y, si el fraude es externo, es decir, a
través de estafas informáticas (o "phishing"), lo único que puede
exigirse al usuario es que el dispositivo que utilice para la realización de
este tipo de operaciones tenga un mantenimiento de seguridad que, en principio,
pudiera evitarlo, exigencia que, en el supuesto que examinamos, ha verificado
el demandante quien goza -no debe olvidarse- de la condición de
"consumidor" y, en consecuencia, de una protección reforzada.
Consiguientemente, el
único motivo del Recurso de la entidad financiera no puede tener favorable
acogida.
D) No cabe exoneración
de la responsabilidad por la entidad bancaria.
Finalmente, y en franca
sintonía con los razonamientos jurídicos expuestos que justifican la decisión
que se adoptará en la presente Resolución (desestimatoria del Recurso de
Apelación interpuesto por la entidad financiera), interesa destacar la
Sentencia de la Sección Tercera, Civil, de la Audiencia Provincial de
Castellón, de fecha 21 de Mayo de 2.020, donde, entre otros particulares, se
significa lo siguiente:
"(...) Se trata de
una cláusula de imputación de responsabilidad que ha sido calificada como
abusiva por el Tribunal Supremo en su Sentencia núm.792/2009 de 16 de diciembre
, al entender que "La exclusión de responsabilidad en todo caso para la
entidad bancaria por las utilizaciones de tarjeta o de libreta -consistentes en
extracciones en efectivo u otras operaciones con cargo a la cuenta bancaria-,
con anterioridad a la comunicación de la sustracción o extravío (o evento
similar) es desproporcionada, y abusiva.
Es igualmente abusivo
excluir de responsabilidad a la entidad bancaria en todo caso del uso del
número de identificación personal limitando aquélla a los supuestos de fuerza
mayor o coacción".
Cabe de nuevo hacer
mención de la Sentencia antes en parte transcrita de la Audiencia Provincial de
Navarra, núm. 411/2019 de 25 de julio, cuando con cita de la Sentencia de la
Audiencia Provincial de Alicante de 11 de febrero de 2009 se refiere a que:
“En el mismo sentido,
esta Sala en su sentencia 111/07 de 30 de marzo dijo que "la doctrina ha
venido recogiendo con carácter general, el criterio de establecer como de cargo
de la Entidad emisora de la tarjeta, la prueba de la culpa grave del usuario o
titular, así se recoge por la SAP de Asturias de 15 de febrero de 2005 , a la
que expresamente se refiere la SAP de Madrid de 25 de abril de 2006: "La
Recomendación 87/598 de 8 de diciembre de 1987 de la Unión Europea sobre el
Código de buena conducta en materia de pago electrónico y la 97/489 de 30 de
julio de 1997 que la revisa y actualiza, contemplan la responsabilidad del
titular de la tarjeta durante el tiempo que media entre su pérdida o
sustracción ilegítima hasta la notificación de este hecho al emisor en solo 150
euros, excepto cuando haya actuado de forma fraudulenta o negligentemente
grave, (en cuyo caso no se aplicará dicho límite), en el cumplimiento de sus
obligaciones de uso y cuidado adecuados del instrumento electrónico,
mantenimiento del secreto sobre su PIN o demora en la notificación al emisor de
la pérdida, sustracción o falsificación del instrumento electrónico (artículo
8.3 de la primera y 6 de la segunda). El Servicio de Reclamaciones del Banco de
España, a partir de 1991, comienza a informar cómo no ajustado a las buenas
prácticas bancarias no aplicar al titular de la tarjeta el límite de
responsabilidad referido (informes relativos a las reclamaciones nº 111, 222 y
333) y así es que, desde entonces, ha venido incorporándose a los contratos
bancarios de tarjeta. La razón, al decir de la doctrina, descansa sobre estas
premisas: el sistema para funcionamiento de las tarjetas lo dispone el emisor o
un tercero con el que el emisor contrata su uso en beneficio propio y el
sistema operativo de las tarjetas electrónicas no es completamente seguro; en
el estado actual no se puede garantizar una seguridad absoluta y quien tiene el
primer deber de impedir el mal uso de la tarjeta es el emisor que ha puesto en
marcha el sistema y de ahí su responsabilidad por circunstancias relativas al
funcionamiento del sistema cuyos riesgos y limitaciones él conoce y que no deben
ser imputados al usuario, y, de ahí, también que sea de su cargo la prueba de
la mala fe o negligencia grave del usuario o titular de la tarjeta. Nuestros
Tribunales han recogido este criterio de establecer como de cargo del emisor la
prueba de la culpa grave del usuario o titular (en este sentido, sentencias de
las Audiencias Provinciales de Toledo, de 1 de julio de 1999, o Madrid, de 6 de
octubre de 2004). De otro lado, también se ha entendido que esa diligencia
exigible es aquella que contempla el artículo 1.104 del Código civil (sentencias
de las Audiencias Provinciales de Baleares de 25 de junio de 1999; Salamanca de
1 de junio de 2004; y Castellón de 5 de noviembre de 2004)". Igualmente
señala la referida SAP de Madrid de 25.4.06 que además en esta materia cabe
citar la Recomendación de la Comisión 590/1988, de 17 noviembre, sobre "
sistema de pago y en particular a las relaciones entre titulares y emisores de
tarjetas" que recomienda a los suministradores de tarjetas la acomodación
de su actividad a las disposiciones que contiene. El párrafo 8.2 de su anexo
establece, para el caso de sustracción o pérdida, un sistema de responsabilidad
objetiva del titular pero limitado en la cuantía hasta que notifique la
desaparición, salvo que concurra negligencia por su parte. El titular de la
tarjeta no asume el riesgo en casos de pérdida sustracción o extravío, y la
propia legislación, tanto a nivel europeo, como nacional, contempla la exención
de su responsabilidad, salvo en la cuantía de 150 euros, siempre y cuando
cumpla unos mínimos deberes de diligencia".
La conclusión que
obtiene la referida Sentencia, es la de la responsabilidad de la entidad
bancaria recurrente frente a su cliente, citando por último la Sentencia de la
Audiencia Provincial de Madrid de 25 de noviembre de 2011 , cuando se refiere a
que "dado que, no puede olvidarse que el sistema de pago y reintegro
mediante la utilización de un sistema electrónico como es de las tarjetas de
crédito y débito entraña un riesgo (utilización de microcámaras y reproductores
de tarjetas instalados en los cajeros), y la experiencia diaria confirma como
son utilizadas fraudulentamente tarjetas que han sido sustraídas o extraviadas,
sin que pueda garantizarse una seguridad absoluta en la utilización de tales
instrumentos, doctrina que trae como consecuencia que corresponda a la entidad
financiera la carga de acreditar que el sistema utilizado es completamente
seguro e infalible y que el acceso a sus servicios sólo puede verificarse con
el marcado de un número PIN, número que es en sí mismo indescifrable, o dicho
de otro modo, que la única forma que tiene el tercero de acceder a tales
servicios es visionando previamente el PIN en cualquier forma, y, tal
circunstancia no ha sido probada, como tampoco lo ha sido que la posibilidad de
conocimiento del número secreto por parte de terceros no autorizados por causas
ajenas a la voluntad del titular de la tarjeta es un hecho insólito o
extraordinario ni ajeno a la propia dinámica de funcionamiento del sistema; Por
tanto, a la entidad bancaria le corresponde asumir los riesgos que conlleva la
tarjeta en sí porque ella se lleva los beneficios: comisiones de uso,
mantenimiento, recargos, intereses."
E) Conclusión.
Aplicando estas
consideraciones al caso enjuiciado procede establecer también aquí la
responsabilidad de la entidad bancaria por los cargos realizados mediante la
utilización no consentida de la tarjeta del demandante, por lo que procede
estimar el recurso de apelación interpuesto y revocar la resolución dictada, que
se deja sin efecto, estimando la demanda interpuesta condenamos a la entidad
demandada a abonar al actor la cantidad de 9.206,85 euros, más los intereses
legales desde el día 27 de octubre de 2016, en que tuvo lugar la reclamación a
la entidad bancaria".
www.gonzaleztorresabogados.com
928 244 935
No hay comentarios:
Publicar un comentario