STS (Sala 1ª) de 9 de abril de 2025, rec. nº 1151/2023
Accede al documento
“La controversia radica en determinar quién debe responder por las operaciones de pago no
autorizadas, en tanto que realizadas por un tercero que, utilizando las credenciales del usuario que ha obtenido por cualquier medio, suplanta su identidad y accede electrónicamente a su cuenta sin su consentimiento.
Con carácter previo, es preciso significar que la Audiencia ha declarado probado que las operaciones de pago se ejecutaron por terceras personas, ajenas y sin el consentimiento del demandante, lo que comporta rechazar de plano las dudas sugeridas por la recurrente.
La Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior explica que ‘(…) Disponer de servicios de pago fiables y seguros es condición esencial para el buen funcionamiento del mercado de servicios de pago, por lo que los usuarios de esos servicios deben gozar de la debida protección frente a tales riesgos. Los servicios de pago son esenciales para el mantenimiento de actividades económicas y sociales de vital importancia’.
Y en los Considerandos 70, 71 y 72 se aborda el problema de las operaciones de pago no autorizadas o ejecutadas incorrectamente, precisando las respectivas obligaciones y responsabilidad del usuario y del proveedor de los servicios de pago y ofreciendo pautas para valorar la diligencia exigible.
Y el art. 72 añade, en relación con la prueba de la autenticación y ejecución de las operaciones de pago, cuando el usuario niegue haberla autorizado o alegue que se ejecutó de manera incorrecta (…) corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago.
El mero hecho del registro por el proveedor de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones, correspondiendo la mención «deficiencia del servicio» no significa error o fallo del sistema informático o electrónico -posibilidad que estaría prevista en el concepto de «fallo técnico», sino que abarca cualquier falta de diligencia o mala praxis en la prestación del servicio, en el entendimiento de que el grado de diligencia exigible al proveedor de los servicios de pago no es el propio del buen padre de familia, sino que la naturaleza de la actividad y los riesgos que entraña el servicio que se presta, sobre todo en una relación empresario/consumidor, obliga a elevar el nivel de diligencia a un plano superior, como es el del ordenado y experto comerciante.
(…) las buenas prácticas pasan por adoptar las medidas de seguridad necesarias para garantizar el correcto funcionamiento del sistema de servicios de pago, entre las cuales destacan las orientadas a detectar de forma automática la concurrencia de indicios de que puede tratarse de una operación anómala y generar una alerta o un bloqueo temporal.
(…) la responsabilidad del proveedor de los servicios de pago, en los casos de operaciones no autorizadas o ejecutadas incorrectamente, tiene carácter cuasi objetivo, en el doble sentido de que, primero, notificada la existencia de una operación no autorizada o ejecutada incorrectamente, el proveedor debe responder salvo que acredite la existencia de fraude; y, segundo, cuando el usuario niegue haber autorizado la operación o alegue que ésta se ejecutó incorrectamente, corresponde al proveedor acreditar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio, la aplicación de la normativa y jurisprudencia expuesta nos lleva a rechazar el motivo de recurso.
Es verdad que el art. 36.1 del Real Decreto Ley 19/2018 establece que las operaciones de pago ‘se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución’, así como que ‘[e]l ordenante y su proveedor de servicios de pago acordarán la forma en que se dará el consentimiento, así como el procedimiento de notificación del mismo’.
Pero no es menos cierto que, primero, estamos ante una regulación que se impone a las partes, sin que su aplicación quede al albur de la libertad o autonomía contractual, de modo que la condición 4.ª -como la cláusula 8.ª, de exoneración de responsabilidad de la entidad bancaria- han de respetar en todo caso el régimen de derechos, obligaciones y fórmulas de responsabilidad legalmente previstos”. (F.D. 2º) [Andrés Marín Salmerón].
