En los casos de estafa informática "Phishing" la responsabilidad del banco es cuasi objetiva conforme al artículo 44 de la Ley de Servicios de Pago que impone la carga de la prueba a la entidad financiera para demostrar que la operación fue autorizada o que el usuario actuó con negligencia grave o fraude.

 

La sentencia de la Audiencia Provincial de Asturias, sec. 5ª, de 5 de junio de 2025, nº 285/2025, rec. 36/2025, declara que la responsabilidad del proveedor de servicios de pago es cuasi objetiva conforme al artículo 44 de la Ley de Servicios de Pago (LSP), que impone la carga de la prueba a la entidad financiera para demostrar que la operación fue autorizada o que el usuario actuó con negligencia grave o fraude

Una persona fue víctima de un fraude informático que resultó en la transferencia no autorizada de 5.701,23 euros desde su cuenta en Unicaja Banco, S.A., entidad que fue demandada para la restitución de dicha cantidad.

¿Debe Unicaja Banco, S.A. ser responsable de la restitución de la cantidad transferida fraudulentamente, o la responsabilidad recae en la persona usuaria por negligencia grave al facilitar sus credenciales de seguridad?.

Se considera responsable a Unicaja Banco, S.A. y se confirma la sentencia que ordena la restitución de la cantidad, al no haberse acreditado negligencia grave o fraude por parte de la persona usuaria.

La responsabilidad del proveedor de servicios de pago es cuasi objetiva conforme al artículo 44 de la Ley de Servicios de Pago (LSP), que impone la carga de la prueba a la entidad para demostrar que la operación fue autorizada o que el usuario actuó con negligencia grave o fraude; además, la complejidad del phishing y la insuficiencia de las pruebas aportadas por la entidad justifican la condena, en línea con la jurisprudencia y la normativa europea PSD2.

El delito de estafa informática denominada "Phishing" consta de dos fases: por un lado, la obtención de forma engañosa de claves de Internet y la realización de una transferencia no consentida por el titular de la cuenta ordenante; y una segunda fase, que consiste en el ofrecimiento de una cuenta "mula" a la que se transfieren las cantidades fraudulentamente obtenidas y la posterior retirada de las mismas.

A) Antecedentes.

Los días 5 y 6 de Agosto del año 2022 don Braulio fue objeto de un fraude informático que determinó la transferencia inconsentida de la suma de 5.701,23 euros a favor de un tercero desde su cuenta abierta en la entidad UNICAJA y por ello la UCA, en su representación, accionó frente a la entidad bancaria interesando su condena a la restitución de la suma.

La entidad demandada fue declarada en rebeldía y el Tribunal de la instancia estimó la demanda y el demandado recurre argumentando, en sustancia, que el resultado patrimonial negativo es imputable a la propia negligencia del accionante al acceder al enlace fraudulento y proporcionar al defraudador las claves y elementos necesarios para el éxito del acto fraudulento.

B) Jurisprudencia.

En un supuesto próximo y siendo el recurrente el mismo, dijimos en nuestra sentencia de la AP de Asturias de 10-10-2024, Rollo 308/2024:

"Sobre un supuesto como el ahora analizado siendo el recurrente el mismo e idénticos sus argumentos dijimos en nuestra sentencia de 30-1-2024 Rollo: 507/2023 :"Entre los contendientes la discrepancia es, de inicio, sobre la forma de producirse los hechos, pues el actor sólo reconoce como cierto que accedió al enlace que le indicaba el mensaje malicioso, mientras que la recurrente afirma que fue más allá al proporcionar las claves, la OTP y autorizar un nuevo dispositivo, lo que da pie a su razón de defensa, cual es que el proceder del recurrido fue extremadamente negligente y para así afirmar se apoya, como única prueba, en la aportación de la copia de los SMS recibidos por el actor, obviando, como bien recuerda la recurrida y así lo pusimos en evidencia en nuestra sentencia de 22-06-2023 (Rollo 755/2022 ), que el art. 44.2 de la L.S.P . declara que la carga de la prueba de haber procedido diligentemente el proveedor del servicio no se satisface necesariamente con sólo lo obrante en sus registros y que el sólo examen de los SMS referidos, sin otra prueba (principalmente de carácter técnico), no conduce, necesariamente, al relato de hechos defendido por el demandado y además, y en todo caso, conviene recordar que el considerando 72 de la Directiva 2015/2366 afirma que para la atribución del daño patrimonial al usuario del Servicio debe apreciarse en su proceder un grado significativo de falta de diligencia que obviamente debe ponerse en relación con la forma del engaño y que, de otro lado, la LSP establece un régimen de responsabilidad de carácter cuasi objetivo imputando al proveedor de los servicios de pago la responsabilidad del resultado patrimonial negativo salvo demostración cumplida por su parte de que fue debido al proceder gravemente negligente del usuario.

Así lo declaramos en nuestra referida sentencia de 22-06- 2023 y antes en la de 20-04-2023 y en este sentido y en un supuesto próximo al de autos declaró la sentencia de la Secc. 7ª de 30-06-2023 lo que sigue: "Así las cosas, el relato fáctico es claro y como afirma la propia parte apelante, la solución de la controversia ha de venir determinada por el resultado del conjunto de la prueba obrante en las actuaciones. Y, a tales efectos, se debe tener presente que RDL 19/2018, de 23 de noviembre, establece en su art. 44, un sistema de responsabilidad cuasi-objetiva de la entidad proveedora del servicio de pago, como hemos señalado en nuestras sentencias de fecha 20 de mayo de 2021 (Rec.143/2021 ) y de, en las que se hace referencia a las Sentencias de las Audiencias Provinciales de Almería, Sec. 1ª, de 31 de enero de 2023 , que cita la nº 212/2022 de la Sec. 5ª de la Audiencia de Granada "es exigible a la apelante la responsabilidad patrimonial cuasi objetiva legalmente establecida, que, obviamente, supone un paso más en la protección al consumidor que el previsto en el art. 148 del Texto Refundido de la Ley para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, aprobado por el Real Decreto Legislativo 1/2007, de 16 de noviembre, puesto que viene a excusar al consumidor de la negligencia en que pueda haber incurrido por facilitar sus datos personales y claves de confirmación o firma electrónica en virtud de la acción defraudatoria de terceros", y la dictada por la Sec. 20ª de la Audiencia de Madrid, de fecha 20 de mayo de 2022, y en igual sentido se ha pronunciado la reciente SAP de Logroño, Sec. 1ª, de 17 de febrero de 2023. Responsabilidad civil que solo cesa, de conformidad con el art. 46, cuando el ordenante ha actuado de manera fraudulenta o ha " incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41 .... ", precepto este que impone al usuario la obligación de utilizar el instrumento de pago de conformidad con las condiciones que regulen la emisión y de tomar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas, y en caso de extravío, sustracción o apropiación indebida, notificarlos al proveedor de servicios de pago sin demora.

Por tanto, a tenor de lo expuesto, en el caso como el de autos, en el que los actores niegan haber realizado, ni autorizado las operaciones realizadas, salvo actuación fraudulenta, incumplimiento deliberado o negligencia grave del ordenante, la responsabilidad será del proveedor del servicio de pago, lo que comporta que pesa sobre él la carga de probar que la orden de pago no se vio afectada por "un fallo técnico u otra deficiencia del servicio prestado por dicho proveedor", o bien, probar que el cliente ha actuado fraudulentamente o con negligencia grave a la hora de aplicar los medios razonables de protección de que haya sido provisto o cuando no haya comunicado a la entidad el pago no autorizado en cuanto tenga conocimiento del mismo".

Y éste es también el criterio de nuestros tribunales, cupiendo reproducir, por atinadas e ilustrativas las consideraciones de la SAP, Secc. 3ª de Coruña de 5-10-2023 que dice así:

"El marco legal aplicable al caso de autos está constituido por el Reglamento Delegado (UE) 2018/389 de la Comisión de 27.11.2017 que completa Directiva (UE) 2015/2366 sobre normas técnicas de regulación para la autenticación reforzada, el RDL 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (en adelante, LSP), y los arts. 147 y 148 del Real Decreto Legislativo 1/2007, de 16 de noviembre , por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias (en adelante, LGDCU). El art. 44.1 LSP establece la carga probatoria del proveedor sobre la autenticación de la operación ante negativa del usuario, sentando la responsabilidad del usuario que actúe de modo fraudulento o con negligencia grave (arts. 44.3 y 46.1) y fijando como obligaciones esenciales del citado usuario la protección de sus credenciales de seguridad personales y la comunicación sin de mora al proveedor del servicio en casos de extravío, sustracción o utilización no autorizada (art. 41). Por su parte, el prestador del servicio deberá garantizar el control técnico adecuado y debidos niveles de seguridad en la operativa, respondiendo por daños y perjuicios en caso de incumplimiento (arts. 148 y 147 LLGDCU) A la hora de estudiar la concurrencia de negligencia grave del usuario del servicio de pago on line, partiendo del admitido criterio de responsabilidad cuasi-objetiva de la entidad en la prestación del servicio de banda virtual respecto a operaciones de pago como la transferencia, reiterada jurisprudencia considera que dicha negligencia debe ser grave en atención a las circunstancias demostradas del caso, atribuyéndose en todo caso la carga probatoria de la misma al proveedor del servicio con arreglo al art. 217 LEC. En interpretación de directiva 2015/2366, la negligencia que hace responder al cliente es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional. Como parámetro del actuar negligente también cabrá acudir al art. 1.104 CC, que exige la diligencia asociada a la naturaleza de la obligación y a las circunstancias personales, de tiempo y lugar. Ello destacándose la complejidad y grado de perfección que presenta en la actualidad el método de "phishing" de difícil detección por persona de formación media, así como el deber de la proveedora, del servicio de dotarse de tecnología suficiente y adecuada con exigencia de medidas implantadoras activas, sin entenderse suficientes avisos generales o en página web de mero carácter informativo o divulgativo (entre otras, SAP de Pontevedra núm. 177/2023, de 23 de marzo). Tercero. - Aplicación de la anterior normativa al caso de autos 3 JURISPRUDENCIA Alega la entidad demanda que "las operaciones se realizaron tras la configuración de la tarjeta de la demandante en el servicio de pago móvil SANTANDER WALLET (HCE), que es una forma de pagar con el móvil a través de la tokenización de la tarjeta del cliente. Cabe destacar que el pago tokenizado implica un doble factor de autenticación mediante el remplazo de los datos de la tarjeta por un identificador o token único pero que igualmente garantiza operatividad y evita que la información sea utilizada sin el consentimiento del usuario y además dicha operativa, para reforzar la seguridad del sistema, requiere, para la configuración de la tarjeta, introducir una clave de un solo uso (conocida en inglés como One Time Password u OTP). Las operaciones de pago reclamadas fueron realizadas en presencia del dispositivo móvil en el que fue configurada la tarjeta y fueron autenticada mediante verificación del PIN/huella del mismo". Concluyendo, a este respecto, que "según los registros y trazas del sistema de seguridad de mi representada, se evidencia que, tanto para configurar/ enrolar la tarjeta en la app de pagos como para modificar el límite de la tarjeta, era imprescindible conocer 1) las claves de acceso a la Banca Online del cliente y 2) la calve OTP remitida a su teléfono móvil, evidenciándose que se siguió un proceso de autenticación reforzada o doble autenticación, es decir, de dos factores (algo que el cliente conoce, una contraseña, y algo que tiene, que es su dispositivo móvil), tal como dispone la normativa europea PSD2". Para ello, la recurrente se apoya en el certificado REDYS de la operación, en tanto el mismo verifica el procedimiento de pago seguido para validar que la utilización de la tarjeta se ha efectuado con autorización cliente (registra datos relativos a la compra, cuantía, comercio, fecha y autenticación). Defiende el recurso de apelación que en este caso el certificado REDYS acredita que la compra se llevó a cabo a través del doble sistema de autenticación, planteando que ello demuestra que la operación fue real y se ejecutó con el doble filtro de autenticación del cliente. No obstante, ello no verifica la identidad real del usuario ordenante, es decir, se certifica la remisión de un SMS para activar esa validación, pero no identifica el número de teléfono móvil al que se remitió tal comunicación, no existiendo prueba alguna, en definitiva, demostrativa de la activación de la compra por la parte demandante. A este respecto, resulta ilustrativa la SAP de Navarra núm. 223/2023, de 9 de marzo, y plenamente aplicable al caso de autos, conforme a la que "en definitiva, lo que está planteando el recurso de apelación es, solamente, que la operación está autenticada por el doble refuerzo instaurado por la entidad (y ello sin ni siquiera demostrar el factor de posesión porque no está probado que se remitiese a un móvil ni dispositivo del usuario el segundo mecanismo de validación de la compra en la aplicación 'Caixabank now'). Por lo tanto, en ningún momento se demuestra que esté garantizada la identidad del usuario que ejecutó esa autenticación, siendo que, como antes ha quedado dicho, en el tenor de la norma la 'autenticación' no sólo comprende la validez de la utilización de los antedichos filtros, sino también la comprobación de la identidad del usuario". En el caso de autos, la demandante Dª Milagros en su declaración en sede judicial negó, reiteradamente, haber registrado su tarjeta en la aplicación "Santander Wallet", sin que, por otro lado, hubiese recibido notificación o comunicación alguna vía correo electrónico o SMS de su activación, ni que se le hubiese solicitado en ese periodo dato alguno por bloqueo de cuenta o similar. Asimismo, declaró no haber estado en el comercio Jolly Minimarke (Italia) los días 9 y 10 de septiembre en que se produjeron los cargos no autorizados en su tarjeta a través de la aplicación "Santander Wallet" y que el dispositivo móvil siempre ha estado en su poder (desde 2m:14s a 2m:21s, desde 3m:20s a 4m:17s, desde 4m:58s a 5m:17s de la grabación y desde 8m:30s a 8m:38s de la grabación) La operación habrá sido "autenticada" en términos de la LSP (que tampoco es así, porque no consta el factor de posesión, como hemos dejado sentado anteriormente), pero lo que es elemento nuclear de este litigio es la "falsedad" de tal autenticación, en términos del art. 44 LSP (negación por el usuario de haber sido él quien ha autorizado la operación), escenario en el que recae la carga de la prueba en la entidad proveedora del sistema de pago. Pues bien, habiéndose constatado que la parte demandante ha sido víctima de "phishing", resulta claro que la operación no se encuentra completamente "autenticada" en términos de la LSP, porque falta la certificación de la identidad del usuario ordenante de la operación. Apunta a este respecto la SAP de Navarra núm. 223/2023, de 9 de marzo anteriormente citada que "no resulta suficiente, por sí solo, haber completado los mecanismos reforzados de autenticación establecidos por la entidad, debido a que si no se han implementado otros sistemas para restringir sólo al usuario el acceso al canal de banca electrónica que autentifica, no puede descansar automáticamente toda la responsabilidad en dicho usuario, dado que al proveedor del servicio de pago le compete la responsabilidad respecto del buen funcionamiento y la seguridad del mismo y es obligación esencial de las entidades prestadoras del servicio de banca on line el dotarse de medidas suficientes que garanticen al usuario la seguridad de las operaciones por lo que, en el supuesto de insuficiencia o mal funcionamiento de las adoptadas, deben ser las entidades bancarias las que asuman las consecuencias derivadas de los fallos de seguridad del sistema". Esta regla general de que, sin perjuicio de la posibilidad de repetir contra el proveedor de servicios de iniciación de pagos, es el proveedor de servicios de pago el que responde de la restitución al ordenante del importe de las operaciones de pago no autorizadas se ve excepcionada, atribuyéndose al ordenante esa responsabilidad, cuando aquel actúe de manera fraudulenta, o bien incumpla deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el art. 41 LSP , entre las que se incluyen la de tomar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas. Correlativa a esa obligación es la norma sobre la carga de la prueba, establecida en el art. 44.3 LSP , según la cual es al proveedor de Servicios de pago a quien le incumbe probar que el usuario del Servicio de pago cometió fraude o negligencia grave, porque como ha señalado la jurisprudencia, la responsabilidad de aquél es una responsabilidad cuasi-objetiva (entre otras, SSAP de Orense núm. 369/2023, de 9 de junio; SAP de Cuenca núm. 125/2023, de 16 de mayo; SAP de Madrid núm. 24/2023, de 13 de enero; SAP de Valladolid núm. 689/2022, de 19 de octubre; Cantabria núm. 679/2022, de 19 de septiembre ; Zaragoza núm. 804/2022, de 1 de julio; Madrid núm. 184/2022, de 20 de mayo ; Pontevedra núm. 113/2021, de 7 de abril). En atención a ello, el verdadero fondo esencial del recurso de apelación que aquí de sustancia es determinar si las demandantes, usuarias de Santander Wallet H.C.E (sistema de cobro mediante dispositivo móvil), cometieron negligencia grave, toda vez que la existencia de fraude por su parte aparece totalmente descartada. A este respecto, la sentencia de primera instancia considera que "no existe prueba alguna de cómo se produjo exactamente la defraudación", estimando, a este respecto, que "la usuaria no incumplió las obligaciones que le impone la ley en orden a la prevención del pago fraudulento, sin incurrir en fraude o negligencia grave (...)". Por su parte, la entidad demandada afirma en el párrafo 32 de su escrito de recurso de apelación que "si terceros desconocidos han tenido acceso a las claves de seguridad del cliente, que son personales e intransferibles, no ha sido debido a ninguna conducta de mandante, quien ha cumplido con las obligaciones que le impone la Ley de Servicios de Pago, sino que ello ha derivado necesaria e inexorablemente de una conducta (negligente) de la demandante, quien era y es responsable de la guarda y custodia de las mismas, no solo en virtud del contrato suscrito entre las partes, sino en virtud de lo recogido en la propia Ley de Servicios de Pago". Sin embargo, la negligencia que se exige en el usuario para que quede neutralizada la responsabilidad del proveedor de pagos ha de ser grave, es decir, no resulta suficiente con que dejara de observar una diligencia extrema. Señala a este respecto la SAP de A Coruña, 86/2023, de 29 de marzo, "la negligencia grave supone una falta de la diligencia más elemental que consiste en no hacer lo que todos hacen". En esta línea, la SAP de Pontevedra, 177/2023, de 23 de marzo establece que "la negligencia que hace responder al cliente es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional. Como parámetro del actuar negligente también cabrá acudir al art. 1.104 CC que exige la diligencia asociada a la naturaleza de la obligación y a las circunstancias personales, de tiempo y lugar. Ello destacándose la complejidad y grado de perfección que presenta en la actualidad el método de 'phishing' de difícil detección por persona de formación media, así como el deber de la proveedora del servicio de dotarse de tecnología suficiente y adecuada con exigencia de medidas implantadoras activas, sin entenderse suficientes avisos generales o en página web de mero carácter informativo o divulgativo -por todas, SS. AP Pontevedra (Secc. 6ª) 21.12.21 y Madrid (20ª) 20.5.2022 , en la línea de lo razonado en SS. AP Valencia (6ª) 13.6.2022 , Granada (5ª) 20.6.2022 y Badajoz (3ª) 21.6.2022 -". Por tanto, la prueba de la negligencia grave del ordenante requerirá de la acreditación de las circunstancias concurrentes en la operación de pago de las que quepa inferir que la misma pudo realizarse porque aquel obró con una significativa falta de diligencia al usar del instrumento de pago o al proteger sus credenciales, aspectos que no concurre en el caso de autos (SAP de Pontevedra núm. 539/2021, de 21 de diciembre) Y, en el caso de autos, se desconocen cuáles fueron esas circunstancias concurrentes ya que, como refleja la sentencia de instancia, "no existe prueba alguna de cómo se produjo exactamente la defraudación", hecho que también es confirmado por la propia entidad demandada en su escrito de oposición a la demanda al señalar que "a pesar de que ello se omita en el escrito de demanda, fue la propia parte demandante la que necesariamente cedió sus claves de seguridad de alguna forma que esta parte no puede conocer puesto que pertenece a la esfera interna de la demandante (...). A este respecto, la demandante Dª Milagros negó en su declaración en sede judicial haber facilitado o cedido sus credenciales y el número PIN de su dispositivo móvil a terceros o a requerimiento presunta o aparentemente del Banco Santander (desde 5m: 39s a 6m: 14s de la grabación). No es suficiente para acreditar la negligencia grave en la actuación de la parte demandante elucubraciones sobre el modo en que se considera que la cesión de las claves de seguridad se acometió ("seguramente tras acceder a un enlace malicioso enviado vía SMS o vía Email por un remitente que no era Banco Santander y teniendo el enlace nada que ver con entidad bancaria"), en tanto que dichas afirmaciones están huérfanas de toda prueba. Como señala la SAP de Cantabria núm. 679/2022, de 19 de septiembre "la entidad bancaria demandada no puede invertir la carga de la prueba exonerándose de la actividad acreditativa que le corresponde al amparo de la alegación de que todas las operaciones habían sido autenticadas, registradas y contabilizadas, en la medida, en que, de ser así, lo fueron de forma fraudulenta porque el titular de los contratos no las autorizó y comunicó y denunció el fraude. Es a la entidad financiera a quien corresponde acreditar la 5 JURISPRUDENCIA falta de diligencia del usurario, sin apelar a meras conjeturas, no demostradas" (en similares términos, SAP de Cáceres núm. 132/2022, de 16 de febrero)".

C) Prueba.

En el caso obra, de un lado, el informe emitido por la Policía Nacional relativo a la identificada como operación MIDAS dentro de las D.P 1312/22 del Juzgado de Instrucción nº 3 de Oviedo y otro pericial técnico emitido por Don Severiano y otros, ingenieros del Coipa sumamente ilustrativos.

En el primero se informa que la conocida como técnica phising a través de SMS (SMISHING) ha incrementado la eficacia defraudatoria introduciendo la técnica conocida como SPOOFINNG provocando la confianza del perjudicado en la autenticidad de la llamada por la que solicitan los códigos de verificación.

En línea con la anterior y de forma más concreta ciñéndose al caso, el informe pericial referido explica las fases del mecanismo defraudatorio y la intervención y posibilidad de detección por el perjudicado y así y en este sentido expone que el proceso se inicia mediante la remisión de un SMS al terminal del perjudicado suplantando a la Entidad y remitiéndole a un enlace (página WEB) que le solicita sus credenciales procediendo después al cambio de dispositivo desde el cual se ordena las transferencias fraudulentas y respecto de la imputación del resultado, afirma que el SMS, al venir asociado a la Entidad Bancaria como otros muchos que pudo haber recibido de esta al perjudicado, es inenditificable para éste, que es la propia Entidad la que practica este tipo de mensajes remitiendo a su destinatario a una WEB donde se le solicitan sus credenciales contribuyendo con este proceder a generar la confianza del cliente bancario en la legitimidad del SMS fraudulento; que la propia Entidad recurrente publicita unos mecanismos antiphising habiendo adoptado actualmente las dos siguientes medidas para combatir esa modalidad de fraude, a saber, exigir la presencia física del titular para el cambio de dispositivo y bloquear operaciones anómalas y que, en definitiva, con esos filtros, la operación fraudulenta litigiosa podría haberse evitado de forma que no es cierto que sea imputable a la perjudicada el resultado fraudulento.".

Este criterio viene refrendado por la reciente STS de 9-4-2025 que dice así:

"Con arreglo a la normativa comunitaria y nacional aplicable y a la jurisprudencia comunitaria recaída en interpretación de la regulación de la que trae causa la primera, podemos concluir:

1.º El usuario de servicios de pago debe adoptar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas y, en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, ha de notificarlo al proveedor de servicios de pago de manera inmediata, tan pronto tenga conocimiento de ello.

2.º En caso de que se produzca una operación de pago no autorizada o ejecutada incorrectamente, si el usuario de servicios de pago se lo comunica sin demora injustificada, el proveedor debe proceder a su rectificación y reintegrar el importe de inmediato, salvo que tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España.

3.º Cuando un usuario niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, incumbe al proveedor la carga de demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago.

4.º El mero hecho del registro por el proveedor de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones, correspondiendo al proveedor la prueba de que el usuario del servicio de pago cometió fraude o negligencia grave.

En suma, la responsabilidad del proveedor de los servicios de pago, en los casos de operaciones no autorizadas o ejecutadas incorrectamente, tiene carácter cuasi objetivo, en el doble sentido de que, primero, notificada la existencia de una operación no autorizada o ejecutada incorrectamente, el proveedor debe responder salvo que acredite la existencia de fraude; y, segundo, cuando el usuario niegue haber autorizado la operación o alegue que ésta se ejecutó incorrectamente, corresponde al proveedor acreditar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio, sin que el simple registro de la operación baste para demostrar que fue autorizada ni que el usuario ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave.

Profundizando en este último punto, la expresión «operaciones no autorizadas» incluye aquellas que se han iniciado con las claves de usuario y contraseña del usuario -necesarias para acceder al sistema de banca digital- y confirmado mediante la inserción del SMS enviado por el propio sistema al dispositivo móvil facilitado por el usuario, siempre que éste niegue haberlas autorizado, en cuyo caso el banco deberá acreditar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio que presta.

A este respecto, la mención «deficiencia del servicio» no significa error o fallo del sistema informático o electrónico -posibilidad que estaría prevista en el concepto de «fallo técnico»-, sino que abarca cualquier falta de diligencia o mala praxis en la prestación del servicio, en el entendimiento de que el grado de diligencia exigible al proveedor de los servicios de pago no es el propio del buen padre de familia, sino que la naturaleza de la actividad y los riesgos que entraña el servicio que se presta, sobre todo en una relación empresario/consumidor, obliga a elevar el nivel de diligencia a un plano superior, como es el del ordenado y experto comerciante.

Lógicamente, las buenas prácticas pasan por adoptar las medidas de seguridad necesarias para garantizar el correcto funcionamiento del sistema de servicios de pago, entre las cuales destacan las orientadas a detectar de forma automática la concurrencia de indicios de que puede tratarse de una operación anómala y generar una alerta o un bloqueo temporal (v.gr. reiteración de transferencias sin solución de continuidad, horario en que se producen, importe de las mismas, destinatarios, antecedentes en el uso de la cuenta...), o las dirigidas a incrementar el control y vigilancia cuando se han recibido noticias o alertas de un posible aumento del riesgo.".

www.gonzaleztorresabogados.com

928 244 935

667 227 741