La sentencia de la
Audiencia Provincial de Murcia, sec. 1ª, de 16 de enero de 2023, nº 18/2023,
rec. 881/2022, confirma
la condena a Cajamar por el uso fraudulento de una tarjeta de debito por la falta de diligencia de la entidad pues
fue ella la que facilitó el PIN de la tarjeta con la que se realizaron
retiradas de efectivo por lo que no concurre ni dolo ni culpa grave en el cliente
de la entidad.
Pues hubo un déficit de
protección en el sistema de seguridad que permitió obtener tal clave necesaria
para la extracción de dinero en los cajeros de la entidad de crédito apelante.
Las operaciones de
retirada de efectivo en cajero no dependen del uso del teléfono móvil sino de
la introducción del PIN de la tarjeta, cuya responsabilidad de custodia
corresponde tanto al actor como a la propia entidad de crédito, como únicas
personas que conocen dicha clave de seguridad.
En los casos de
operaciones de pago ya ejecutadas no autorizadas, será la entidad de crédito la
responsable de demostrar que la operación de pago fue autenticada, registrada
con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u
otra deficiencia del servicio prestado por el proveedor de servicios de pago
(art. 44.1 del RDLSP), como podría ser la de facilitar el PIN de la tarjeta a
través del sistema contractualmente previsto.
El proveedor de
servicios de pago se encuentra sujeto al cumplimiento de específicas
obligaciones de protección en la emisión de los instrumentos de pago y en los
procesos de autenticación de las operaciones de pago cuya finalidad es
minimizar la probabilidad de ejecución de operaciones no autorizadas,
respondiendo por las operaciones de pago resultantes del uso fraudulento del
instrumento de pago por un tercero, salvo que el ordenante actuara de manera
fraudulenta , o incumpliendo deliberadamente o por negligencia grave alguna de
las obligaciones recogidas en el art. 41 RDLSP.
Pues corresponderá al
proveedor de servicios de pago probar que el usuario del servicio de pago
cometió fraude o negligencia grave, conforme al art. 44.3 de la RD Ley 1/2018,
de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia
financiera (RDLSP).
A) Objeto del recurso
de apelación.
1.- Se interpone
recurso de apelación por la parte demandada contra la sentencia que, estimando
íntegramente la demanda, le condena al pago de la cantidad de 5.290,50 euros,
intereses y costas.
2.- Tras exponer los
antecedentes de la primera instancia, fundamenta su recurso en la existencia de
error en la valoración de la prueba y en la aplicación del derecho, al
considerar acreditada la responsabilidad el actor en las operaciones
realizadas. Examina cada una de las pruebas documentales, de las que infiere
que Cajamar cumplió con sus obligaciones de seguridad en las operaciones
bancarias realizadas a través de la tarjeta del actor, pues se cancelaron
múltiples operaciones que se llevaron a cabo en la madrugada del 30 de abril de
2020, comunicó por correo electrónico las operaciones discutidas con aviso de
que se procediese al bloqueo sí no fuese la persona que las hubiera realizado y
el Banco de España reconoció que había cumplido con las obligaciones de
seguridad que le incumbían. En definitiva, y en atención de lo dispuesto en el
RDL 19/201, el actor incumplió sus obligaciones como usuario de comunicar sin
demora las operaciones fraudulentas, así como no protegió adecuadamente las
claves de la tarjeta. Como motivo subsidiario, entiende que existen dudas que
justificarían la no imposición de las costas de la primera instancia.
3.- Por la parte
apelada se opone al recurso, solicitando su desestimación y la confirmación de
la sentencia apelada. Destaca que la actuación del actor fue siempre diligente,
denunciando inmediatamente que tuvo conocimiento de las operaciones tras la
lectura de los correos electrónicos remitidos por la noche, así como el hecho
de la falta de diligencia de la entidad pues fue ella la que facilitó el PIN de
la tarjeta con la que se realizaron retiradas de efectivo, algunas de ellas en
Alicante, por lo que no concurre ni dolo ni culpa grave, que son los únicos
supuestos que eximen de responsabilidad a la entidad de crédito conforme a la
normativa de servicios de pago.
B) Régimen jurídico de
los servicios de pago por banca electrónica.
1º) Centrado el objeto
de lo que constituye el presente procedimiento, el mismo se corresponde con un
total de trece reintegros realizados en cajeros el día 30 de abril de 2020, por
diversos importes que totalizan, entre lo retirado y las comisiones cobradas
por la entidad de crédito, un total de 5.250,90 euros, tal como se justifica
por el documento nº 6 de la demanda, operaciones que la parte actora afirma que
no fueron autorizadas por la misma, habiéndose realizado en Alicante entre las
5.43 horas hasta las 7.29 horas del mismo día. La realidad de tales
extracciones no es discutida por las partes y está debidamente acreditada.
Este tribunal ya se ha
pronunciado sobre la responsabilidad de las entidades de crédito en el caso de
uso fraudulento de instrumentos de pago sometidos al régimen de la Ley de
Servicios de Pago en la SAP Murcia (1ª) 414/22, de 19 de diciembre, por lo que
la presente resolución se ajustará al criterio fijado en dicha resolución, sin
perjuicio de la adaptación al caso concreto.
2º) Partiendo de estos hechos, es necesario fijar el régimen jurídico correspondiente a estos servicios de pago por banca electrónica.
Sobre esta cuestión existe una abundante
jurisprudencia menor, pudiéndose citar, a tal efecto, y como alguna de las
últimas resoluciones que analizan la responsabilidad de la entidad de crédito
emisora las SSAP de Alicante (8ª) 107/18, de 12 de marzo; Pontevedra (6ª)
539/21, de 21 de diciembre; Madrid (11ª) 74/22, de 28 de febrero; Madrid (20ª)
184/22, de 20 de mayo; Valencia (6ª) 254/22, de 13 de junio; Badajoz (3ª)
159/22, de 16 de junio; o Granada (5ª) 212/22, de 20 de junio.
La conclusión común de estas resoluciones, como señala la Sentencia de la AP de Granada 212/22 citada es que:
"... ha de partir de la consideración de que, con arreglo al marco jurídico en el que se desenvuelve la actividad de servicios de pago a través de banca on line, el régimen de la responsabilidad de la prestadora del servicio ha de reputarse cuasi-objetiva, en la medida en que sólo se excluye en unos casos por culpa grave del cliente y en otros por únicamente por fraude imputable al mismo, lo que implica, además, que la carga de la prueba de esas circunstancias exoneratorias y la paralela inexigibilidad de otra conducta a la referida entidad incumba a ésta en todo caso".
3º) Tal conclusión se
alcanza como consecuencia del régimen jurídico aplicable, en este caso y en
atención a la fecha en la que tuvieron lugar las operaciones no autorizadas, el
RD Ley 1/2018, de 23 de noviembre, de servicios de pago y otras medidas
urgentes en materia financiera (RDLSP, en adelante), norma que deroga la
Ley 16/2009, de 13 de noviembre, de servicios de pago (DDU) e
incorpora, parcialmente, a nuestro Derecho, la Directiva (UE) 2015/2366 del
Parlamento Europeo y del Consejo de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior
y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y
el Reglamento (UE) no 1093/2010 y se deroga la Directiva 2007/64/CE (DF 11ª).
Dicho régimen jurídico se articula en torno a las siguientes previsiones
legales:
4º) Régimen aplicable
al usuario de los servicios de pago:
a.- Deberá cumplir con
las obligaciones que se establecen en el artículo 41 RDL 19/2018:
i. Usar el instrumento
de pago conforme a lo pactado y tomar las medidas razonables a fin de proteger
sus credenciales de seguridad personalizadas;
ii. En cuanto tenga
conocimiento de haber perdido la posesión del instrumento de pago o de haber
sido este utilizado sin su autorización, notificarlo sin demora indebida al
proveedor de servicios de pago.
b.- Son derechos del
usuario del servicio de pago:
i. Obtener la
rectificación por parte del proveedor de servicios de pago de una operación de
pago no autorizada, siempre que lo comunique sin demora injustificada (art.
43.1 RDLSP).
ii. Exigir al proveedor
de pagos la entrega de la documentación acreditativa de los servicios de pago
autorizados (art. 44.4 RDLSP).
iii. La devolución del
importe de la operación no autorizada en su cuenta de pago (art. 45.1 RDLSP).
c.- El régimen de
responsabilidad del usuario de los servicios de pago:
iv. El ordenante será
quien soporte la totalidad de las pérdidas cuando concurran estos requisitos
(art. 46 RDLSP):
a. La operación de pago
fue autenticada y registrada con exactitud y no se vio afectada por ninguna
deficiencia del servicio prestado por el proveedor de servicios de pago;
b. El ordenante actuó
de manera fraudulenta.
c. El ordenante haya
incumplido deliberadamente o por negligencia grave alguna de las obligaciones
recogidas en el artículo 41 RDL 19/2018.
5º) Régimen aplicable
al proveedor de servicios de pago:
a.- Debe cumplir las
específicas obligaciones de protección en la emisión de los instrumentos de
pago y en los procesos de autenticación de las operaciones de pago cuya
finalidad es minimizar la probabilidad de ejecución de operaciones no
autorizadas. En concreto, y en relación a los mecanismos de autentificación de
las operaciones de pago:
i. Cerciorarse de que
las credenciales de seguridad personalizadas del instrumento de pago sólo sean
accesibles al usuario de servicios de pago facultado para usar dicho
instrumento (art. 42.1.a) RDLSP).
ii. Garantizar la
existencia de medios adecuados y gratuitos que permitan al usuario el
cumplimiento de las obligaciones establecidas en el artículo 41 RDLSP (art.
42.1.c) RDLSP).
iii. Impedir la
utilización del instrumento de pago una vez solicitado su bloqueo por el
usuario (art. 42.1.e) RDLSP).
iv. Conservar la documentación
y los registros que le permitan acreditar el cumplimiento de sus obligaciones
(art. 44.4 RDLSP).
v. Tienen el deber de
establecer un sistema de autentificación reforzada de los clientes en los casos
que el ordenante: a) acceda a su cuenta de pago en línea; b) inicie una
operación de pago electrónico; c) realice por un canal remoto cualquier acción
que pueda entrañar un riesgo de fraude en el pago u otros abusos (art. 68.1
RDLSP).
b.- El régimen de
responsabilidad se articula en torno a las siguientes previsiones:
i. Será el proveedor de
los servicios de pago quien habrá de responder de las pérdidas de importe
superior a 50 euros por las operaciones de pago resultantes del uso fraudulento
del instrumento de pago por un tercero; responderá de la totalidad de la
pérdida cuando al ordenante no le hubiera sido posible detectar el posible uso
fraudulento antes de que éste se hubiese materializado o cuando la pérdida se
debiera a la acción u omisión de cualquier persona de la que el proveedor de
servicios hubiera de responder (art. 46.1 RDLSP).
ii. Responderá en los
casos en los que no se exijan autorizaciones reforzadas al cliente, excepto en
caso de uso fraudulento del instrumento de pago (art. 46.2 RDLSP).
iii. En los casos de
operaciones de pago ya ejecutadas no autorizadas, será responsable de demostrar
que la operación de pago fue autenticada, registrada con exactitud y
contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia
del servicio prestado por el proveedor de servicios de pago (art. 44.1 RDLSP).
iv. Corresponderá al
proveedor de servicios de pago probar que el usuario del servicio de pago
cometió fraude o negligencia grave (art. 44.3 RDLSP).
v. Estará obligado a la
devolución de las operaciones de pago no autorizadas de forma inmediata desde
la notificación de la operación no autorizada, salvo que tenga sospechas
razonables de fraude y comunique dichos motivos, por escrito, al Banco de
España (art. 45.1 RDLSP).
C) Valoración de la
prueba.
1º) Como se deriva del
régimen señalado en el fundamento de derecho anterior, en lo que respecta a la
responsabilidad por operaciones de pago fraudulentas o no autorizadas, el proveedor de
servicios de pago se encuentra sujeto al cumplimiento de específicas
obligaciones de protección en la emisión de los instrumentos de pago y en los
procesos de autenticación de las operaciones de pago cuya finalidad es
minimizar la probabilidad de ejecución de operaciones no autorizadas,
respondiendo por las operaciones de pago resultantes del uso fraudulento del
instrumento de pago por un tercero, salvo que el ordenante actuara de manera
fraudulenta, o incumpliendo deliberadamente o por negligencia grave alguna de
las obligaciones recogidas en el art. 41 RDLSP.
Por ello, como señala
la SAP de Badajoz (3ª) 159/22, "... al proveedor de servicios de pago
le corresponde la carga procesal de acreditar tanto su propio comportamiento
diligente en la autenticación de la operación de pago como, en su caso, el
fraude (requerirá de la acreditación de hechos de los que pudiera llegar a
inferirse que aquel actuó con engaño para beneficiarse de la operación de pago)
o la negligencia grave del ordenante (requerirá de la acreditación de las
circunstancias concurrentes en la operación de pago de las que quepa inferir
que la misma pudo realizarse porque aquel obró con una significativa falta de
diligencia al usar del instrumento de pago o al proteger sus
credenciales)".
2º) Por tanto, lo
importante a los efectos de la resolución del presente recurso, no es tanto la
existencia de diligencia en la actuación de la entidad de crédito demandada,
sino si esta ha probado que la actora incurrió en fraude, incumplimiento
deliberado o negligencia grave en relación a las operaciones no autorizadas
cuya devolución reclama a través de la presente demanda.
Hay que partir de que,
como señala la SAP Madrid (11ª) 74/22, "... el conocido "riesgo
operacional", que debe ser asumido por los bancos en virtud de su posición
de garante al ser una pieza clave para evitar la comisión de fraudes ...".
Y tal como señala la sentencia apelada, cuyos acertados razonamientos hacemos
nuestros e integramos como parte de esta resolución, tal prueba no se ha
logrado en las presentes actuaciones.
3º) La parte apelante
basa su recurso en la existencia de error en la valoración de la prueba en
atención a tres elementos: el contenido de la denuncia presentada por el actor; la
remisión de hasta 34 correos electrónicos advirtiendo de la existencia de un
posible fraude en diversas operaciones; y el contenido de la resolución dictada
por el Banco de España, así como la existencia de negligencia en el usuario en
la comunicación sin demora de las operaciones no autorizadas y la insuficiente
protección de sus claves. Ninguno de estos elementos justifica la estimación
del recurso, y ello a pesar del amplio esfuerzo argumentativo desarrollado por
la parte apelante, pero insuficiente para desvirtuar la sólida fundamentación
de la resolución apelada.
4º) Así, en primer
lugar, de la denuncia presentada, aportada como documento nº 2 de la demanda,
no se puede desprender dato alguno que justifique la existencia de negligencia. El hecho de que parte
de las operaciones se realizasen en relación a un comercio del que es titular
el actor, así como el reconocimiento de la cancelación por Cajamar de muchas
operaciones y la manipulación de su perfil en la operadora de telefonía que
prestaba servicios al móvil de su titularidad, hechos que ciertamente se hacen
constar en la denuncia, nada afecta a lo que es el objeto básico de esta
reclamación, esto es, la retirada de fondos, hasta en trece ocasiones, de
diversos cajeros automáticos en la localidad de Alicante y en horario de
madrugada (el actor reside en Murcia). Tales retiradas se producen desde una
cuenta titularidad personal del actor en la que no consta ningún tipo de
relación con el negocio citado. El reconocimiento de la cancelación por
Cajamar de múltiples operaciones fraudulentas intentadas por los defraudadores
sirve para demostrar que el sistema de seguridad de Cajamar funcionó
adecuadamente para determinadas operaciones en relación a las cuales nada se
reclama, pero resultó insuficiente en relación a las operaciones llevadas a
cabo a través de cajero, con respecto a las cuales no saltó ningún tipo de
alarma del sistema.
Finalmente, el intento
de manipulación de la tarjeta SIM de su teléfono móvil, aspecto sobre el que no
existe más prueba que el contenido de la denuncia, tampoco ha tenido ninguna
incidencia
pues las operaciones de retirada de efectivo en cajero no dependen del uso del
teléfono móvil sino de la introducción del PIN de la tarjeta, cuya
responsabilidad de custodia corresponde tanto al actor como a la propia entidad
de crédito, como únicas personas que conocen dicha clave de seguridad.
5º) Por lo que respecta
a los correos electrónicos a los que reiteradamente se refiere la parte
apelante, tampoco tiene incidencia sobre lo que constituye el objeto de este
proceso. Consta
en las actuaciones, como se justifica por el documento nº 3 acompañado por la actora
a la demanda, la remisión por la entidad de crédito de 34 correos electrónicos
al actor desde las 3.47 horas a las 8.10 horas, de diverso contenido. La mayor
parte de ellos comunicaba el bloqueo de transferencias y de recargas
"e.shopping" por diversos importes. Otros informaban de bloqueos de
activación de firma móvil desde España y Francia o de la gestión del PIN de la
tarjeta. En relación a estas actuaciones, como ya se ha señalado, el sistema de
seguridad de la entidad de crédito devino adecuado y funcionó correctamente,
pues ninguna de estas transferencias se llevó a cabo y se bloquearon de forma
efectiva el acceso a las cuentas. Por ello, nada se reclama por este concepto
por la parte actora.
6º) El resto de los
correos electrónicos eran de carácter simplemente informativo, debiendo de
destacar, especialmente, los relativos a la consulta del número secreto PIN de
la tarjeta terminada en 9930, a las 3.47, 4.14 y 5.59 del citado día 30 de
abril de 2020.
Estos son los especialmente trascedentes dado que la retirada de fondos de los
cajeros automáticos sólo puede llevarse a cabo a través del uso de una tarjeta
y autorizados por el uso del PIN de dicha tarjeta. Dichos correos informan que
se ha consultado dicho número, pero no son indicativos de que no haya sido
facilitado por la entidad de crédito.
En este punto, es
preciso recordar que, como ya se ha señalado, en los casos de operaciones de
pago ya ejecutadas no autorizadas, será la entidad de crédito la responsable de
demostrar que la operación de pago fue autenticada, registrada con exactitud y
contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia
del servicio prestado por el proveedor de servicios de pago (art. 44.1 RDLSP),
como podría ser la de facilitar el PIN de la tarjeta a través del sistema
contractualmente previsto. En contra de lo señalado por la parte apelante,
lo cierto es que no consta acreditado, y la carga de la prueba de este extremo
corresponde a la entidad de crédito, que no se facilitase dicha información,
pues lo cierto es que los únicos bloqueos a los que se hace referencia son los
relativos a la "gestión del PIN de la tarjeta", tal como se señala en
los correos de las 4.12 y 5.58.
Lo cierto es que, a
partir de las 5.43 horas se fueron produciendo las extracciones de dinero de
diferentes cajeros automáticos, lo que implica que los autores de tales hechos
conocían el PIN necesario para poder operar a través de este sistema. Ello indica que, de
alguna forma no justificada, los defraudadores tuvieron acceso al mismo y ello
sólo pudo ser a través de la propia entidad de crédito, pues, como ya se ha
indicado, el número secreto PIN sólo es conocido por el titular de la tarjeta y
por la entidad de crédito. Ello implica que hubo un déficit de protección en
el sistema de seguridad que permitió obtener tal clave necesaria para la
extracción de dinero en los cajeros de la entidad de crédito apelante. En
consecuencia, los correos electrónicos no justifican el correcto funcionamiento
de las exigencias de seguridad derivadas de la Ley de Servicios de Pago.
7º) Por último, tampoco
es admisible como justificación de una correcta actuación de la entidad de crédito,
el contenido del informe del Banco de España aportado como documento nº 11 de
la demanda, tras la previa reclamación realizada por la parte actora (documento
nº 10 de la demanda). El hecho de que el Banco de España no apreciase un
quebrantamiento de las normas de transparencia y seguridad ni de los buenos
usos y las prácticas financieras, no implica que no exista tal responsabilidad
si, en un proceso civil en reclamación de cantidad, no se justifica por la
entidad de crédito la corrección de su actuación en relación con las
operaciones fraudulentas llevadas a cabo. Como se ha indicado cuando se ha
resumido el régimen de responsabilidad de los prestadores de los servicios de
pago, la única vía de exoneración de responsabilidad de los mismos por
operaciones no autorizadas por el cliente se dará en los casos en los que el
ordenante, que no puede ser otro que el titular de los servicios de pago, haya
actuado de forma fraudulenta o incumplimiento de forma grave las obligaciones
que le incumben. En el resto de los casos responde por expresa disposición
legal la entidad de crédito , tal como ocurre en este caso.
8º) El último extremo
sobre el que debe de resolverse en este recurso, aunque no alegado de forma
expresa en el escrito de apelación, si ha sido insinuado por la parte apelante,
es la actuación del actor. Como ya se ha señalado, las operaciones defraudatorias se
llevaron a cabo, bien a través de Internet (operaciones que no han sido objeto
de este proceso) o bien a través de cajeros automáticos. Mal puede hablarse
de negligencia grave cuando las extracciones en las que se basa la demanda se
realizaron en Alicante, radicando el domicilio del actor en la ciudad de
Murcia. Tampoco puede entenderse negligencia o demora en la comunicación de
los hechos, pues tal como se desprende de la documentación aportada y aceptada
por ambas partes, los correos electrónicos de advertencia así como las
extracción de dinero de los cajeros tuvieron lugar en horas de la madrugada del
día 30 de abril de 2020 en las que debe de presumirse que el actor estaba
durmiendo y, por ello, no tenía por qué estar atento a la lectura de los correos
electrónicos remitidos por la entidad de crédito, habiendo comunicado de forma
inmediata una vez que tuvo conocimiento de los mismos, como lo justifica la no
negada advertencia al director de la oficina con la que solía trabajar a
primera hora de la mañana o la presentación de la denuncia ante la Policía
Nacional el mismo día 30 de abril de 2020.
En definitiva, el
usuario del servicio de pago no incurrió en negligencia en la custodia de sus
claves de seguridad ni demoró en poner los hechos en conocimiento de la entidad
de crédito, por lo que no puede imputarse al mismo ningún tipo de
responsabilidad en las operaciones no autorizadas. Por todo ello, debe
de ser confirmada la sentencia apelada.
www.gonzaleztorresabogados.com
928 244 935
No hay comentarios:
Publicar un comentario