Buscar este blog

miércoles, 8 de marzo de 2023

Condena a un banco por el uso fraudulento de una tarjeta de debito por la falta de diligencia de la entidad al facilitar el PIN de la tarjeta con la que se realizaron retiradas de efectivo por lo que no concurre ni dolo ni culpa grave en el cliente de la entidad.

 

La sentencia de la Audiencia Provincial de Murcia, sec. 1ª, de 16 de enero de 2023, nº 18/2023, rec. 881/2022, confirma la condena a Cajamar por el uso fraudulento de una tarjeta de debito por la falta de diligencia de la entidad pues fue ella la que facilitó el PIN de la tarjeta con la que se realizaron retiradas de efectivo por lo que no concurre ni dolo ni culpa grave en el cliente de la entidad.

Pues hubo un déficit de protección en el sistema de seguridad que permitió obtener tal clave necesaria para la extracción de dinero en los cajeros de la entidad de crédito apelante.

Las operaciones de retirada de efectivo en cajero no dependen del uso del teléfono móvil sino de la introducción del PIN de la tarjeta, cuya responsabilidad de custodia corresponde tanto al actor como a la propia entidad de crédito, como únicas personas que conocen dicha clave de seguridad.

En los casos de operaciones de pago ya ejecutadas no autorizadas, será la entidad de crédito la responsable de demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago (art. 44.1 del RDLSP), como podría ser la de facilitar el PIN de la tarjeta a través del sistema contractualmente previsto.

El proveedor de servicios de pago se encuentra sujeto al cumplimiento de específicas obligaciones de protección en la emisión de los instrumentos de pago y en los procesos de autenticación de las operaciones de pago cuya finalidad es minimizar la probabilidad de ejecución de operaciones no autorizadas, respondiendo por las operaciones de pago resultantes del uso fraudulento del instrumento de pago por un tercero, salvo que el ordenante actuara de manera fraudulenta , o incumpliendo deliberadamente o por negligencia grave alguna de las obligaciones recogidas en el art. 41 RDLSP.

Pues corresponderá al proveedor de servicios de pago probar que el usuario del servicio de pago cometió fraude o negligencia grave, conforme al art. 44.3 de la RD Ley 1/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (RDLSP).

A) Objeto del recurso de apelación.

1.- Se interpone recurso de apelación por la parte demandada contra la sentencia que, estimando íntegramente la demanda, le condena al pago de la cantidad de 5.290,50 euros, intereses y costas.

2.- Tras exponer los antecedentes de la primera instancia, fundamenta su recurso en la existencia de error en la valoración de la prueba y en la aplicación del derecho, al considerar acreditada la responsabilidad el actor en las operaciones realizadas. Examina cada una de las pruebas documentales, de las que infiere que Cajamar cumplió con sus obligaciones de seguridad en las operaciones bancarias realizadas a través de la tarjeta del actor, pues se cancelaron múltiples operaciones que se llevaron a cabo en la madrugada del 30 de abril de 2020, comunicó por correo electrónico las operaciones discutidas con aviso de que se procediese al bloqueo sí no fuese la persona que las hubiera realizado y el Banco de España reconoció que había cumplido con las obligaciones de seguridad que le incumbían. En definitiva, y en atención de lo dispuesto en el RDL 19/201, el actor incumplió sus obligaciones como usuario de comunicar sin demora las operaciones fraudulentas, así como no protegió adecuadamente las claves de la tarjeta. Como motivo subsidiario, entiende que existen dudas que justificarían la no imposición de las costas de la primera instancia.

3.- Por la parte apelada se opone al recurso, solicitando su desestimación y la confirmación de la sentencia apelada. Destaca que la actuación del actor fue siempre diligente, denunciando inmediatamente que tuvo conocimiento de las operaciones tras la lectura de los correos electrónicos remitidos por la noche, así como el hecho de la falta de diligencia de la entidad pues fue ella la que facilitó el PIN de la tarjeta con la que se realizaron retiradas de efectivo, algunas de ellas en Alicante, por lo que no concurre ni dolo ni culpa grave, que son los únicos supuestos que eximen de responsabilidad a la entidad de crédito conforme a la normativa de servicios de pago.

B) Régimen jurídico de los servicios de pago por banca electrónica.

1º) Centrado el objeto de lo que constituye el presente procedimiento, el mismo se corresponde con un total de trece reintegros realizados en cajeros el día 30 de abril de 2020, por diversos importes que totalizan, entre lo retirado y las comisiones cobradas por la entidad de crédito, un total de 5.250,90 euros, tal como se justifica por el documento nº 6 de la demanda, operaciones que la parte actora afirma que no fueron autorizadas por la misma, habiéndose realizado en Alicante entre las 5.43 horas hasta las 7.29 horas del mismo día. La realidad de tales extracciones no es discutida por las partes y está debidamente acreditada.

Este tribunal ya se ha pronunciado sobre la responsabilidad de las entidades de crédito en el caso de uso fraudulento de instrumentos de pago sometidos al régimen de la Ley de Servicios de Pago en la SAP Murcia (1ª) 414/22, de 19 de diciembre, por lo que la presente resolución se ajustará al criterio fijado en dicha resolución, sin perjuicio de la adaptación al caso concreto.

2º) Partiendo de estos hechos, es necesario fijar el régimen jurídico correspondiente a estos servicios de pago por banca electrónica. 

Sobre esta cuestión existe una abundante jurisprudencia menor, pudiéndose citar, a tal efecto, y como alguna de las últimas resoluciones que analizan la responsabilidad de la entidad de crédito emisora las SSAP de Alicante (8ª) 107/18, de 12 de marzo; Pontevedra (6ª) 539/21, de 21 de diciembre; Madrid (11ª) 74/22, de 28 de febrero; Madrid (20ª) 184/22, de 20 de mayo; Valencia (6ª) 254/22, de 13 de junio; Badajoz (3ª) 159/22, de 16 de junio; o Granada (5ª) 212/22, de 20 de junio.

La conclusión común de estas resoluciones, como señala la Sentencia de la AP de Granada 212/22 citada es que:

"... ha de partir de la consideración de que, con arreglo al marco jurídico en el que se desenvuelve la actividad de servicios de pago a través de banca on line, el régimen de la responsabilidad de la prestadora del servicio ha de reputarse cuasi-objetiva, en la medida en que sólo se excluye en unos casos por culpa grave del cliente y en otros por únicamente por fraude imputable al mismo, lo que implica, además, que la carga de la prueba de esas circunstancias exoneratorias y la paralela inexigibilidad de otra conducta a la referida entidad incumba a ésta en todo caso".

3º) Tal conclusión se alcanza como consecuencia del régimen jurídico aplicable, en este caso y en atención a la fecha en la que tuvieron lugar las operaciones no autorizadas, el RD Ley 1/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (RDLSP, en adelante), norma que deroga la Ley 16/2009, de 13 de noviembre, de servicios de pago (DDU) e incorpora, parcialmente, a nuestro Derecho, la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) no 1093/2010 y se deroga la Directiva 2007/64/CE (DF 11ª). Dicho régimen jurídico se articula en torno a las siguientes previsiones legales:

4º) Régimen aplicable al usuario de los servicios de pago:

a.- Deberá cumplir con las obligaciones que se establecen en el artículo 41 RDL 19/2018:

i. Usar el instrumento de pago conforme a lo pactado y tomar las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas;

ii. En cuanto tenga conocimiento de haber perdido la posesión del instrumento de pago o de haber sido este utilizado sin su autorización, notificarlo sin demora indebida al proveedor de servicios de pago.

b.- Son derechos del usuario del servicio de pago:

i. Obtener la rectificación por parte del proveedor de servicios de pago de una operación de pago no autorizada, siempre que lo comunique sin demora injustificada (art. 43.1 RDLSP).

ii. Exigir al proveedor de pagos la entrega de la documentación acreditativa de los servicios de pago autorizados (art. 44.4 RDLSP).

iii. La devolución del importe de la operación no autorizada en su cuenta de pago (art. 45.1 RDLSP).

c.- El régimen de responsabilidad del usuario de los servicios de pago:

iv. El ordenante será quien soporte la totalidad de las pérdidas cuando concurran estos requisitos (art. 46 RDLSP):

a. La operación de pago fue autenticada y registrada con exactitud y no se vio afectada por ninguna deficiencia del servicio prestado por el proveedor de servicios de pago;

b. El ordenante actuó de manera fraudulenta.

c. El ordenante haya incumplido deliberadamente o por negligencia grave alguna de las obligaciones recogidas en el artículo 41 RDL 19/2018.

5º) Régimen aplicable al proveedor de servicios de pago:

a.- Debe cumplir las específicas obligaciones de protección en la emisión de los instrumentos de pago y en los procesos de autenticación de las operaciones de pago cuya finalidad es minimizar la probabilidad de ejecución de operaciones no autorizadas. En concreto, y en relación a los mecanismos de autentificación de las operaciones de pago:

i. Cerciorarse de que las credenciales de seguridad personalizadas del instrumento de pago sólo sean accesibles al usuario de servicios de pago facultado para usar dicho instrumento (art. 42.1.a) RDLSP).

ii. Garantizar la existencia de medios adecuados y gratuitos que permitan al usuario el cumplimiento de las obligaciones establecidas en el artículo 41 RDLSP (art. 42.1.c) RDLSP).

iii. Impedir la utilización del instrumento de pago una vez solicitado su bloqueo por el usuario (art. 42.1.e) RDLSP).

iv. Conservar la documentación y los registros que le permitan acreditar el cumplimiento de sus obligaciones (art. 44.4 RDLSP).

v. Tienen el deber de establecer un sistema de autentificación reforzada de los clientes en los casos que el ordenante: a) acceda a su cuenta de pago en línea; b) inicie una operación de pago electrónico; c) realice por un canal remoto cualquier acción que pueda entrañar un riesgo de fraude en el pago u otros abusos (art. 68.1 RDLSP).

b.- El régimen de responsabilidad se articula en torno a las siguientes previsiones:

i. Será el proveedor de los servicios de pago quien habrá de responder de las pérdidas de importe superior a 50 euros por las operaciones de pago resultantes del uso fraudulento del instrumento de pago por un tercero; responderá de la totalidad de la pérdida cuando al ordenante no le hubiera sido posible detectar el posible uso fraudulento antes de que éste se hubiese materializado o cuando la pérdida se debiera a la acción u omisión de cualquier persona de la que el proveedor de servicios hubiera de responder (art. 46.1 RDLSP).

ii. Responderá en los casos en los que no se exijan autorizaciones reforzadas al cliente, excepto en caso de uso fraudulento del instrumento de pago (art. 46.2 RDLSP).

iii. En los casos de operaciones de pago ya ejecutadas no autorizadas, será responsable de demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago (art. 44.1 RDLSP).

iv. Corresponderá al proveedor de servicios de pago probar que el usuario del servicio de pago cometió fraude o negligencia grave (art. 44.3 RDLSP).

v. Estará obligado a la devolución de las operaciones de pago no autorizadas de forma inmediata desde la notificación de la operación no autorizada, salvo que tenga sospechas razonables de fraude y comunique dichos motivos, por escrito, al Banco de España (art. 45.1 RDLSP).

C) Valoración de la prueba.

1º) Como se deriva del régimen señalado en el fundamento de derecho anterior, en lo que respecta a la responsabilidad por operaciones de pago fraudulentas o no autorizadas, el proveedor de servicios de pago se encuentra sujeto al cumplimiento de específicas obligaciones de protección en la emisión de los instrumentos de pago y en los procesos de autenticación de las operaciones de pago cuya finalidad es minimizar la probabilidad de ejecución de operaciones no autorizadas, respondiendo por las operaciones de pago resultantes del uso fraudulento del instrumento de pago por un tercero, salvo que el ordenante actuara de manera fraudulenta, o incumpliendo deliberadamente o por negligencia grave alguna de las obligaciones recogidas en el art. 41 RDLSP.

Por ello, como señala la SAP de Badajoz (3ª) 159/22, "... al proveedor de servicios de pago le corresponde la carga procesal de acreditar tanto su propio comportamiento diligente en la autenticación de la operación de pago como, en su caso, el fraude (requerirá de la acreditación de hechos de los que pudiera llegar a inferirse que aquel actuó con engaño para beneficiarse de la operación de pago) o la negligencia grave del ordenante (requerirá de la acreditación de las circunstancias concurrentes en la operación de pago de las que quepa inferir que la misma pudo realizarse porque aquel obró con una significativa falta de diligencia al usar del instrumento de pago o al proteger sus credenciales)".

2º) Por tanto, lo importante a los efectos de la resolución del presente recurso, no es tanto la existencia de diligencia en la actuación de la entidad de crédito demandada, sino si esta ha probado que la actora incurrió en fraude, incumplimiento deliberado o negligencia grave en relación a las operaciones no autorizadas cuya devolución reclama a través de la presente demanda.

Hay que partir de que, como señala la SAP Madrid (11ª) 74/22, "... el conocido "riesgo operacional", que debe ser asumido por los bancos en virtud de su posición de garante al ser una pieza clave para evitar la comisión de fraudes ...". Y tal como señala la sentencia apelada, cuyos acertados razonamientos hacemos nuestros e integramos como parte de esta resolución, tal prueba no se ha logrado en las presentes actuaciones.

3º) La parte apelante basa su recurso en la existencia de error en la valoración de la prueba en atención a tres elementos: el contenido de la denuncia presentada por el actor; la remisión de hasta 34 correos electrónicos advirtiendo de la existencia de un posible fraude en diversas operaciones; y el contenido de la resolución dictada por el Banco de España, así como la existencia de negligencia en el usuario en la comunicación sin demora de las operaciones no autorizadas y la insuficiente protección de sus claves. Ninguno de estos elementos justifica la estimación del recurso, y ello a pesar del amplio esfuerzo argumentativo desarrollado por la parte apelante, pero insuficiente para desvirtuar la sólida fundamentación de la resolución apelada.

4º) Así, en primer lugar, de la denuncia presentada, aportada como documento nº 2 de la demanda, no se puede desprender dato alguno que justifique la existencia de negligencia. El hecho de que parte de las operaciones se realizasen en relación a un comercio del que es titular el actor, así como el reconocimiento de la cancelación por Cajamar de muchas operaciones y la manipulación de su perfil en la operadora de telefonía que prestaba servicios al móvil de su titularidad, hechos que ciertamente se hacen constar en la denuncia, nada afecta a lo que es el objeto básico de esta reclamación, esto es, la retirada de fondos, hasta en trece ocasiones, de diversos cajeros automáticos en la localidad de Alicante y en horario de madrugada (el actor reside en Murcia). Tales retiradas se producen desde una cuenta titularidad personal del actor en la que no consta ningún tipo de relación con el negocio citado. El reconocimiento de la cancelación por Cajamar de múltiples operaciones fraudulentas intentadas por los defraudadores sirve para demostrar que el sistema de seguridad de Cajamar funcionó adecuadamente para determinadas operaciones en relación a las cuales nada se reclama, pero resultó insuficiente en relación a las operaciones llevadas a cabo a través de cajero, con respecto a las cuales no saltó ningún tipo de alarma del sistema.

Finalmente, el intento de manipulación de la tarjeta SIM de su teléfono móvil, aspecto sobre el que no existe más prueba que el contenido de la denuncia, tampoco ha tenido ninguna incidencia pues las operaciones de retirada de efectivo en cajero no dependen del uso del teléfono móvil sino de la introducción del PIN de la tarjeta, cuya responsabilidad de custodia corresponde tanto al actor como a la propia entidad de crédito, como únicas personas que conocen dicha clave de seguridad.

5º) Por lo que respecta a los correos electrónicos a los que reiteradamente se refiere la parte apelante, tampoco tiene incidencia sobre lo que constituye el objeto de este proceso. Consta en las actuaciones, como se justifica por el documento nº 3 acompañado por la actora a la demanda, la remisión por la entidad de crédito de 34 correos electrónicos al actor desde las 3.47 horas a las 8.10 horas, de diverso contenido. La mayor parte de ellos comunicaba el bloqueo de transferencias y de recargas "e.shopping" por diversos importes. Otros informaban de bloqueos de activación de firma móvil desde España y Francia o de la gestión del PIN de la tarjeta. En relación a estas actuaciones, como ya se ha señalado, el sistema de seguridad de la entidad de crédito devino adecuado y funcionó correctamente, pues ninguna de estas transferencias se llevó a cabo y se bloquearon de forma efectiva el acceso a las cuentas. Por ello, nada se reclama por este concepto por la parte actora.

6º) El resto de los correos electrónicos eran de carácter simplemente informativo, debiendo de destacar, especialmente, los relativos a la consulta del número secreto PIN de la tarjeta terminada en 9930, a las 3.47, 4.14 y 5.59 del citado día 30 de abril de 2020. Estos son los especialmente trascedentes dado que la retirada de fondos de los cajeros automáticos sólo puede llevarse a cabo a través del uso de una tarjeta y autorizados por el uso del PIN de dicha tarjeta. Dichos correos informan que se ha consultado dicho número, pero no son indicativos de que no haya sido facilitado por la entidad de crédito.

En este punto, es preciso recordar que, como ya se ha señalado, en los casos de operaciones de pago ya ejecutadas no autorizadas, será la entidad de crédito la responsable de demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago (art. 44.1 RDLSP), como podría ser la de facilitar el PIN de la tarjeta a través del sistema contractualmente previsto. En contra de lo señalado por la parte apelante, lo cierto es que no consta acreditado, y la carga de la prueba de este extremo corresponde a la entidad de crédito, que no se facilitase dicha información, pues lo cierto es que los únicos bloqueos a los que se hace referencia son los relativos a la "gestión del PIN de la tarjeta", tal como se señala en los correos de las 4.12 y 5.58.

Lo cierto es que, a partir de las 5.43 horas se fueron produciendo las extracciones de dinero de diferentes cajeros automáticos, lo que implica que los autores de tales hechos conocían el PIN necesario para poder operar a través de este sistema. Ello indica que, de alguna forma no justificada, los defraudadores tuvieron acceso al mismo y ello sólo pudo ser a través de la propia entidad de crédito, pues, como ya se ha indicado, el número secreto PIN sólo es conocido por el titular de la tarjeta y por la entidad de crédito. Ello implica que hubo un déficit de protección en el sistema de seguridad que permitió obtener tal clave necesaria para la extracción de dinero en los cajeros de la entidad de crédito apelante. En consecuencia, los correos electrónicos no justifican el correcto funcionamiento de las exigencias de seguridad derivadas de la Ley de Servicios de Pago.

7º) Por último, tampoco es admisible como justificación de una correcta actuación de la entidad de crédito, el contenido del informe del Banco de España aportado como documento nº 11 de la demanda, tras la previa reclamación realizada por la parte actora (documento nº 10 de la demanda). El hecho de que el Banco de España no apreciase un quebrantamiento de las normas de transparencia y seguridad ni de los buenos usos y las prácticas financieras, no implica que no exista tal responsabilidad si, en un proceso civil en reclamación de cantidad, no se justifica por la entidad de crédito la corrección de su actuación en relación con las operaciones fraudulentas llevadas a cabo. Como se ha indicado cuando se ha resumido el régimen de responsabilidad de los prestadores de los servicios de pago, la única vía de exoneración de responsabilidad de los mismos por operaciones no autorizadas por el cliente se dará en los casos en los que el ordenante, que no puede ser otro que el titular de los servicios de pago, haya actuado de forma fraudulenta o incumplimiento de forma grave las obligaciones que le incumben. En el resto de los casos responde por expresa disposición legal la entidad de crédito , tal como ocurre en este caso.

8º) El último extremo sobre el que debe de resolverse en este recurso, aunque no alegado de forma expresa en el escrito de apelación, si ha sido insinuado por la parte apelante, es la actuación del actor. Como ya se ha señalado, las operaciones defraudatorias se llevaron a cabo, bien a través de Internet (operaciones que no han sido objeto de este proceso) o bien a través de cajeros automáticos. Mal puede hablarse de negligencia grave cuando las extracciones en las que se basa la demanda se realizaron en Alicante, radicando el domicilio del actor en la ciudad de Murcia. Tampoco puede entenderse negligencia o demora en la comunicación de los hechos, pues tal como se desprende de la documentación aportada y aceptada por ambas partes, los correos electrónicos de advertencia así como las extracción de dinero de los cajeros tuvieron lugar en horas de la madrugada del día 30 de abril de 2020 en las que debe de presumirse que el actor estaba durmiendo y, por ello, no tenía por qué estar atento a la lectura de los correos electrónicos remitidos por la entidad de crédito, habiendo comunicado de forma inmediata una vez que tuvo conocimiento de los mismos, como lo justifica la no negada advertencia al director de la oficina con la que solía trabajar a primera hora de la mañana o la presentación de la denuncia ante la Policía Nacional el mismo día 30 de abril de 2020.

En definitiva, el usuario del servicio de pago no incurrió en negligencia en la custodia de sus claves de seguridad ni demoró en poner los hechos en conocimiento de la entidad de crédito, por lo que no puede imputarse al mismo ningún tipo de responsabilidad en las operaciones no autorizadas. Por todo ello, debe de ser confirmada la sentencia apelada.

www.gonzaleztorresabogados.com

928 244 935




No hay comentarios: