La sentencia de la Audiencia provincial de Burgos, sec. 3ª, de 5 de diciembre de 2022, nº 482/2022, rec. 340/2022, declara que si una entidad financiera no ofrece medios adecuados para que pueda notificarse en todo momento el extravío, el robo o la apropiación indebida de una tarjeta de crédito o un instrumento de pago, el cliente ordenante no será responsable de las consecuencias económicas que se deriven de la utilización de dicho instrumento de pago, salvo en caso de haber actuado de manera fraudulenta.
Existió una reacción inmediata por parte del titular de las cuentas llamando al teléfono del banco cuando se apercibió de que le habían sustraído los 19.000 euros de su cuenta corriente. Y la desaparición de los fondos de la cuenta corriente se podía haber evitado si la entidad bancaria hubiera tomado las medias de bloqueo de las cuentas en el momento en que el demandante llamó por teléfono para poner en conocimiento la desaparición de los 19.000 euros.
La transferencia de los 19.000 euros de la cuenta del actor a la cuenta de un tercero se produjo el 4 de marzo a las 22:37 horas. Pero la transferencia del dinero de la cuenta del cliente a otras cuentas ajenas a Ibercaja no se produjo hasta el 5 de marzo, después de que el actor llamase el 4 de marzo a las 23 horas al teléfono de atención al público 24 horas.
En este teléfono, que es el único al que el actor podía llamar en ese momento, le dijeron al parecer que solo atendían los problemas derivados de la sustracción de tarjetas, por lo que parece evidente que en aquel momento Ibercaja no puso a disposición del usuario las medidas de seguridad que exige el artículo 74 de la Directiva 2015/2366 de 25 de noviembre de Servicios de pago en el mercado interior, cuya trasposición se lleva a cabo por el Real Decreto Ley 19/2018 de 23 de noviembre, Ley de Servicios de Pago.
Según la sentencia apelada, como el titular de la cuenta informó en seguida al banco de la operación no autorizada, cumpliendo con la obligación del artículo 71 de la Directiva, el banco tiene que devolver de forma inmediata el importe de la transferencia, en aplicación de los artículos 73 de la Directiva y 45 de la Ley de Servicios de Pagos.
A) Antecedentes.
1º) La cuestión que se plantea en los presentes autos es la responsabilidad del banco demandado por la suplantación de identidad que se llevó a cabo el día 4 de marzo de 2021 de los titulares de tres cuentas corrientes en la entidad demandada cuando autores desconocidos utilizaron las claves de acceso a dichas cuentas, y también el código de autenticación reforzada, para llevar a cabo las siguientes operaciones:
- Traspasar 5.000 euros de la cuenta 2222 de Leocadia y Jesús Luis en Ibercaja a la cuenta 6666 de Jesús Luis en la misma entidad.
- Traspasar 5.500 euros de la cuenta 33331 de Juana y Jesús Luis en Ibercaja a la cuenta 99999.
- Transferir 19.000 euros de la cuenta 44444 a la cuenta 111111 de don Leonardo, también de Ibercaja, pero en Alfaro (la Rioja).
- Traspasar 49.000 euros de la cuenta 77777 a otras cuentas a disposición de los ordenantes.
De esa forma los actores, que son don Jesús Luis, doña Leocadia y doña Juana han resultado privados de la cantidad de 19.000 euros por el procedimiento que se conoce con el nombre de phishing, pues consiste en enviar toda una serie de correos electrónicos a distintas personas de las cuales se han obtenido sus datos personales y bancarios para que, simulando que el correo procede de una persona o entidad de confianza, realicen un último acto de transferencia de datos que permitan a los defraudadores completar el procedimiento de pago a su favor o en beneficio de otras personas.
2º) La sentencia apelada estima la demanda, sobre todo con cita de una sentencia de la AP de Pontevedra sección 6 del 21 de diciembre de 2021 (ROJ: SAP PO 3078/2021). Sin embargo, esta sentencia resuelve un supuesto que no es idéntico al de autos, pues entonces se consiguió por los defraudadores el acceso al programa de pago electrónico por tarjeta de la demandante (Samsug Pay) que estos consiguieron descargar en sus dispositivos móviles para utilizarlo como si fuera la verdadera titular.
Existió en este caso sin duda una negligencia por parte de la entidad bancaria al no comprobar que el teléfono desde el cual se pedía la descarga de la aplicación no era el de la titular de la cuenta. En el supuesto que nos ocupa el vaciamiento de las cuentas de los actores se produce mediante la utilización del procedimiento de pago habitual para realizar de forma electrónica una transferencia, para lo cual se necesitan las credenciales de seguridad personalizadas y el código de autenticación reforzada. Se discute si existió negligencia por parte de alguno de los titulares de las cuentas que necesariamente tuvieron que contribuir a poner dichos códigos a disposición de los suplantadores.
Así se viene a reconocer en la denuncia que, tras realizar una compra por importe de 19.95 euros en una página web que se autotitulaba estrella.com, se recibió un mensaje de texto en el teléfono de una empresa llamada Fedex que instaba a descargar un programa para realizar un seguimiento del pedido, que el denunciante instaló. No obstante, se dice en la demanda que "los demandantes no recibieron estos correos (los correos a los que se refería una comunicación del banco alertando del riesgo de phishing), ni facilitaron claves, ni firmas de banca online, ni código PIN ".
Se echa de menos también en la sentencia una exposición razonada, y no meramente enunciativa, de las disposiciones que a nivel europeo y nacional regulan los procedimientos de pago a través de Internet, con los derechos y obligaciones de los proveedores de los servicios de pago y de los usuarios de estos mismos servicios.
B) Regulación legal.
1º) A nivel europeo hay que tener en cuenta la Directiva 2015/2366 de 25 de noviembre de Servicios de pago en el mercado interior, cuya trasposición se lleva a cabo por el Real Decreto Ley 19/2018 de 23 de noviembre, Ley de Servicios de Pago. La finalidad de la Directiva es sobre todo la de da entrada a nuevos servicios de pago, como los servicios de iniciación de pagos y los servicios de información sobre cuentas, que no son aquí de aplicación, aunque también se aprovecha para precisar las obligaciones del usuario y del proveedor de servicios en relación con los instrumentos de pago y la responsabilidad en caso de operaciones no autorizadas o ejecutadas incorrectamente. También se exige un reforzamiento de las medidas de seguridad en relación con la autenticación del usuario, introduciendo la llamada autenticación reforzada, aunque tales medidas serán objeto de desarrollo posterior por el Reglamento de la Comisión Europea 2018/389 de 27 de noviembre de 2017.
La disposición de la Directiva que, de la misma forma que hace la AP de Pontevedra, lleva a la Magistrada de instancia a estimar la demanda es el artículo 73 (artículo 45 LSP) que dice:
"Sin perjuicio del artículo 71, los Estados miembros velarán por que, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devuelva a este el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito a la autoridad nacional pertinente. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada. Velarán asimismo por que la fecha de valor del abono en la cuenta de pago del ordenante no sea posterior a la fecha de adeudo del importe".
Y el artículo 71 de la Directiva (artículo 43 LSP) establece:
"El usuario de servicios de pago obtendrá la rectificación por parte del proveedor de servicios de pago de una operación de pago no autorizada o ejecutada incorrectamente únicamente si el usuario de servicios de pago se lo notifica sin demora injustificada, en cuanto tenga conocimiento de cualquiera de dichas operaciones que sea objeto de reclamación, incluso las cubiertas por el artículo 89, y, en todo caso, dentro de un plazo máximo de trece meses contados desde la fecha del adeudo".
En este caso, como se dice en la demanda, los titulares de la cuenta informaron al Banco de la desaparición de los 19.000 euros de sus cuentas el mismo día de la transferencia, llamando a los teléfonos NUM004 y NUM005. Así consta en los registros de llamadas que aportan, haciendo dos llamadas el día 4 de marzo a las 23,16 horas y a las 23,40 horas. Comoquiera que ese día no consiguieron transmitir la información, tuvieron que hacerlo el día siguiente 5 de marzo a las 8,04 y a las 8,02 horas. A este respecto existe quizás un error en la demanda cuando se dice que "es ese mismo día 5 de marzo de 2021 cuando tiene conocimiento de que en su número de cuenta NUM002 se ha realizado una transferencia bancaria por importe de 19.000 euros", porque según los registros del uso del procedimiento de pago que aporta el banco las transferencias se hicieron el día 4 de marzo. Y concretamente la de 19.000 euros se hizo el día 4 de marzo a las 22,37 horas.
Existió por lo tanto una reacción inmediata por parte del titular de las cuentas cuando se apercibió de que le habían sustraído los 19.000 euros de su cuenta corriente.
C) Valoración de la prueba.
1º) Pues bien, según la sentencia apelada, como el titular de la cuenta informó en seguida al banco de la operación no autorizada, cumpliendo con la obligación del artículo 71, el banco tiene que devolver de forma inmediata el importe de la transferencia, en aplicación de los artículos 73 de la Directiva y 45 de la Ley de Servicios de Pagos. Y lo que dice la parte apelante en el primer motivo de su recurso es que no existió una operación de pago no autorizada, sino que la operación de pago se autorizó al realizarla conforme al procedimiento pactado de uso del instrumento de pago, introduciendo las credenciales que el banco había puesto a disposición del cliente. Según el artículo 64.2 de la Directiva " el consentimiento para la ejecución de una operación de pago o de una serie de operaciones de pago se dará en la forma acordada entre el ordenante y el proveedor de servicios de pago. El consentimiento para la ejecución de una operación de pago podrá darse también por conducto del beneficiario o del proveedor de servicios de iniciación de pagos. En ausencia de consentimiento, la operación de pago se considerará no autorizada ".
No estamos de acuerdo con la interpretación que hace la parte apelante. Por el contrario, toda operación de pago que, aun realizándose de la misma forma que lo hubiera hecho el ordenante titular, no haya sido ordenada por él mismo o por otra persona en su nombre, debe considerarse como no autorizada. Tampoco se trata de una operación de pago ejecutada incorrectamente a que se refiere el artículo 71, pues estas últimas se reservan para cuando existe algún error en la ejecución del pago, a que se refiere el capítulo III de la Directiva, no en la autorización de la operación de pago a que se refiere el capítulo II.
A esta tesis nos conduce una interpretación conjunta de los artículos 73 y 74 de la Directiva, que regulan la responsabilidad del proveedor de servicios de pago y del ordenante en caso de operaciones de pago no autorizadas. Los artículos citados se refieren claramente a operaciones de pago no autorizadas, que son las que dan lugar a la obligación de reintegro del importe de la operación conforme al artículo 71. Pero está claro que los artículos 73 y 74 se refieren a supuestos de actuación fraudulenta o con negligencia grave, por no haber adoptado las medidas de seguridad necesarias que garanticen la autenticación del ordenante del pago. Luego las operaciones de pago que han dado lugar a la interposición de la demanda son operaciones de pago no autorizadas en el sentir de la Directiva.
2º) Ahora bien, que haya existido una operación de pago no autorizada, no conlleva necesariamente que el proveedor de servicios de pago tenga que restituir de forma inmediata su importe. En otro caso estaríamos en el caso de una responsabilidad objetiva por el uso que cualquier persona distinta del usuario haya podido hacer de las claves de acceso al instrumento de pago. Lo dispuesto en los artículos 71 y 73 de la Directiva debe interpretarse conjuntamente con el artículo 74 que regula la responsabilidad del ordenante en caso de operaciones de pago no autorizadas.
Dice el artículo 74.1 que "el ordenante soportará todas las pérdidas derivadas de operaciones de pago no autorizadas si el ordenante ha incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 69. En esos casos, no será de aplicación el importe máximo contemplado en el párrafo primero ".
Y el artículo 69.2 establece que:
“En particular, a los efectos del apartado 1, letra a), el usuario de servicios de pago, en cuanto reciba un instrumento de pago, tomará todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas del instrumento de pago ".
La extensión de la responsabilidad del usuario del instrumento de pago en el artículo 74 de la Directiva se pone en relación con el hecho de que el proveedor del servicio haya puesto o no a disposición del usuario el sistema de autenticación reforzada a que se refiere el artículo 97. Si el proveedor de servicios de pago no ha puesto a disposición del usuario el sistema de autenticación reforzada, en tal caso "el ordenante solo soportará las posibles consecuencias económicas en caso de haber actuado de forma fraudulenta".
A sensu contrario, si el proveedor de servicios de pago exige el sistema de autenticación reforzada, el ordenante también soportará las pérdidas en caso de negligencia grave.
El sistema de autenticación reforzada se define en el artículo 3 de la Directiva como "la autenticación basada en la utilización de dos o más elementos categorizados como conocimiento (algo que solo conoce el usuario), posesión (algo que solo posee el usuario) e inherencia (algo que es el usuario), que son independientes- es decir, que la vulneración de uno no compromete la fiabilidad de los demás-, y concebida de manera que se proteja la confidencialidad de los datos de autenticación ".
Se desarrolla el sistema de autenticación reforzada en el Reglamento 2018/389 de la Comisión Europea. El artículo 4.1 del Reglamento establece que "cuando los proveedores de servicios de pago apliquen la autenticación reforzada de clientes, de conformidad con el artículo 97, apartado 1, de la Directiva (UE) 2015/2366, la autenticación se basará en dos o más elementos categorizados como conocimiento, posesión e inherencia y tendrá como resultado la generación de un código de autenticación".
Y el artículo 5.1 dispone que "cuando los proveedores de servicios de pago apliquen la autenticación reforzada de clientes (..) también deberán adoptar medidas de seguridad que reúnan todos los requisitos siguientes: a) que el ordenante sea informado del importe de la operación de pago y del beneficiario; b) que el código de autenticación generado sea específico para el importe y el beneficiario de la operación de pago aceptados por el ordenante al iniciar la operación; c) que el código de autenticación aceptado por el proveedor de servicios de pago se corresponda con el importe específico original de la operación de pago y con la identidad del beneficiario aceptados por el ordenante; d) que cualquier cambio del importe o del beneficiario suponga la invalidación del código de autenticación generado".
Finalmente, los artículos 6, 7 y 8 del Reglamento precisan lo que debe entender como elementos que definan la posesión, el conocimiento o la inherencia por parte del usuario.
En este caso el instrumento de pago contaba con una autenticación reforzada consistente en un código que se enviaba al móvil del usuario para poder ejecutar cada operación de pago. Se trata de un sistema que cumple con los requisitos de posesión, puesto que se manda a un dispositivo en poder del usuario, y de conocimiento, que son las claves de autenticación. El demandante ha dicho que tenía un sistema de autenticación basada en la huella digital, pero según ha explicado el responsable de seguridad de los sistemas del banco don Sebastián, la huella digital no sustituye a la contraseña, sino que solo sirve para introducir la contraseña que está asociada a cada huella digital.
D) Conclusión.
1º) Cumpliéndose los requisitos de autenticación, el usuario solo deberá soportar las pérdidas en caso de "haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 69 ".
La negligencia que se imputa al usuario consiste en haber abierto en el móvil un mensaje procedente de Fedex que le instaba a clicar en un enlace y descargarse una aplicación, supuestamente para poder hacer el seguimiento de su pedido. Según las explicaciones que ha dado don Sebastián, que son las mismas que se recogen en la contestación de la demanda, la aplicación de Fedex consiste en la instalación en el móvil del usuario de un malware mediante el cual un tercero puede tener acceso a todos los datos del móvil del usuario, y a los que este introduzca a partir de entonces. De esa forma el tercero puede conocer las credenciales de seguridad (nombre de usuario y contraseña) y suplantar la identidad del usuario en la página web de Ibercaja. El hecho de haberse descargado esta aplicación, pensando de buena fe que procedía de la empresa a la que se había hecho un pedido, es algo que han reconocido, no solo el actor, sino también el titular de la cuenta de la sucursal de Alfaro, donde fueron los 19.000 de la cuenta del actor, y otra persona a la que también sacaron dinero con el mismo procedimiento.
Las explicaciones del empleado de Ibercaja no justifican, sin embargo, la forma en la que los defraudadores se han saltado el segundo paso de autenticación, que es la autenticación reforzada, recibiendo en su propio móvil los mensajes o SMSs enviados al móvil del actor. Posiblemente, y puesto que ninguno de los tres testigos dice haberse descargado ninguna otra aplicación o haber pinchado en otro enlace sospechoso, la instalación del malware tenía también el efecto de permitir la recepción de los mensajes enviados al destinatario. Pero si esto fue así, no se cumpliría con el plus de seguridad que exige la autenticación reforzada, basada en la adición de otro elemento (mensaje enviado al móvil) además de las claves de seguridad (elemento de conocimiento), poque con la vulneración de la seguridad de las claves se vulnera también la seguridad del segundo elemento. La autenticación reforzada exige, por el contrario, que los elementos de conocimiento y posesión sean independientes, es decir, que la vulneración de uno no comprometa la fiabilidad de los demás.
En cualquier caso, la carga de la prueba de que el usuario ha actuado con negligencia grave corresponde al proveedor de los servicios de pago.
Dice el artículo 72.1 de la Directiva (artículo 44 LSP) que "los Estados miembros exigirán que, cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que esta se ejecutó de manera incorrecta, corresponda al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago ".
Y el artículo 72.2 precisa que "la utilización de un instrumento de pago registrada por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos no bastará necesariamente para demostrar que la operación de pago ha sido autorizada por el ordenante, ni que este ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 69. El proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, aportará pruebas para demostrar que el usuario del servicio de pago ha cometido fraude o negligencia grave".
Con esto se quiere decir que la utilización del instrumento de pago en la forma que el usuario lo hubiera utilizado de haber sido él mismo el autor de la operación, no exime al proveedor de los servicios de pago de la carga de probar que aquel ha obrado de manera negligente.
2º) Jurisprudencia.
Por todo ello la mayor parte de las AAPP han apreciado responsabilidad del proveedor de servicios de pago cuando lo único que ha hecho el usuario es descargarse estos programas maliciosos, sin introducir un segundo código de autenticación.
Así, SSAP Zaragoza sección 5 del 1 de julio de 2022 (ROJ: SAP Z 1482/2022), Granada sección 5 del 20 de junio de 2022 (ROJ: SAP GR 957/2022), Valencia sección 6 del 13 de junio de 2022 (ROJ: SAP V 2622/2022), Madrid sección 20 del 20 de mayo de 2022 (ROJ: SAP M 7327/2022), y Pontevedra sección 6 del 21 de diciembre de 2021 (ROJ: SAP PO 3078/2021). Y la AP Alicante sección 8 del 12 de marzo de 2018 (ROJ: SAP A 632/2018) ha sido clara a la hora de aplicar el principio de inversión de la carga de la prueba en favor del usuario, al decir "es la prestadora de los servicios de pago quien tiene la obligación de facilitar un sistema de banca telemática segura, y no son sus clientes- usuarios los que deben prevenir ni averiguar las modalidades de riesgos que el sistema conlleva, ni prevenir con un asesoramiento experto los mismos, no pudiendo en suma la parte obligada legalmente a ofrecer un modelo de servicio de caja que requiere de un especial nivel de seguridad, objetar que el usuario debía conocer aspectos técnicos tales como identificar una web como falsa -cuando no consta que fuera burda y por tanto, evidente de toda falsedad".
E) Inexistencia de medidas de bloqueo de la cuenta corriente desde que el cliente informa a la entidad financiera de la desaparición del dinero de la cuenta corriente.
Junto a lo anterior existe en este caso otra circunstancia que sirve para declarar la responsabilidad de la parte demandada, y es que la desaparición de los fondos se podía haber evitado si la entidad bancaria hubiera tomado las medias de bloqueo de las cuentas en el momento en que el demandante llamó para poner en conocimiento la desaparición de los 19.000 euros.
La transferencia de los 19.000 euros de la cuenta NUM002 del actor a la cuenta NUM003 de don Leonardo se produjo el 4 de marzo a las 22:37 horas. Pero la transferencia del dinero de la cuenta de don Leonardo a otras cuentas ajenas a Ibercaja no se produjo hasta el 5 de marzo, después de que el actor llamase el 4 de marzo a las 23 horas al teléfono de atención al público 24 horas.
En este teléfono, que es el único al que el actor podía llamar en ese momento, le dijeron al parecer que solo atendían los problemas derivados de la sustracción de tarjetas, por lo que parece evidente que en aquel momento Ibercaja no puso a disposición del usuario las medidas de seguridad del artículo 74.
Dice el artículo 74 in fine que:
“Si el proveedor de servicios de pago no ofrece medios adecuados para que pueda notificarse en todo momento el extravío, el robo o la apropiación indebida de un instrumento de pago, según lo dispuesto en el artículo 70, apartado 1, letra c), el ordenante no será responsable de las consecuencias económicas que se deriven de la utilización de dicho instrumento de pago, salvo en caso de haber actuado de manera fraudulenta".
www.gonzaleztorresabogados.com
928 244 935
