La Sección 10ª de la Audiencia Provincial de Madrid condena a Banco Santander a devolver a su cliente las cantidades sustraídas a través de phising, al considerar que la responsabilidad de la entidad en este tipo de caso es cuasiobjetiva.
La Sección 10ª de la Audiencia Provincial de Madrid en Sentencia nº 349/2024 de 18 de julio, ha estimado el recurso de apelación presentado por Sacristan&Rivas Abogados en defensa de los intereses de un particular, condenado a Banco Santander a devolver a su cliente las cantidades sustraídas a través de phising, al considerar que nos encontramos ante una responsabilidad cuasiobjetiva y que no procedió a la doble verificación de la operación objeto de fraude.
En relación a la responsabilidad de la entidad, expone la Sala lo siguiente: “A tenor de lo expuesto, salvo la actuación fraudulenta, incumplimiento deliberado o negligencia grave del usuario, la responsabilidad será del proveedor del servicio de pago, lo que supone que a él le corresponde la carga de la prueba de que la orden de pago » no se vio afectada por un fallo técnico o cualquier otra deficiencia». La interpretación efectuada por la Juzgadora a quo de la Ley 16/2009, de 13 de noviembre, de servicios de pago, no es acorde con la literalidad de la norma ni con el espíritu y finalidad de la misma (ex. art. 3 CC), al no estimar la responsabilidad de la entidad bancaria, considerando que se produjo una correcta prestación del servicio de banca online y que el sistema fue genéricamente seguro, pero como es evidente no lo fue en el presente caso. La entidad bancaria debe dotar a la banca electrónica de las medidas de seguridad necesarias para prevenir unos tipos de fraude ya muy extendidos y que, como lo prueba el supuesto que nos ocupa, siguen produciéndose por falta de una medida adecuadas por las entidades bancarias, que ponen a disposición de sus clientes la banca online y la contratación electrónica como dotados de una seguridad que no garantizan”.
De acuerdo con la prueba practicada, concluye la Audiencia: “ Como se aduce en la sentencia apelada, no podemos calificar la posible negligencia de la demandante en la conservación de sus claves como «grave» en ningún caso. Estamos ante un tipo de fraude muy específico del que es fácil ser víctima, sin que ello implique una actuación negligente del cliente, dado lo bien articulada en su ejecución que está esta modalidad de fraude. Como ha quedado acreditado del informe pericial aportado como documento 8 de la demanda, emitido por el Ingeniero Superior en Informática (…), no solo no existe una actuación de grave negligencia en el actor, sino que la actuación negligente de la entidad bancaria demandada es clara, ante la existencia de evidencias de fraude que debieron activar sus sistemas de protección, al existir cargos no habituales y por el concepto KRAKEN EXCHANGE, cuando no consta que el cliente realizara operaciones en el extranjero. Según el informe pericial, existen irregularidades en el sistema de seguridad “3D SECURE”, por cuanto en el propio certificado REDSYS, aportado como documento 1 de la contestación, consta “Dispositivo o entidad que autentifica al cliente no identificado”, por lo que al no identificar el dominio no debió autorizarse la operación, es decir, en contra de lo que se ”. afirma por la apelada, no se cumplió con la medida de seguridad de doble autentificación.
Sobre las consecuencias de la apreciación de responsabilidad, apunta la Sentencia: “Entiende la Sala que la entidad bancaria actuó sin tomar las medidas de diligencia y seguridad exigidas y la consecuencia del incumplimiento es la obligación de devolver de inmediato el importe de la operación, lo que al no efectuarse de inmediato supone un nuevo incumplimiento. El recurso de apelación debe ser estimado y revocada la sentencia apelada, en el sentido de estimar la demanda y declarar que la demandada ha sido negligente en el cumplimiento de sus obligaciones contractuales, con la consiguiente condena a indemnizar al actor en los perjuicios causados, que se cifran en la suma de 11.635 euros, más los intereses legales y las costas procesales.”
Sacristán&Rivas Abogados recomienda a todos aquellos que hayan sido víctimas de un ciberfraude, acudir, tan pronto sea posible, a expertos cualificados en la materia para la realización de un estudio del caso concreto y de las posibilidades de defensa, estando este Despacho especializado en este tipo de reclamaciones y a su disposición a tales efectos.