La sentencia de la Sala de lo Civil el Tribunal
Supremo, sec. 1ª, de 9 de abril de 2025, nº 571/2025, rec. 1151/2023, declara la que el proveedor de los
servicios de pago responde de los daños y perjuicios ocasionados al cliente
cuando no acredita que el servicio se prestó correctamente y la concurrencia de
fraude o incumplimiento deliberado o gravemente negligente por parte del
usuario, pues el hecho de que un tercero hubiera podido acceder a las claves de
acceso a la banca digital del usuario no supone per se que haya incurrido en
negligencia alguna, además, notificó al proveedor de servicios de pago la
utilización no autorizada del instrumento de pago, tan pronto tuvo conocimiento
de ello.
El que la entidad bancaria acredite que
la operación fue autenticada, registrada con exactitud y contabilizada, no es
suficiente para eximirle de responsabilidad. Tenía que probar que la operación
no resultó afectada por un fallo técnico u otra deficiencia del servicio
prestado, y, dado que el cliente niega que la operación fuera consentida, que
no hubo por parte de este último fraude, incumplimiento deliberado o
negligencia grave del usuario bancario.
Esta sentencia marca un hito en la
defensa de los derechos de los consumidores frente a las estafas digitales,
concretamente aquellas conocidas como phishing. En este fallo, el Alto Tribunal
establece que las entidades bancarias deben reembolsar las cantidades
sustraídas mediante fraudes informáticos, salvo que consigan probar que el
cliente actuó con negligencia grave o cometió fraude doloso.
En particular, se destaca que el simple
hecho de que un tercero haya accedido a las credenciales del usuario no implica
automáticamente una actuación negligente por parte del titular de la cuenta.
El hecho de que la filtración o el
conocimiento de las claves por el tercero no sea imputable a la entidad
bancaria tampoco la libera de obligación de responder ni traslada al usuario la
obligación de soportar las pérdidas.
Esta sentencia constituye un importante
paso adelante en la protección de los usuarios frente a prácticas fraudulentas
cada vez más sofisticadas, como aquellas derivadas del acceso a enlaces
maliciosos recibidos por correo electrónico o SMS, o de llamadas telefónicas en
las que el estafador se hace pasar por un representante de la entidad bancaria.
A) Resumen de antecedentes.
1.- Son antecedentes fácticos no
discutidos o declarados acreditados en la instancia y de interés para la
resolución del recurso los siguientes:
i) D. Martin es titular, junto con sus
padres, D. Torcuato y D.ª Raquel, de la cuenta corriente y/o depósito n.º
NUM000, y, con su esposa Dña. Sonia, de la cuenta corriente n.º NUM001, ambas
abiertas en la entidad Unicaja Banco S.A. Asimismo, D. Martin y Unicaja Banco
S.A. suscribieron en fecha 31 de agosto de 2004 un contrato de banca a
distancia nº NUM002***.
ii) En fecha 24 de febrero de 2021, a
las 06:31 horas, D. Martin recibió un aviso de Google, en el que se le
informaba que se había detectado una vulneración de su cuenta de correo
electrónico @gmail, comprobándose un acceso no autorizado, ante lo cual, minutos
después y como medida de prevención, a las 06:37 horas procedió al cambio de
contraseña de la cuenta de correo.
iii) El mismo 24 de febrero, a las
06:37, D. Martin recibió en su teléfono móvil, n.º NUM003*****, varios mensajes
SMS con códigos para la materialización a través del sistema digital de
transferencias que no obedecían a órdenes emitidas por él, lo que puso en
conocimiento del personal de la sucursal del banco.
iv) En fechas 27 de febrero y 2 y 12 de
marzo de 2021, Google Play y Google Ads realizaron varios cargos no autorizados
en la cuenta n.º NUM001, por valor de 464,98 €, utilizando su tarjeta VISA n.º
NUM004 ****, lo que D. Martin comunicó a la entidad bancaria, reiterando su
preocupación por los SMS recibidos, al tiempo que presentaba la pertinente
reclamación a Google, que la rechazó el 15 de marzo, al no haber podido
confirmar que se hubiera producido algún tipo de actividad fraudulenta.
v) El 16 de marzo, D.ª Estefanía recibió
un email de Google en su dirección de correo de @gmail con el siguiente
mensaje: «Alerta de seguridad crítica, se ha bloqueado un intento de inicio de
sesión. Alguien acaba de usar tu contraseña para intentar iniciar sesión en tu
cuenta». Inmediatamente, procedió a cambiar la contraseña, y, al día siguiente,
17 de marzo, el actor acudió a la oficina bancaria, donde informó sobre lo
sucedido y solicitó la cancelación de la tarjeta y la emisión de otra nueva.
vi) Entre la noche del 17 y la mañana
del 18 de marzo de 2021 se realizaron quince transferencias bancarias desde la
cuenta corriente n.º NUM000, de las cuales diez lo fueron a través de la
plataforma Bizum (por importe de 500 € cada una) y cinco a través de la
plataforma de banca electrónica «Ibercaja Directo» (por importes de 28.970 €,
19.870 €, 9.876 € y dos de 9.870 € cada una -78.456,20 € en total-), devengando
236,53 € en comisiones, lo que suma un cargo total de 83.692,73 euros.
vii) La mayoría de las mencionadas
transferencias se efectuaron a favor de delincuentes conocidos por la Policía,
a través de la línea de móvil NUM003*****, titularidad de D.ª Estefanía, para
lo cual se utilizó una tarjeta SIM que había sido duplicada el 17 de marzo, a
las 17:29 horas, sin autorización de la titular, en el distribuidor Remedios
(Murcia), lo que permitió al autor/es acceder a la información almacenada en la
tarjeta, y recibir y utilizar el código solicitado para las sucesivas
operaciones.
viii) El demandante no supo lo sucedido
hasta la mañana del día 18 de marzo, cuando el personal de la sucursal,
alertado por una llamada del personal del Banco Santander S.A., que había
detectado el ingreso realizado en una cuenta sospechosa, le preguntó si durante
la noche había hecho transferencias por valor de 83.000 €, a lo que respondió
que no. Al acceder a la banca electrónica y comprobar la realidad de la
información, el mismo día 18 presentó la correspondiente denuncia en la
comisaría de la Policía Nacional, lo que motivó la incoación de las diligencias
previas n.º 1017/21021 por el Juzgado de Instrucción n.º 11 de Zaragoza.
ix) En atención a la reclamación del
actor, Ibercaja Banco S.A. solicitó la restitución de las cantidades dispuestas
a las distintas entidades de destino, consiguiendo la devolución de 27.218,10
€, que fueron reintegrados al actor.
2.- En el presente procedimiento y con
base en los mencionados hechos, D. Martin ejercita una acción de
responsabilidad contractual frente a Ibercaja Banco S.A., en reclamación de
56.474,63 euros, por los daños y perjuicios causados por el incumplimiento de las
obligaciones asumidas por la demandada en el contrato de banca a distancia y en
el contrato de cuenta corriente y/o depósito nº NUM000, titularidad de D.
Martin y de sus padres, D. Torcuato y D.ª Raquel, al haberse realizado quince
transferencias bancarias no autorizadas, a través de la plataforma de banca
electrónica «Ibercaja Directo».
3.- La demandada Ibercaja Banco S.A. se
opone a la demanda y solicita su desestimación. Alega que, en las fechas
indicadas y al amparo del contrato de banca electrónica «Ibercaja Directo»
suscrito por ambas partes, se efectuaron por el titular cinco transferencias a
través de la banca digital y otras doce operaciones de Bizum, dos de las cuales
se anularon al superar el máximo diario.
Según afirma, todas las transferencias
realizadas cumplen las exigencias impuestas en la normativa aplicable,
constituida por el Real Decreto-ley 19/2018 de 23 de noviembre, de servicios de
pago, que adaptó la normativa de servicios de pago para trasponer la Directiva
2015/2366 y el Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de
noviembre de 2017, por el que se complementa dicha Directiva, en lo relativo a
las normas técnicas de regulación para la autenticación reforzada de clientes y
unos estándares de comunicación abiertos seguros, ya que se ejecutaron con
identificación correcta del titular o usuario de las cuentas de origen y empleo
de un doble factor de autentificación, consistente en el envío mediante SMS de
un código/clave, que debía incorporar el usuario-titular del servicio «Ibercaja
Directo», para continuar, consentir, confirmar y hacer efectiva la operación
(el SMS se envía de forma exclusiva y con validez temporal limitada al teléfono
móvil facilitado por el titular para este tipo de comunicaciones y
autorizaciones a fin de operar a través de la banca on-line). Y, en cuanto a
las operaciones vía Bizum, se llevan a cabo a través de una aplicación Ibercaja
Pay, a la que se accede con el mismo usuario y clave de Ibercaja Directo,
comprobándose que el dispositivo es el mismo que se usó para efectuar el alta
en el servicio.
En el supuesto enjuiciado, el actor
introdujo sus claves en reiteradas ocasiones para acceder al sistema, así como
los códigos que se le enviaron por SMS para dar conformidad a las operaciones
que realizaba, por lo que ningún incumplimiento cabe imputar a la entidad
bancaria.
El control y las medidas de seguridad
que la normativa impone a la entidad bancaria -continúa- no debe alcanzar a la
falta de seguridad o vulnerabilidad que pueda tener el actor en sus
dispositivos o a la falta de cautela en el uso o actuaciones que puedan
facilitar a un tercero el uso de sus claves o de las contraseñas recibidas,
mediante el acceso a páginas web o click en enlaces que puedan permitir a
terceros el acceso a los datos de su dispositivo o de sus contactos, o datos o
informaciones extraídos de sus propios correos electrónicos, que puedan
comprometer sus claves de Google o la duplicidad o clonación de su tarjeta, o
datos bancarios, que posibilitaran el control de su dispositivo por terceros.
Por el contrario, sí que es responsabilidad del titular o usuario el
mantenimiento actualizado de los dispositivos que utilice para operar en el
servicio «Ibercaja Directo» (ordenador, móvil...), con los adecuados niveles de
seguridad.
En este caso, posiblemente se ha
producido una suplantación de identidad o «phishing», pero las operaciones se
autorizaron al haber cumplido el doble factor de autenticación, sin detectarse
incidencia alguna, y, por tanto, conforme a lo dispuesto en el art. 44 del
RD-ley 19/2018. Acreditada dicha circunstancia (la doble autenticación), no
corresponde a la entidad bancaria demandada determinar si las operaciones de
pago cuestionadas las autentificó un cliente o un tercero que disponía de los
datos, o incluso del dispositivo móvil utilizado.
En última instancia, en los contratos de
banca digital y de cuenta corriente y/o depósitos se prevé expresamente
(cláusula 8ª) que la demandada queda exenta de los perjuicios que se pudieran
derivar por intromisiones ilegítimas de terceros en el sistema elegido por el
cliente, fuera del control de Ibercaja Banco.
4.- La sentencia de instancia estima la
demanda y condena a la demandada a abonar al actor la cantidad reclamada.
La sentencia repasa la legislación
aplicable, con especial hincapié en los arts. 36 y 41 a 46 del Real Decreto Ley
19/2018, de 13 de noviembre, que establecen un régimen de responsabilidad cuasi
objetiva del proveedor de los servicios de pago, y las Directrices de la
Autoridad Bancaria Europea (EBA/GL/2017/09), que coinciden en la necesidad, por
razones de seguridad, de sustituir el modo tradicional de acceder a los
servicios on-line a través de unas credenciales basadas exclusivamente en
usuario y contraseña, por un sistema de autenticación fuerte, basado en al
menos dos factores, el segundo de los cuales puede ser un certificado digital,
un dispositivo criptográfico que genera un número único, una línea de telefonía
para recibir SMS o una app en un dispositivo móvil. En la entidad demandada se
estaría produciendo el paso del sistema antiguo en que el segundo factor
consistía en una tarjeta de coordenadas, al nuevo, mediante envío de un SMS, lo
que se acomoda a la normativa vigente.
Expuesto el régimen aplicable, la
sentencia analiza la actuación del demandante y de la demandada. Por lo que se
refiere al primero, razona que, de acuerdo con los preceptos apuntados, el
usuario solo responde cuando haya incumplido deliberadamente o por negligencia
grave una o varias de sus obligaciones, por lo que, al no existir ningún
elemento del que se deduzca la existencia de un fraude o incumplimiento
deliberado, la cuestión se reconduce a dilucidar si es posible hablar de
negligencia grave, cuya prueba incumbe a la demandada y que la jurisprudencia
comunitaria relaciona con el incumplimiento del deber de notificación del art.
58 de la Directiva 2007/64/CE. Después de examinar la prueba practicada, la
sentencia descarta una conducta en el actor que se pudiera calificar como
negligencia grave, antes al contrario, consta que un mes antes de los hechos ya
advirtió expresamente y de forma inmediata de la recepción de los SMS con
claves de confirmación de transferencias que él no había ordenado, lo que revela
un obrar diligente, pues incluso en caso de haber sido víctima de phishing y
proporcionado inconscientemente sus datos, hizo lo correcto, como es ponerse en
contacto con Ibercaja Banco, que debía hacer reaccionado proporcionando un
nuevo número de usuario, clave de acceso y firma electrónica -datos que ya
obraban en poder de terceros-. Y lo mismo sucedió con la problemática planteada
con la Tarjeta Visa, que sí fue reemplazada.
Por esta razón, aunque el sistema de
banca electrónica de la demandada y la operativa del mismo se adecúa a la
legislación aplicable, lo cierto es que, al no haberse acreditado negligencia
grave del usuario, la entidad bancaria debe responder del reintegro de las
cantidades dispuestas de forma fraudulenta, sin que corresponda a los
clientes/usuarios prevenir ni averiguar las modalidades de riesgos que el
sistema conlleva.
Conclusión que, según destaca la
sentencia, se refuerza, teniendo en cuenta que, por un lado, en el último
párrafo de la cláusula 3ª del contrato «Ibercaja Directo», se prevé que, por
seguridad, el banco podrá solicitar del titular la confirmación por escrito de
determinadas operaciones cuando existieren dudas sobre la identidad del
ordenante, como aquí ocurrió, ya que las operaciones que dan lugar a la
reclamación, por sus características, deberían haber sido detectadas por los
sistemas técnicos de Ibercaja Banco; y, por otro lado, esta detección no solo
no se produjo de manera tempestiva, sino que la alerta provino de una fuente
externa, a saber, una llamada del Banco Santander que avisó de la recepción de
una transferencia en una cuenta sospechosa de la entidad.
5.- La entidad Ibercaja Banco S.A.
presentó recurso de apelación, que fue desestimado por la Audiencia Provincial.
En síntesis, la Audiencia declara
probado que las transferencias fueron realizadas por delincuentes, que
duplicaron la tarjeta SIM de la esposa del perjudicado, accediendo a la
información confidencial almacenada en ella y tomando el control de su banca digital,
en lo que se conoce como una modalidad de estafa denominada «SIM swapping».
Con esta base fáctica, la sentencia
recuerda que la Ley de Servicios de Pago establece un sistema de
responsabilidad cuasi objetiva de la entidad proveedora de los servicios de
pago, conforme al cual, tratándose de operaciones no autorizadas, salvo actuación
fraudulenta , incumplimiento deliberado o negligencia grave del ordenante, la
responsabilidad será del proveedor del servicio de pago, lo que implica que
recae sobre él la carga de probar que la orden de pago «no se vio afectada por
un fallo técnico u otra deficiencia del servicio prestado», expresión esta
última que implica que el banco debe actuar con la diligencia exigible en
atención a las circunstancias de las personas y operaciones realizadas.
Al no haber acreditado la entidad
recurrente qué negligencia pudo cometer el demandante que permitiera que unos
delincuentes le duplicaran la tarjeta SIM -sin que el mero hecho del robo o
sustracción de las claves suponga negligencia del usuario ni las advertencias
genéricas o avisos estereotipados que puedan hacer los bancos sirvan para
imputar tal negligencia-, la Audiencia concluye que debe responder, máxime
atendidas las deficiencias observadas en el servicio prestado, como son que un
hecho tan inusual como la ejecución de quince transferencias en una noche, por
importe superior a 80.000 €, no hiciera saltar las alarmas en ese mismo momento
y no al día siguiente y ni siquiera por iniciativa propia, o que, a pesar de
las advertencias del actor en fechas inmediatamente anteriores de que había
recibido varios SMS de transferencias no solicitadas y de los alertas de
seguridad comunicadas por Google, la demandada no extremara las precauciones.
Finalmente, la sentencia descarta tanto
el supuesto incumplimiento por parte del cliente de las cláusulas 1ª, 4ª y 5ª
del contrato al realizar la operación, ya que no fue el demandante quien la
efectuó, sino unos delincuentes que duplicaron la tarjeta SIM, como la
aplicación de la cláusula 8ª, de exoneración, al entender que, como señala la
sentencia de instancia, dicha cláusula «no puede entenderse válida en tanto en
cuanto vaya contra el régimen normativo imperativo derivado de los preceptos
antes reseñados».
6.- La entidad demandada Ibercaja Banco
S.A. formula recurso de casación contra la expresada sentencia, que fundamenta
en dos motivos que seguidamente se analizarán.
B) Decisión de la Sala de lo Civil del Tribunal Supremo. El motivo debe ser
desestimado por las razones que seguidamente se exponen.
La controversia radica en determinar
quién debe responder por las operaciones de pago no autorizadas, en tanto que
realizadas por un tercero que, utilizando las credenciales del usuario que ha
obtenido por cualquier medio, suplanta su identidad y accede electrónicamente a
su cuenta sin su consentimiento.
O, dicho de otra manera, qué debe entenderse por «operaciones de pago no
autorizadas», si, en general, las que han sido realizadas por un tercero sin el
consentimiento del usuario titular de la cuenta, o, exclusivamente, las
efectuadas sin seguir el procedimiento legal y contractualmente fijado.
Con carácter previo, es preciso
significar que la Audiencia ha declarado probado que las operaciones de pago se
ejecutaron por terceras personas, ajenas y sin el consentimiento del
demandante, lo que comporta rechazar de plano las dudas sugeridas por la recurrente.
La respuesta a la cuestión discutida
exige recodar concretar la normativa aplicable. La Directiva (UE) 2015/2366 del
Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios
de pago en el mercado interior, que derogó la Directiva 2007/64/CE, explica en
su Considerando 7 el objetivo de la reforma:
«En los últimos años, han aumentado los
riesgos de seguridad de los pagos electrónicos, debido a la mayor complejidad
técnica de estos, el incesante incremento del volumen de pagos electrónicos en
todo el mundo y los nuevos tipos de servicios de pago. Disponer de servicios de
pago fiables y seguros es condición esencial para el buen funcionamiento del
mercado de servicios de pago, por lo que los usuarios de esos servicios deben
gozar de la debida protección frente a tales riesgos. Los servicios de pago son
esenciales para el mantenimiento de actividades económicas y sociales de vital
importancia.»
Y en los Considerandos 70, 71 y 72 se
aborda el problema de las operaciones de pago no autorizadas o ejecutadas
incorrectamente, precisando las respectivas obligaciones y responsabilidad del
usuario y del proveedor de los servicios de pago y ofreciendo pautas para
valorar la diligencia exigible:
«(70) Para reducir los riesgos y las
consecuencias de operaciones de pago no autorizadas o que hayan sido ejecutadas
incorrectamente, el usuario de servicios de pago debe informar al proveedor de
servicios de pago, lo antes posible, sobre toda reclamación en relación con
operaciones de pago supuestamente no autorizadas o ejecutadas incorrectamente,
siempre y cuando el proveedor de servicios de pago haya respetado sus
obligaciones de información con arreglo a la presente Directiva. Si el usuario
de servicios de pago respeta el plazo de notificación, debe poder hacer valer
esas reclamaciones dentro de los plazos de prescripción nacionales. [...]
(71) En caso de una operación de pago no
autorizada, el proveedor de servicios de pago deberá devolver inmediatamente el
importe de dicha operación al ordenante. No obstante, cuando haya una sospecha
fundada de que una operación no autorizada es el resultado de una conducta
fraudulenta del usuario de servicios de pago y la sospecha se funde en motivos
objetivos comunicados a la autoridad nacional pertinente, el proveedor de
servicios de pago tendrá la posibilidad de efectuar, en un plazo razonable, una
investigación antes de devolver el importe al ordenante. A fin de evitar
perjuicios al ordenante, la fecha de valor del abono de la devolución no debe
ser posterior a la fecha de adeudo del importe. A fin de ofrecer incentivos
para que el usuario de servicios de pago comunique sin demora a su proveedor de
servicios de pago toda pérdida o robo de un instrumento de pago y reducir así
el riesgo de operaciones de pago no autorizadas, el usuario solo debe ser
responsable por un importe muy limitado, salvo en caso de fraude o grave
negligencia por su parte. A este respecto, parece adecuado fijar un importe de
50 EUR con vistas a garantizar una protección elevada y homogénea del usuario
dentro de la Unión. No se le debe imputar responsabilidad al ordenante, cuando
este se encuentre en una posición que no le permite tener conocimiento del
extravío, el robo o la sustracción del instrumento de pago. Asimismo, una vez
que el usuario de servicios de pago haya comunicado al proveedor de servicios
de pago que su instrumento de pago puede haber sido objeto de uso fraudulento,
no deben exigírsele responsabilidades por las ulteriores pérdidas que pueda
ocasionar el uso no autorizado del instrumento. [...]
(72) A la hora de evaluar la posible
negligencia o la negligencia grave del usuario de servicios de pago, deben
tomarse en consideración todas las circunstancias. Las pruebas de una presunta
negligencia, y el grado de esta, deben evaluarse con arreglo a la normativa
nacional. No obstante, si el concepto de negligencia supone un incumplimiento
del deber de diligencia, la negligencia grave tiene que significar algo más que
la mera negligencia, lo que entraña una conducta caracterizada por un grado
significativo de falta de diligencia. Un ejemplo sería el guardar las
credenciales usadas para la autorización de una operación de pago junto al
instrumento de pago, en un formato abierto y fácilmente detectable para
terceros. Se deben considerar nulas las cláusulas contractuales y las condiciones
de prestación y utilización de instrumentos de pago mediante las cuales aumente
la carga de la prueba sobre el consumidor o se reduzca la carga de la prueba
sobre el emisor. Además, en situaciones específicas y, más concretamente,
cuando el instrumento de pago no esté presente en el punto de venta, como en el
caso de los pagos en línea, resulta oportuno que el proveedor de servicios
aporte pruebas de la presunta negligencia, puesto que los medios a disposición
del ordenante son limitados en esos casos.»
Con relación a las medidas de seguridad
que deben adoptarse, los Considerandos 91 y 96 indican:
«(91) Los proveedores de servicios de
pago son responsables de las medidas de seguridad. Dichas medidas deben ser
proporcionales a los riesgos de seguridad existentes. Los proveedores de
servicios de pago deben establecer un marco que permita paliar los riesgos y
mantener procedimientos eficaces de gestión de incidentes.
(96) [...] Es necesario que las
credenciales de seguridad personalizadas se utilicen adecuadamente, para
limitar los riesgos de captación de datos mediante suplantación de identidad
(phising) y otras actividades fraudulentas. A tal fin, el usuario debe poder
confiar en la adopción de medidas que protejan la confidencialidad y la
integridad de sus credenciales personalizadas de seguridad. Entre estas medidas
figuran, en particular, los sistemas de cifrado basados en dispositivos
personales del ordenante (lectores de tarjetas o teléfonos móviles, por
ejemplo) o facilitados al ordenante por su proveedor de servicios de pago
gestor de cuentas por otros cauces (por SMS o mensaje de correo electrónico,
por ejemplo). Las medidas, incluidos los sistemas habituales de cifrado, que
pueden dar lugar a códigos de autenticación como las contraseñas de un solo
uso, pueden aumentar la seguridad de las operaciones de pago; la utilización de
este tipo de códigos de autenticación por los usuarios de servicios de pago
debe considerarse compatible con sus obligaciones respecto de los instrumentos
de pago y las credenciales de seguridad personalizadas...»
Estas indicaciones se plasman en los
arts. 64 y 69 y ss. de la Directiva 2015/2366. Así, el art. 64, titulado
«Consentimiento y retirada del consentimiento», dispone:
«1. Los Estados miembros velarán por que
las operaciones de pago se consideren autorizadas únicamente cuando el
ordenante haya dado su consentimiento a que se ejecute la operación de pago.
[...]
2. El consentimiento para la ejecución
de una operación de pago o de una serie de operaciones de pago se dará en la
forma acordada entre el ordenante y el proveedor de servicios de pago. El
consentimiento para la ejecución de una operación de pago podrá darse también
por conducto del beneficiario o del proveedor de servicios de iniciación de
pagos.
En ausencia de consentimiento, la
operación de pago se considerará no autorizada.
[...] 4. El ordenante y el proveedor o
proveedores de servicios de pago correspondientes convendrán en el
procedimiento de notificación del consentimiento.»
Los arts. 69 y 70 de la Directiva
regulan las obligaciones del usuario y del proveedor de servicios de pago en
relación con los instrumentos de pago. Así, el art. 69 ordena:
«1. El usuario de servicios de pago habilitado para utilizar un instrumento de pago:
a) utilizará el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago que deberán ser objetivas, no discriminatorias y proporcionadas;
b) en caso de extravío, robo o apropiación indebida del instrumento de pago o de su utilización no autorizada, lo notificará al proveedor de servicios de pago o a la entidad que este designe, sin demora indebida en cuanto tenga conocimiento de ello.
2. En particular, a los efectos del apartado 1, letra a), el usuario de servicios de pago, en cuanto reciba un instrumento de pago, tomará todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas del instrumento de pago.»
Y, paralelamente, el art. 70.1 establece
respecto del proveedor de servicios de pago las siguientes obligaciones:
«a) se asegurará de que las credenciales de seguridad personalizadas del instrumento de pago solo sean accesibles para el usuario de servicios de pago facultado para utilizar el instrumento, sin perjuicio de las obligaciones que incumben al usuario de servicios de pago con arreglo al artículo 69;
c) garantizará que en todo momento estén disponibles medios adecuados que permitan al usuario de servicios de pago efectuar una notificación en virtud del artículo 69, apartado 1, letra b), o solicitar un desbloqueo del instrumento de pago en virtud del artículo 68, apartado 4; el proveedor de servicios de pago facilitará al usuario de dichos servicios, cuando este así lo solicite, medios que le permitan demostrar que ha efectuado dicha notificación durante los dieciocho meses siguientes a la misma;
d) ofrecerá al usuario de servicios de pago la posibilidad de efectuar una notificación en virtud del artículo 69, apartado 1, letra b), gratuitamente y cobrar, si acaso, únicamente los costes de sustitución directamente imputables al instrumento de pago;
e) impedirá cualquier utilización del instrumento de pago una vez efectuada la notificación en virtud del artículo 69, apartado 1, letra b).»
El art. 71.1 de la Directiva prevé la
obligación del proveedor de servicios de pago de rectificar la operación si el
usuario lo comunica sin demora injustificada:
«El usuario de servicios de pago obtendrá la rectificación por parte del proveedor de servicios de pago de una operación de pago no autorizada o ejecutada incorrectamente únicamente si el usuario de servicios de pago se lo notifica sin demora injustificada, en cuanto tenga conocimiento de cualquiera de dichas operaciones que sea objeto de reclamación, incluso las cubiertas por el artículo 89, y, en todo caso, dentro de un plazo máximo de trece meses contados desde la fecha del adeudo.»
Y el art. 72 añade, en relación con la
prueba de la autenticación y ejecución de las operaciones de pago, cuando el
usuario niegue haberla autorizado o alegue que se ejecutó de manera incorrecta:
«1. Los Estados miembros exigirán que, cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que esta se ejecutó de manera incorrecta, corresponda al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago. [...]
2. Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ejecutada, la utilización de un instrumento de pago registrada por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, no bastará necesariamente para demostrar que la operación de pago ha sido autorizada por el ordenante, ni que este ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 69. El proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, aportará pruebas para demostrar que el usuario del servicio de pago ha cometido fraude o negligencia grave.»
Por último, los arts. 73 y 74 de la
Directiva ordenan el régimen de responsabilidad del proveedor y del usuario en
caso de operaciones de pago no autorizadas. El art. 73.1 señala:
«1. Sin perjuicio del artículo 71, los Estados miembros velarán por que, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devuelva a este el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito a la autoridad nacional pertinente. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada...»
Y el art. 74.1 contempla la posibilidad
de que, en determinados casos, el ordenante pueda quedar obligado a soportar
las pérdidas derivadas de operaciones de pago no autorizadas resultantes de la
utilización de un instrumento de pago extraviado o robado, hasta un máximo de
50 euros.
El Reglamento Delegado (UE) 2018/389 de
la Comisión, de 27 de noviembre de 2017, por el que se complementa la Directiva
(UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas
técnicas de regulación para la autenticación reforzada de clientes y unos
estándares de comunicación abiertos comunes y seguros, avanza un paso más en esta línea y,
además de desarrollar el contenido y las exigencias en materia de autenticación
reforzada, impone en su art. 2 a los proveedores de servicios de pago el deber
de incorporar mecanismos de supervisión que les permitan detectar operaciones
de pago no autorizadas o fraudulentas a efectos de la adopción de terminadas
medidas de seguridad:
«1. Los proveedores de servicios de pago dispondrán de mecanismos de supervisión de las operaciones que les permitan detectar operaciones de pago no autorizadas o fraudulentas a efectos de la aplicación de las medidas de seguridad a que se hace referencia en el artículo 1, letras a) y b).
Dichos mecanismos se basarán en el análisis de las operaciones de pago teniendo en cuenta los elementos que caractericen al usuario de servicios de pago en el contexto de un uso normal de las credenciales de seguridad personalizadas.
2. Los proveedores de servicios de pago garantizarán que los mecanismos de supervisión de las operaciones tengan en cuenta, como mínimo, todos los factores basados en el riesgo siguientes: a) listas de elementos de autenticación comprometidos o sustraídos; b) el importe de cada operación de pago; c) supuestos de fraude conocidos en la prestación de servicios de pago; d) señales de infecciones por programas informáticos maliciosos en cualquier sesión del procedimiento de autenticación; e) 1. en caso de que el dispositivo o el programa informático de acceso sea facilitado por el proveedor de servicios de pago, un registro de la utilización del dispositivo o el programa informático de acceso facilitado al usuario de los servicios de pago y de su uso anormal.»
La mencionada Directiva 2015/2366 ha
sido traspuesta al ordenamiento jurídico interno por el Real Decreto Ley
19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en
materia financiera, cuyos arts. 36 y 41 a 46 reproducen casi miméticamente los
preceptos que se acaban de transcribir.
Así, el art. 36.1 proclama:
«1. Las operaciones de pago se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución. A falta de tal consentimiento la operación de pago se considerará no autorizada. El consentimiento para la ejecución de una operación de pago podrá darse también por conducto del beneficiario o del proveedor de servicios de iniciación de pagos.
El ordenante y su proveedor de servicios de pago acordarán la forma en que se dará el consentimiento, así como el procedimiento de notificación del mismo.»
El art. 41 recoge las obligaciones del
usuario en relación con los instrumentos de pago y las credenciales de
seguridad personalizadas, indicando que:
«a) utilizará el instrumento de pago de
conformidad con las condiciones que regulen la emisión y utilización del
instrumento de pago que deberán ser objetivas, no discriminatorias y
proporcionadas y, en particular, en cuanto reciba un instrumento de pago,
tomará todas las medidas razonables a fin de proteger sus credenciales de
seguridad personalizadas;
b) en caso de extravío, sustracción o
apropiación indebida del instrumento de pago o de su utilización no autorizada,
lo notificará al proveedor de servicios de pago o a la entidad que este
designe, sin demora indebida en cuanto tenga conocimiento de ello.»
Y el art. 42.1 del Real Decreto Ley
reitera el contenido del art. 71.1 de la Directiva, con el matiz de insistir en
el carácter gratuito de los medios que permitan al usuario efectuar la
notificación a que hace referencia el art. 41.b).
Lo mismo sucede con los arts. 43 y 44,
en relación con los arts. 71 y 72 de la Directiva. En particular, el art. 44
atribuye al proveedor de los servicios de pago la carga de la prueba de que la
operación de pago fue autenticada, registrada con exactitud y contabilizada, y
que no se vio afectada por un fallo técnico u otra deficiencia del servicio
prestado por el proveedor de servicios de pago, así como que el usuario del
servicio de pago cometió fraude o negligencia grave:
«1. Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago. [...]
2. A los efectos de lo establecido en el apartado anterior, el registro por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 41.
3. Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave. [...]»
Igualmente, los arts. 45 y 46 del Real
Decreto Ley recogen lo dispuesto en los arts. 73 y 74 de la Directiva acerca de
la responsabilidad del proveedor de servicios de pago y del usuario en caso de
operaciones de pago no autorizadas. En este sentido, el art. 45.1 establece:
«1. Sin perjuicio del artículo 43 de
este real decreto-ley, en caso de que se ejecute una operación de pago no
autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el
importe de la operación no autorizada de inmediato y, en cualquier caso, a más
tardar al final del día hábil siguiente a aquel en el que haya observado o se
le haya notificado la operación, salvo cuando el proveedor de servicios de pago
del ordenante tenga motivos razonables para sospechar la existencia de fraude y
comunique dichos motivos por escrito al Banco de España, en la forma y con el
contenido y plazos que éste determine. En su caso, el proveedor de servicios de
pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el
adeudo al estado en el que se habría encontrado de no haberse efectuado la
operación no autorizada.»
Y el art. 46, después de recoger en su
apartado 1 la posibilidad de que el ordenante pueda quedar obligado a soportar,
hasta un máximo de 50 euros, las pérdidas derivadas de operaciones de pago no
autorizadas resultantes de la utilización de un instrumento de pago extraviado,
sustraído o apropiado indebidamente por un tercero, vincula la responsabilidad
del ordenante a la existencia de fraude o por incumplimiento deliberado o por
negligencia grave de las obligaciones que pesan sobre el mismo:
«1. No obstante lo dispuesto en el
artículo 45, el ordenante podrá quedar obligado a soportar, hasta un máximo de
50 euros, las pérdidas derivadas de operaciones de pago no autorizadas
resultantes de la utilización de un instrumento de pago extraviado, sustraído o
apropiado indebidamente por un tercero, salvo que:
a) al ordenante no le resultara posible
detectar la pérdida, la sustracción o la apropiación indebida de un instrumento
de pago antes de un pago, salvo cuando el propio ordenante haya actuado fraudulentamente,
o
b) la pérdida se debiera a la acción o
inacción de empleados o de cualquier agente, sucursal o entidad de un proveedor
de servicios de pago al que se hayan externalizado actividades.
El ordenante soportará todas las
pérdidas derivadas de operaciones de pago no autorizadas si el ordenante ha
incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber
incumplido, deliberadamente o por negligencia grave, una o varias de las
obligaciones que establece el artículo 41. En esos casos, no será de aplicación
el importe máximo contemplado en el párrafo primero.
En todo caso, el ordenante quedará
exento de toda responsabilidad en caso de sustracción, extravío o apropiación
indebida de un instrumento de pago cuando las operaciones se hayan efectuado de
forma no presencial utilizando únicamente los datos de pago impresos en el
propio instrumento, siempre que no se haya producido fraude o negligencia grave
por su parte en el cumplimiento de sus obligaciones de custodia del instrumento
de pago y las credenciales de seguridad y haya notificado dicha circunstancia
sin demora.
2. Si el proveedor de servicios de pago
del ordenante no exige autenticación reforzada de cliente, el ordenante solo
soportará las posibles consecuencias económicas en caso de haber actuado de
forma fraudulenta. En el supuesto de que el beneficiario o el proveedor de
servicios de pago del beneficiario no acepten la autenticación reforzada del
cliente, deberán reembolsar el importe del perjuicio financiero causado al
proveedor de servicios de pago del ordenante.
3. Salvo en caso de actuación fraudulenta,
el ordenante no soportará consecuencia económica alguna por la utilización, con
posterioridad a la notificación a que se refiere el artículo 41.b), de un
instrumento de pago extraviado o sustraído.
4. Si el proveedor de servicios de pago
no tiene disponibles medios adecuados para que pueda notificarse en todo
momento el extravío o la sustracción de un instrumento de pago, según lo
dispuesto en el artículo 42.1.c), el ordenante no será responsable de las
consecuencias económicas que se deriven de la utilización de dicho instrumento
de pago, salvo en caso de que haya actuado de manera fraudulenta.»
Al margen de la normativa expuesta, la
sentencia del Tribunal de Justicia de 2 de septiembre de 2021 (C-337/20), con
ocasión de examinar el alcance del art. 58 de la anterior Directiva 2007/64,
aporta siquiera sea de modo indirecto unas pautas orientativas sobre la
diligencia exigible al usuario de los servicios de pago.
En este sentido, en las conclusiones del
abogado general Sr. Henrik Saugmandsgaard, presentadas el 8 de julio de 2021 y
asumidas por el Tribunal de Justicia, se dice:
«38. Por lo que respecta, en primer
lugar, al tenor de los artículos 58 y 60 de la Directiva 2007/64, cabe señalar
que el artículo 58 introduce una obligación general de notificación de
cualquier operación no autorizada o ejecutada incorrectamente, de modo que el
usuario del servicio solo obtendrá la rectificación de una operación no
autorizada o ejecutada incorrectamente si notifica dicha operación a su
proveedor de servicios, notificación que deberá efectuarse a más tardar en los
trece meses de la fecha del adeudo correspondiente.
39. El artículo 60 de dicha Directiva se
refiere específicamente a la responsabilidad del proveedor de servicios de pago
en caso de operaciones no autorizadas. Su apartado 1 establece que, sin
perjuicio del artículo 58, los Estados miembros velarán por que el proveedor de
servicios devuelva de inmediato al ordenante el importe de la operación no
autorizada.
40. La expresión «sin perjuicio del
artículo 58» que figura en el artículo 60 de la Directiva 2007/64 significa que
lo dispuesto en este artículo no se establece en detrimento del artículo 58 de
dicha Directiva. De ello se desprende, en mi opinión, que la responsabilidad
del proveedor en caso de operaciones no autorizadas está supeditada a que el
usuario del servicio respete el procedimiento de notificación previsto en el
artículo 58 de dicha Directiva, cuyo plazo no puede exceder de los trece meses
siguientes a la fecha del adeudo.
41. El considerando 31 de la Directiva
2007/64 pone de manifiesto que se trata efectivamente de una condición al
establecer que, si el usuario del servicio de pago respeta el plazo de la
notificación, debe tener la posibilidad de presentar su reclamación relativa al
carácter no autorizado del pago.
[...]
51. A continuación, tanto en el caso de
operaciones no autorizadas como de operaciones ejecutadas de manera incorrecta,
el artículo 59 de la Directiva 2007/64, relativo a la carga de la prueba,
establece que corresponde al proveedor de servicios de pago demostrar que la
operación de pago fue autenticada, registrada con exactitud y contabilizada.
52. Debo subrayar que este artículo 59
efectúa una inversión de la carga de la prueba, haciendo que esta no recaiga
sobre quien alega la existencia de una operación no autorizada, a saber, el
usuario del servicio de pago, sino sobre el proveedor de servicios de pago. De
ello se desprende que, durante un período de trece meses, este último está
sujeto a una obligación de devolución casi automática e inmediata de la
operación que el usuario no ha autorizado.
53. De este modo, el legislador de la
Unión ha establecido un régimen de responsabilidad basado en tres elementos
esenciales y vinculados entre sí , a saber: una obligación de notificación que
recae sobre el usuario del servicio de pago, establecida en el artículo 58 de
la Directiva 2007/64; la atribución de la carga de la prueba al proveedor de
esos servicios, que figura en el artículo 59 de dicha Directiva, y, por último,
en caso de falta de prueba, la responsabilidad de ese proveedor, de conformidad
con los artículos 60 y 75 de dicha Directiva, en función de que la operación no
haya sido autorizada, no haya sido ejecutada o haya sido ejecutada
incorrectamente.
[...]
86. De este modo, existe un equilibrio
entre, en primer lugar, la obligación de información que recae sobre el
proveedor de servicios de pago, en segundo lugar, el deber de diligencia que
incumbe al usuario del servicio de pago asociado a una obligación de
notificación dentro de un plazo concreto y, en tercer lugar, la responsabilidad
estricta del proveedor, sin que el usuario tenga que demostrar una falta o
negligencia.»
La posterior sentencia del Tribunal de
Justicia de 2 de septiembre de 2021 (C-337/20), tras indicar que, para
interpretar una disposición del Derecho de la Unión, no solo debe tenerse en
cuenta su tenor literal, sino también el contexto en el que se inscribe y los
objetivos perseguidos por la normativa de la que forma parte, declara:
«32 En primer lugar, por lo que
respecta, por una parte, al texto del apartado 1 del artículo 60 de la
Directiva 2007/64, titulado «Responsabilidad del proveedor de servicios de pago
en caso de operaciones de pago no autorizadas», conviene indicar que este
artículo dispone que, sin perjuicio del artículo 58 de la citada Directiva, los
Estados miembros velarán por que, en el caso de una operación de pago no
autorizada, el proveedor de servicios de pago devuelva de inmediato al
ordenante el importe de tal operación y, en su caso, por que restablezca en la
cuenta de pago en la cual se haya adeudado el importe el estado que habría
existido de no haberse efectuado la operación de pago no autorizada.
[...]
39 En el sistema de este régimen de
responsabilidad, la obligación de notificación por el usuario de servicios de
pago de cualquier operación no autorizada es condición para que dicho régimen
pueda aplicarse en favor del usuario, denominado también ordenante en
determinadas disposiciones de la Directiva 2007/64.
40 A continuación, el artículo 59 de
esta Directiva incluye en el régimen de responsabilidad por operaciones no
autorizadas un mecanismo de carga de la prueba favorable al usuario de
servicios de pago. En esencia, la carga de la prueba recae sobre el proveedor
de servicios de pago, que debe probar que la operación de pago fue autenticada,
registrada con exactitud y contabilizada. En la práctica, el régimen de prueba
establecido en dicho artículo 59 lleva, desde el momento en que la notificación
prevista en el artículo 58 de la citada Directiva se ha efectuado dentro del
plazo previsto en él, a someter al proveedor de servicios de pago a una
obligación de devolución inmediata, de conformidad con el artículo 60, apartado
1, de dicha Directiva.
[...]
63 Así, como ha señalado, en esencia, el
Abogado General en el punto 86 de sus conclusiones, el régimen de
responsabilidad previsto en el artículo 60, apartado 1, de la Directiva 2007/64
se basa en un equilibrio entre la obligación de información que recae sobre el
proveedor de servicios de pago y la obligación de notificación de cualquier
operación no autorizada dentro de un plazo de trece meses que incumbe al
usuario de servicios de pago, que permite fundamentar la responsabilidad
estricta del proveedor, sin que el usuario tenga que demostrar una falta o
negligencia.»
Con arreglo a la normativa comunitaria y
nacional aplicable y a la jurisprudencia comunitaria recaída en interpretación
de la regulación de la que trae causa la primera, podemos concluir:
1.º El usuario de servicios de pago debe
adoptar todas las medidas razonables a fin de proteger sus credenciales de
seguridad personalizadas y, en caso de extravío, sustracción o apropiación
indebida del instrumento de pago o de su utilización no autorizada, ha de
notificarlo al proveedor de servicios de pago de manera inmediata, tan pronto
tenga conocimiento de ello.
2.º En caso de que se produzca una
operación de pago no autorizada o ejecutada incorrectamente, si el usuario de
servicios de pago se lo comunica sin demora injustificada, el proveedor debe
proceder a su rectificación y reintegrar el importe de inmediato, salvo que
tenga motivos razonables para sospechar la existencia de fraude y comunique
dichos motivos por escrito al Banco de España.
3.º Cuando un usuario niegue haber
autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de
manera incorrecta, incumbe al proveedor la carga de demostrar que la operación
de pago fue autenticada, registrada con exactitud y contabilizada, y que no se
vio afectada por un fallo técnico u otra deficiencia del servicio prestado por
el proveedor de servicios de pago.
4.º El mero hecho del registro por el
proveedor de la utilización del instrumento de pago no bastará, necesariamente,
para demostrar que la operación de pago fue autorizada por el ordenante, ni que
éste ha actuado de manera fraudulenta o incumplido deliberadamente o por
negligencia grave una o varias de sus obligaciones, correspondiendo al
proveedor la prueba de que el usuario del servicio de pago cometió fraude o
negligencia grave.
En suma, la responsabilidad del
proveedor de los servicios de pago, en los casos de operaciones no autorizadas
o ejecutadas incorrectamente, tiene carácter cuasi objetivo, en el doble sentido de que, primero,
notificada la existencia de una operación no autorizada o ejecutada
incorrectamente, el proveedor debe responder salvo que acredite la existencia
de fraude; y, segundo, cuando el usuario niegue haber autorizado la
operación o alegue que ésta se ejecutó incorrectamente, corresponde al
proveedor acreditar que la operación de pago fue autenticada, registrada con
exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra
deficiencia del servicio, sin que el simple registro de la operación baste para
demostrar que fue autorizada ni que el usuario ha actuado de manera fraudulenta
o incumplido deliberadamente o por negligencia grave.
Profundizando en este último punto, la
expresión «operaciones no autorizadas» incluye aquellas que se han iniciado con
las claves de usuario y contraseña del usuario -necesarias para acceder al
sistema de banca digital- y confirmado mediante la inserción del SMS enviado
por el propio sistema al dispositivo móvil facilitado por el usuario, siempre
que éste niegue haberlas autorizado, en cuyo caso el banco deberá acreditar que
la operación de pago fue autenticada, registrada con exactitud y contabilizada,
y que no se vio afectada por un fallo técnico u otra deficiencia del servicio
que presta.
A este respecto, la mención «deficiencia
del servicio» no significa error o fallo del sistema informático o electrónico
-posibilidad que estaría prevista en el concepto de «fallo técnico»-, sino que
abarca cualquier falta de diligencia o mala praxis en la prestación del
servicio, en el entendimiento de que el grado de diligencia exigible al
proveedor de los servicios de pago no es el propio del buen padre de familia,
sino que la naturaleza de la actividad y los riesgos que entraña el servicio
que se presta, sobre todo en una relación empresario/consumidor, obliga a
elevar el nivel de diligencia a un plano superior, como es el del ordenado y
experto comerciante.
Lógicamente, las buenas prácticas pasan
por adoptar las medidas de seguridad necesarias para garantizar el correcto
funcionamiento del sistema de servicios de pago, entre las cuales destacan las
orientadas a detectar de forma automática la concurrencia de indicios de que
puede tratarse de una operación anómala y generar una alerta o un bloqueo
temporal (v.gr. reiteración de transferencias sin solución de continuidad,
horario en que se producen, importe de las mismas, destinatarios, antecedentes
en el uso de la cuenta...), o las dirigidas a incrementar el control y
vigilancia cuando se han recibido noticias o alertas de un posible aumento del
riesgo.
C) Conclusión del Tribunal Supremo.
Según se avanzó antes, la aplicación de
la normativa y jurisprudencia expuesta nos lleva a rechazar el motivo de
recurso.
Es verdad que el art. 36.1 del Real
Decreto Ley 19/2018 establece que las operaciones de pago «se considerarán
autorizadas cuando el ordenante haya dado el consentimiento para su ejecución»,
así como que «[e]l ordenante y su proveedor de servicios de pago acordarán la
forma en que se dará el consentimiento, así como el procedimiento de
notificación del mismo». Como también es cierto que en la condición 4.ª del
contrato de banca digital suscrito entre las partes se indica que «el
usuario-titular se compromete a otorgar plena validez jurídica a las
operaciones realizadas mediante cualquier tipo de claves y/o códigos que
permitan la identificación personal del mismo, dando como válidas y propias las
operaciones realizadas empleando las claves o códigos previstos en este
contrato», sin que se discuta que en el supuesto litigioso se emplearon las
claves y/o códigos personales del demandante.
Pero no es menos cierto que, primero,
estamos ante una regulación que se impone a las partes, sin que su aplicación
quede al albur de la libertad o autonomía contractual, de modo que la condición
4.ª -como la cláusula 8.ª, de exoneración de responsabilidad de la entidad
bancaria- han de respetar en todo caso el régimen de derechos, obligaciones y
fórmulas de responsabilidad legalmente previstos; segundo, que, en el marco de
esta regulación, el consentimiento no se entiende prestado por el solo hecho de
que la operación de pago se haya realizado mediante la utilización de las
claves personales, sino que es necesario que provenga del usuario o, en caso de
que éste niegue su intervención, que se acredite fraude , incumplimiento
deliberado o, al menos, negligencia grave por parte del usuario, cuya prueba
recae sobre la entidad bancaria; y, tercero, cuando el usuario ha notificado de
forma inmediata la existencia de una operación no autorizada, la entidad ha de
proceder a su rectificación, salvo que demuestre que hubo fraude imputable al
usuario.
En otras palabras, el que la entidad
bancaria acredite que la operación fue autenticada, registrada con exactitud y
contabilizada, no es suficiente para eximirle de responsabilidad. Ha de probar
que la operación no resultó afectada por un fallo técnico u otra deficiencia
del servicio prestado, y, dado que el cliente niega que la operación fuera
consentida, que no hubo por parte de este último fraude, incumplimiento
deliberado o negligencia grave.
Sin embargo, lejos de haber acreditado
tales extremos, la prueba practicada evidencia lo contrario.
La secuencia fáctica permite observar
que (i) tres semanas
antes, el demandante informó a la entidad de la recepción en su dispositivo
móvil de diversos mensajes SMS en los que se indicaban otros tantos códigos
para validar transferencias desde su cuenta y que él no había solicitado; (ii)
en fechas 27 de febrero y 2 y 12 de marzo de 2021, Google Play y Google Ads
realizaron varios cargos no autorizados en la cuenta titularidad de D. Martin y
su esposa en Ibercaja Banco S.A., utilizando su tarjeta VISA, lo que el
demandante comunicó a la entidad bancaria; (iii) el 16 de marzo, D.ª Estefanía
recibió un email de Google en la que se alertaba de que «Alguien acaba de usar
tu contraseña para intentar iniciar sesión en tu cuenta», por lo que procedió a
cambiar la contraseña, y, al día siguiente, 17 de marzo, el actor acudió a la
oficina bancaria, donde informó sobre lo sucedido y solicitó la cancelación de
la tarjeta y la emisión de otra nueva; y (iv) en la noche del 17 al 18 de marzo
de 2021, se realizaron quince transferencias bancarias desde la cuenta corriente
titularidad de D. Martin y sus padres, de las cuales diez lo fueron a través de
la plataforma Bizum (por importe de 500 € cada una) y cinco a través de la
plataforma de banca electrónica «Ibercaja Directo» (por importes de 28.970 €,
19.870 €, 9.876 € y dos de 9.870 € cada una).
Estos precedentes ponían de manifiesto,
para cualquier observador medio, razonablemente atento y perspicaz, y más aún,
para un empleado de banca, que alguien había conseguido acceder a las cuentas
del actor, y, por ende, que disponía de sus claves de usuario y contraseña, lo
que hubiera debido motivar una reacción inmediata, que pasaba cuando menos por
la modificación de las claves y/o códigos. Nada se hizo. Al no adoptarse medida
de protección alguna, tan solo restaba que los autores encontraran la manera de
eludir el último obstáculo, esto es, la vía para recibir directamente el código
de confirmación de la operación.
Por otra parte, los avances de la
tecnología actual hacen relativamente sencillo diseñar sistemas o aplicaciones
informáticas idóneas para detectar ciertas anomalías en la prestación de los
servicios de pago.
Operaciones que, tratándose de empresas o sociedades con un concreto objeto
social, pueden calificarse como ordinarias, deben inmediatamente levantar
sospechas y dar lugar a una respuesta cuando afectan a personas físicas ajenas
a tales actividades. A este respecto, sería suficiente un control automático de
determinados factores, como el número y sucesión de operaciones, el intervalo
en que se ejecutan, la hora del día, su importe, entidades de destino..., para
generar un aviso que reforzara los requisitos de confirmación y minimizara los
posibles riesgos. No puede considerarse como normal e irrelevante que una
persona que jamás efectúa operaciones de madrugada, de repente, proceda a
llevar a cabo hasta diecisiete operaciones seguidas y por un importe tan
elevado. Del mismo modo que el sistema rechazó dos de Bizum por exceder del
máximo diario, el proveedor de servicios de pago ha de adoptar las medidas de
seguridad que garanticen su correcto funcionamiento y minimicen los riesgos y
los efectos nocivos de su materialización.
Llegado este punto, nos encontramos, de
un lado, ante una conducta diligente del titular de la cuenta, que informó,
inmediata y reiteradamente, al personal de entidad de lo que estaba sucediendo,
cumpliendo la obligación que expresamente le imponía la normativa comunitaria y
nacional; y, de otro lado, ante un servicio que se presta defectuosamente por
el proveedor, tanto por no tomar en consideración la información recibida pese
a su gravedad, como por omitir la adopción de medidas que posibilitaran la detección
de eventuales maniobras fraudulentas .
Por consiguiente, no se aprecia
infracción del art. 36.1 del Real Decreto Ley 19/2018, lo que comporta la
desestimación del motivo.
D) El hecho de que la filtración o el
conocimiento de las claves por el tercero no sea imputable a la entidad
bancaria tampoco la libera de obligación de responder ni traslada al usuario la
obligación de soportar las pérdidas.
1.- Formulación del motivo. La entidad
recurrente denuncia la infracción de los arts. 44 y 45 del Real Decreto Ley
19/2018, de servicios de pago, el primero porque la prueba practicada acredita
que operación de pago fue autenticada, registrada con exactitud y
contabilizada, y no se vio afectada por un fallo técnico u otra deficiencia del
servicio prestado por el proveedor de los servicios de pago; y, el segundo,
porque no es de aplicación al presente caso, ya que se trata de operaciones
autorizadas, al haberse dado el consentimiento de conformidad con las
condiciones contractuales conocidas y aceptadas por el actor mediante la firma
de los contratos.
En el desarrollo del motivo, la
recurrente insiste en que no constan fallos de seguridad en los sistemas de
Ibercaja Banca S.A., cuya responsabilidad se ciñe a sus propios sistemas
informáticos y no a los dispositivos propiedad del usuario, que es quien debe
velar y garantizar la seguridad tanto de su ordenador como de su dispositivo
móvil. Es al cliente al que se le sustraen los datos y al que, con arreglo al
contrato de banca digital «Ibercaja Directo», corresponde la obligación de
guarda y custodia de las claves de usuario, por lo que el «robo o sustracción
de las claves suponen una clara negligencia del usuario». Por otra parte, la
entidad bancaria envía a los clientes, de forma personalizada, comunicaciones
con advertencias, avisos y consejos sobre el modo en que deben actuar en el uso
de la banca on line; el usuario se ha apartado consciente y voluntariamente de
las indicaciones de la entidad que, en comunicados remitidos, relaciona las
medidas que deben considerarse para evitar este tipo de fraudes mediante
«phishing».
2.- Decisión de la Sala. El motivo debe desestimarse por las razones que seguidamente se exponen.
La recurrente reitera que ha cumplido con rigurosidad sus obligaciones, la identificación del usuario, la autentificación de las operaciones realizadas y la aplicación del doble factor de autenticación impuesta por la normativa de servicios de pago, sin que haya sufrido ningún tipo de incidencia técnica como para que le fueran usurpados ningún tipo de datos de clientes que permitieran a terceros realizar las transferencias discutidas, por lo que de acuerdo con el art.44 RDL 19/2018 no debe responder.
Mas ya hemos visto que, de conformidad
con el art. 44 RDL, en caso de que el usuario niegue haber autorizado una
operación de pago ya autorizada, el cumplimiento de las obligaciones relativas
a la autenticación, registro y contabilización de la operación de pago fue
autenticada, no exime de responsabilidad al proveedor de servicio, sino que
deberá acreditar además que la operación no se vio afectada por un fallo
técnico u otra deficiencia del servicio prestado, sin que mero registro de la
utilización del instrumento de pago baste para demostrar que la operación de
pago fue autorizada por el ordenante, ni que éste ha actuado de manera
fraudulenta o incumplido deliberadamente o por negligencia grave una o varias
de sus obligaciones.
En el supuesto enjuiciado fallan ambos
presupuestos. En primer
lugar, la entidad demandada debía probar, no solo que la operación no se vio
afectada por un fallo técnico, sino que no se ha producido una prestación
defectuosa del servicio, cuestión que ya ha sido objeto de análisis con ocasión
de examinar el anterior motivo, concluyendo que el servicio no se prestó
correctamente.
Asimismo, el hecho de que la
filtración o el conocimiento de las claves por el tercero no sea imputable a la
entidad bancaria tampoco la libera de obligación de responder ni traslada al
usuario la obligación de soportar las pérdidas, ya que el proveedor de
servicios de pago, además de demostrar que el servicio se prestó correctamente
-lo que no sucedió-, debía acreditar la concurrencia de fraude o incumplimiento
deliberado o gravemente negligente por parte del usuario, y, en relación con
este extremo, las sentencias de instancia y de apelación coinciden en que no se
ha probado fraude ni incumplimiento doloso o por negligencia grave de las
obligaciones que correspondían al demandante, y, en concreto, las de tomar
todas las medidas razonables a fin de proteger sus credenciales de seguridad
personalizadas y de notificar al proveedor de servicios de pago la utilización
no autorizada del instrumento de pago, tan pronto tuvo conocimiento de ello, lo
que así hizo, participando las tentativas de acceso a su cuenta con una
antelación de tres semanas.
Obsérvese que, contra lo que mantiene
por la recurrente, el que un tercero hubiera podido acceder a las claves de
acceso a la banca digital del demandante no supone per se que haya incurrido en
negligencia alguna,
pudiendo existir múltiples explicaciones, muchas de las cuales resultan
difícilmente atribuibles a título de negligencia, y menos aún, de negligencia
grave.
www.gonzaleztorresabogados.com
928 244 935
No hay comentarios:
Publicar un comentario