Jurisprudencia: En casos de phishing, debe ser el banco el que demuestre que el usuario del servicio de pago cometió un fraude o una negligencia grave.

0
6

SAP de La Rioja (Sección 1ª) de 17 de febrero de 2023, rec. nº 11/2023
Accede al documento

“Que tenía abierta la cuenta nº IBAN NUM000 en la sucursal de Ibercaja de la Plaza la Iglesia nº 4 de Varea (Logroño), a la que estaba asociada la tarjeta de crédito NUM001 a su nombre y sobre la que se ha cargado una operación no autorizada. Dicha cuenta era donde ha estado domiciliada la nómina de enfermera de la actora y que se usaba de manera ordinaria y diligente para gastos cotidianos, con movimientos de pagos con tarjeta de baja cuantía, gastos habituales de compras y gastos corrientes y nunca de transferencias a terceros de importes altos, siendo dichas compras y gastos cargados en el momento, nunca a mes vencido ni pasados unos días, siendo el límite de la tarjeta de 1.000 €uros. Que con fecha 10 de agosto de 2.021, martes, la actora observa que en su cuenta de Ibercaja nº NUM000 han habido dos traspasos de dinero a su cuenta, uno de 3.000 €uros procedente de la cuenta de la que es titular junto a su madre, Dña. Camino, y otro de 900 €uros procedente de la cuenta de la que es igualmente titular junto a otros primos suyos. Que los dos traspasos se hicieron sin consentimiento de ella, ni de ninguno de los otros cotitulares a quienes preguntó, ya que no había motivo alguno para ello.

El 11 de agosto de 2.021, miércoles, Dña. Piedad acude a su Sucursal en Varea y allí le atiende una tal Debora, cuyo superior en la entidad le fue diciendo que pasos tenía que dar por si pudiera tratarse de un posible fraude que podrían haber hecho a través del teléfono. Lo primero que hicieron fue realizar la devolución a las cuentas de origen de las dos transferencias realizadas a la cuenta de mi cliente el día anterior de 3.000 €uros y de 900 €uros, cuyos conceptos de devolución fueron ‘devolución posible fraude’.

Una vez hecho esto, se le abre una cuenta nueva a la que se asocia también una nueva tarjeta, pero sin cerrar la antigua cuenta, en la que se deja una pequeña cantidad de dinero, que le explicaron que era para comprobar si realmente ‘alguien’ cogía ese dinero y así denunciar.

La tarjeta anterior sí que se anula y se destruye.

(…) que con fecha 16 de agosto le habían pasado un cargo por su cuenta de 4.250 €uros, que evidentemente resultó en números negativos ya que la actora no disponía de ese dinero en la cuenta, cargo que al parecer se había realizado con su tarjeta de crédito ese día 10 de agosto de 2.021 pero que se hizo efectivo el día 16 de agosto.

La actora en ese momento pidió que echaran atrás el cargo, pero le dijeron que eso era imposible, que no lo podían hacer. En ese momento el director le da a Dña. Piedad los documentos necesarios para ir corriendo a denunciar a la Policía, cosa que así hizo al día siguiente.

Que cuando la actora acudió a Ibercaja para entregar la denuncia presentada el 18 de Agosto de 2.021, la empelada Gloria ya tenía preparado unos documentos de respuesta de la entidad en la que se le comunica que en relación al pago de los 4.250 €uros ‘es una operación debidamente autorizada por su titular, por lo que, analizado el caso concreto, se ha tomado la decisión de no iniciar los trámites para intentar recuperar la operación de pago frente a quien la recibió’. Que el día 10 de agosto de 2.021 se realiza a través de internet un incremento del riesgo de su tarjeta hasta un límite de 4.500 €uros, hecho que ella desconoce totalmente y que no ha autorizado ni firmado en el banco en ningún momento y ese mismo día 10 de agosto se realiza a través de internet una compra por 4.250 €uros con la tarjeta de Dña. Piedad a las 00.00 horas. La demandante considera claro que la seguridad de esta entidad no ha resultado viable y por ello no se le puede achacar ninguna conducta negligente a la actora, quien en cuanto detectó algo raro telefoneó para comunicarlo y acudió a la sucursal in situ.

No se llega a concretar en qué ha consistido la supuesta negligencia grave de doña Piedad, sino que la demandada se limita a señalar que se respondió a los SMS introduciendo la clave.

Pues bien, no es suficiente, ya que no se explica cómo se llegaron a introducir las claves. Por otro lado, tampoco se prueba que llegase a dotarse a la actora de la tecnología antiphishing precisa para detectar las páginas o enlaces fraudulentos, impidiendo su acceso, lo que, de haberse producido, hubieran evitado que el defraudador pudiera hacerse con las credenciales del usuario del instrumento de pago por ella emitido, pues la rotura del enlace haría ya ineficaz cualquier conducta que frente al mismo pudiera observar el usuario receptor.

En última instancia, tampoco se da explicación a la razón por la que no se pudo actuar una vez autorizada la operación cuando la actora contacto con el Sac de la demanda el mismo día 10 de agosto y con la oficina el día 11. Por lo tanto, se estima la demanda”. (F.D. 1º).

“(…) el banco recurrente arguye en primer lugar infracción de las normas de interpretación del art. 36 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (LSP).

(…) señala en resumen que la sentencia recurrida presume, sin determinar ni aclarar los extremos por los que debe ser considerada la operación de compra en comercio de internet y pago con tarjeta no autorizada por la titular, cuando dichas operaciones fueron correctamente autorizadas y registradas en los sistemas informáticos de la entidad, debidamente contabilizada y perfectamente documentadas las operaciones.

(…) el artículo 36 del RDL 19/2018, de 23 de noviembre establece que ‘Las operaciones de pago se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución. …’ y que ‘el ordenante y su proveedor de servicios de pago acordarán la forma en que se dará el consentimiento, así como el procedimiento de notificación del mismo’. También es cierto que, puesto que la operación se realizó, alguien la debió autorizar.
Pero dicho precepto debe ponerse en relación con el artículo 44, cuyo apartado 1 presume la falta de autorización del ordenante si este la niega, como ocurre en el presente supuesto.

A tenor de dicho precepto, ‘Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago’.

Y postreramente señala en el apartado 2 que ‘el registro por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 41’. Y en apartado 3 añade que ‘Corresponderá al proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, probar que el usuario del servicio de pago cometió fraude o negligencia grave’.

En el supuesto sometido a nuestra consideración, doña Piedad ha negado tajantemente haber realizado las operaciones cuestionadas, que además no se corresponden con su modo habitual de proceder en el uso de la banca y la tarjeta y en las que todo apunta a la existencia de un fraude conocido como phishing. Es más, el propio banco realizó en un primer momento actos que acreditan que cuando menos en un momento inicial, cuando todavía el perjuicio no había quedado constatando, sí aceptó la existencia de un fraude a la demandante.

De lo que exponemos resulta, por lo tanto, que el documento 4 y el documento 5 de la demanda evidencian la versión de la demandante en cuanto a que cuando el día 10 de agosto de 2021 detectó los traspasos iniciales de dinero a su cuenta desde otras dos cuentas de las que era cotitular respectivamente con su madre y unos primos, se puso en contacto de manera inmediata con el banco; y desde dicho banco, al día siguiente (ver documentos 4 y 5 de la demanda, respectivamente acontecimientos 5 y 6 del procedimiento), procedieron el día 11 de agosto a devolver la transferencia realizada indicando en el concepto, tal como puede leerse elocuentemente en dichos documentos, ‘DEVOLUCIÓN POSIBLE FRAUDE’.

El hecho de que el banco, el día 11 de noviembre, accediera a dejar sin efecto esos traspasos, indicando como causa de la devolución ‘posible fraude’, pone de manifiesto que, en ese momento inicial, ese día 11 en el que aparentemente no se había causado ningún perjuicio, la parte demandada sí aceptó la existencia del referido fraude y, de hecho, actuó en consecuencia, dejando sin efecto las operaciones de transferencia entre las cuentas.
Si en banco realizó esa actuación es porque advirtió la existencia de un fraude que ahora pretende negar; y, de hecho, consignó en los documentos 4 y 5 de la demanda precisamente esa circunstancia (fraude) como motivo que justificaba la devolución de las transferencias.

Fue solo después de que quedase evidenciada la consumación de dicho fraude (el día 16 de agosto, fecha en que tal como evidencian los documentos 7 a 11 de la demanda y el documento 13 de la demanda consistente en certificado expedido por la propia IBERCAJA obrante como acontecimiento 14 del procedimiento, se puso de manifiesto que el día 10, además de ese traspaso de cuentas, también se había producido una operación consistente en la modificación al alza de los límites de la tarjeta de crédito de la demandante, nada menos que de mil a 4500 euros, seguida de un cargo por importe de 4250 euros) cuando la entidad demandada se negó a devolver cantidad alguna con diversos pretextos, entre otros el que ahora se alega, consistente en que no se ha demostrado la usurpación de la identidad de la demandante y el fraude que en un primer momento, cuando no se habían evidenciado los perjuicios, el banco no tuvo ningún problema en reconocer.

Por otro lado, no está de más recordar que, como ya hemos anticipado conforme al art. 44 del RDL 19/2018, de 23 de noviembre corresponde al banco probar que el usuario del servicio de pago cometió fraude o negligencia grave; es decir, que, si el banco estima que en la reclamación puede existir fraude o engaño del ordenante para beneficiarse de la operación de pago, es el propio banco quien debe de probarlo. Y en este caso hay indico alguno de ello, y sí, como hemos expuesto, de la existencia de la modalidad de estafa o fraude en el que la titular de la cuenta resultó víctima”. (F.D. 2º) [A.M.S].

print

Dejar respuesta

Please enter your comment!
Please enter your name here