Condenado un banco por un SMS engañoso que provoca transferencias no autorizadas

23/05/2024

La SAP de Santander de 13-3-2024, ponente D. Bruno Arias Berrioategortua confirma la sentencia que estimó la reclamación de cantidad planteada por los clientes de un banco contra éste, a fin de reclamarle los perjuicios derivados del uso fraudulento de sus tarjetas de débito mediante el método denominado phising, y que provocó que personas desconocidas hicieran disposiciones no autorizadas por la cantidad total de 12.230,72 €.

Son reiteradas las decisiones de las Audiencias Provinciales que atribuyen a las entidades prestadoras de servicios de pago, responsabilidad patrimonial cuasi objetiva por el riesgo que el propio sistema de pagos conlleva y de la que sólo puede exonerarse mediante la prueba de la culpa grave del ordenante.

Corresponde a la entidad acreditar que la operación ordenada fue auténtica y no estuvo afectada por un fallo técnico o por otra deficiencia como pudiera ser un supuesto de phishing, tal y como establece el art. 44.1. del Real Decreto-Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera:

“Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago”.

La SAP de Pontevedra de 23-3-2023 señala que:

“A la hora de estudiar la concurrencia de negligencia grave del usuario del servicio de pago online, partiendo del admitido criterio de responsabilidad cuasi objetiva de la entidad en la prestación del servicio de banda virtual respecto a operaciones de pago como la transferencia, reiterada jurisprudencia considera que dicha negligencia debe ser grave en atención a las circunstancias demostradas del caso, atribuyéndose en todo caso la carga probatoria de la misma al proveedor del servicio con arreglo a art. 217 LEC. “.

En interpretación de directiva 2015/2366, la negligencia que hace responder al cliente es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional.

Como parámetro del actuar negligente también cabrá acudir al art. 1.104 CC , que exige la diligencia asociada a la naturaleza de la obligación y a las circunstancias personales, de tiempo y lugar.

Destaca la complejidad y grado de perfección que presenta en la actualidad el método de “phishing” de difícil detección por persona de formación media, así como el deber de la proveedora del servicio de dotarse de tecnología suficiente y adecuada con exigencia de medidas implantadoras activas, sin entenderse suficientes avisos generales o en página web de mero carácter informativo o divulgativo -por todas, SS. AP Pontevedra (Secc. 6ª) 21.12.21 y Madrid (20ª) 20.5.2022 , en la línea de lo razonado en SS. AP Valencia (6ª) 13.6.2022 , Granada (5ª) 20.6.2022 y Badajoz (3ª) 21.6.2022.

La realidad de las prácticas delictivas como el mencionado phising, hace exigible aumentar las medidas de seguridad específicas, como ya señaló la SAP de Barcelona de 7 de marzo de 2013, ya que el banco no puede ofrecer un sistema on line sin adoptar las medidas de seguridad necesarias.

En el mismo sentido, cabe citar entre otras muchas, las SSAP de Valladolid de 23 de octubre de 2023, Huelva 16 de octubre de 2023, o Pontevedra de 18 de septiembre de 2023, o la de esta misma sección segunda de la Audiencia Provincial de Cantabria de 10 de octubre de 2023 (ROJ: SAP S 1267/2023), y todas las que en ellas se citan.

Como consecuencia de lo expuesto, ha de concluirse que la entidad demandada, como prestadora de servicios de pago, debe asumir la responsabilidad patrimonial que se le exige por el riesgo que el propio sistema de pagos conlleva, tal como se interesó por la actora

Aquí la resolución

Ramon Arnó Torrades
CEO de La Familia Digital