La SAP de Santander de 13-3-2024, ponent D. Bruno Arias Berrioategortua confirma la sentència que va estimar la reclamació de quantitat plantejada pels clients d’un banc contra aquest, a fi de reclamar-li els perjudicis derivats de l’ús fraudulent de les targetes de dèbit mitjançant el mètode anomenat phising, i que va provocar que persones desconegudes fessin disposicions no autoritzades per la quantitat total de 12.230,72 €.

Són reiterades les decisions de les Audiències Provincials que atribueixen a les entitats prestadores de serveis de pagament, responsabilitat patrimonial quasi objectiva pel risc que el sistema de pagaments comporta i de la qual només es pot exonerar mitjançant la prova de la culpa greu de l’ordenant.

Correspon a l’entitat acreditar que l’operació ordenada va ser autèntica i no va estar afectada per una decisió tècnica o per una altra deficiència com podria ser un supòsit de phishing, tal com estableix l’art. 44.1. del Reial decret llei 19/2018, de 23 de novembre, de serveis de pagament i altres mesures urgents en matèria financera:

“Quan un usuari de serveis de pagament negui haver autoritzat una operació de pagament ja executada o al·legue que aquesta es va executar de manera incorrecta, correspondrà al proveïdor de serveis de pagament demostrar que l’operació de pagament va ser autenticada, registrada amb exactitud i comptabilitzada, i que no es va veure afectada per una fallada tècnica o una altra deficiència del servei prestat pel proveïdor de serveis de pagament”.

La SAP de Pontevedra de 23-3-2023 assenyala que:

“A l’hora d’estudiar la concurrència de negligència greu de l’usuari del servei de pagament en línia, partint de l’admès criteri de responsabilitat quasi objectiva de l’entitat en la prestació del servei de banda virtual respecte a operacions de pagament com la transferència, jurisprudència reiterada considera que aquesta negligència ha de ser greu en atenció a les circumstàncies demostrades del cas, atribuint-se en tot cas la càrrega probatòria de la mateixa al proveïdor del servei d’acord amb l’art. 217 LEC”.

En interpretació de directiva 2015/2366, la negligència que fa respondre al client és la que es deriva d’una conducta caracteritzada per un grau significatiu de manca de diligència, fet que suposa que sorgeix o es produeix per iniciativa de l’usuari, no com conseqüència de l’engany a què hagi pogut ser induït per un delinqüent professional.

Com a paràmetre de l’actuar negligent també cal acudir a l’art. 1.104 CC , que exigeix la diligència associada a la naturalesa de l’obligació ia les circumstàncies personals, de temps i de lloc.

Destaca la complexitat i el grau de perfecció que presenta actualment el mètode de “phishing” de difícil detecció per persona de formació mitjana, així com el deure de la proveïdora del servei de dotar-se de tecnologia suficient i adequada amb exigència de mesures implantadores actives, sense entendre’s suficients avisos generals o en pàgina web de mer caràcter informatiu o divulgatiu -per totes, SS. AP Pontevedra (Secc. 6a) 21.12.21 i Madrid (20a) 20.5.2022, en la línia del raonat a SS. AP València (6a) 13.6.2022, Granada (5a) 20.6.2022 i Badajoz (3a) 21.6.2022.

La realitat de les pràctiques delictives com l’esmentat phising fa exigible augmentar les mesures de seguretat específiques, com ja va assenyalar la SAP de Barcelona de 7 de març de 2013, ja que el banc no pot oferir un sistema on line sense adoptar les mesures de seguretat. seguretat necessàries.

En el mateix sentit, cal citar entre moltes altres, les SSAP de Valladolid de 23 d’octubre de 2023, Huelva 16 d’octubre de 2023, o Pontevedra de 18 de setembre de 2023, o la d’aquesta mateixa secció segona de l’Audiència Provincial de Cantàbria de 10 d’octubre de 2023 (ROJ: SAP S 1267/2023), i totes les que s’hi citen.

Com a conseqüència del que s’ha exposat, s’ha de concloure que l’entitat demandada, com a prestadora de serveis de pagament, ha d’assumir la responsabilitat patrimonial que se li exigeix pel risc que el sistema de pagaments comporta, tal com va interessar l’actora

Aquí la resolució

Ramon Arnó Torrades
CEO de La Família Digital