Nueva sentencia favorable por phishing bancario frente a CAIXABANK

Iñaki Iribarren García, socio director en IRIBARREN ARTOLA Abogado, nos informa de la Sentencia estimatoria integra sobre phishing bancario contra Caixa.

 

Que estimando la demanda presentada por la Procuradora Natividad Izaguirre Oyarbide, en nombre y representación de XXXXXXXXXXX contra CAIXABANK SA, declaro incumplimiento por la demandada del contrato de tarjeta con número XXXXXXXX, contrato de cuenta corriente asociada a la tarjeta con número XXXXXXXXXXXXXXXXXX junto con sus anexos de servicios de pago y contrato de Banca a Distancia, y declaro la responsabilidad de la entidad CAIXABANK SA en la incorrecta ejecución de las operaciones realizadas contra la cuenta de la actora correspondientes a: 800euros VERSE 06/07/2022; 2849euros MEDIAMARKT.BE 06/07/2022

Declaro que se han producido a la actora daños y perjuicios por importe de 3.649€ correspondientes a los cargos en cuenta por las dos operaciones no autorizadas.

Condeno a CAIXABANK SA a abonar a XXXXXXXXXXXXXXXXXX el importe de los daños y perjuicios causados, valorados en la cantidad de 3.649€, junto con los intereses legales de dicha cantidad desde la fecha

Doña Ángela Fernández Zabalegui, Magistrada-Juez de Adscripción Territorial de Navarra adscrita al Juzgado de Primera Instancia nº 4 de Pamplona/Iruña, ha estimado íntegramente la demanda.

La juzgadora entiende que

“ En el caso que nos ocupa el demandante facilitó "a tercero" los datos y credenciales de su tarjeta bajo fraude por suplantación de la entidad demandada.  

Es decir, en tal momento, en la creencia de que no se trataba de ningún "tercero". La norma obliga al usuario a tomar "todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas" (art. 41.a LSP), y esa razonabilidad legalmente exigida no puede evaluarse a posteriori, sino en el momento del phishing, cuando el demandante fue engañado por medio de la suplantación, por el tercero estafador, de la identidad y aplicación informática de la entidad bancaria.

Destaca el recurso de apelación que el propio Sr. Desiderio reconoció en juicio su "negligencia", pero es que como ha quedado visto en palabras de la Directiva, no basta con cualquier falta de diligencia o precaución en la custodia de las credenciales personales, sino que debe darse una conducta significativamente negligente.

De esta forma, "grave" sería la negligencia de quien toma la iniciativa a la hora de desproteger sus credenciales, o la negligencia de quien hace entrega de los datos y credenciales a un tercero que se muestra claramente como tal, como ajeno a la entidad bancaria mediante signos y evidencias suficientes de tal ajenidad.

Pero no ostenta la misma "gravedad" relevante la negligencia de quien no actúa por iniciativa propia sino arrastrado por comportamiento fraudulento de tercero, mediante un mecanismo de fraude muy específico y complejo, y de difícil detección, en el que es fácil ser víctima de un engaño ante la apariencia y creencia de oficialidad de la entidad, sin embargo fraudulentamente aparentada por suplantación, sin que se aprecie en ello una cualificada negligencia.

Como afirma la SAP Pontevedra 623/2022, de 1 de diciembre, "En interpretación de directiva 2015/2366, la negligencia que hace responder al cliente es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que haya podido ser inducido por un delincuente profesional.

Como parámetro del actuar negligente también cabrá acudir al art. 1.104 CC, que exige la diligencia asociada a la naturaleza de la obligación y a las circunstancias personales, de tiempo y lugar. Ello destacándose la complejidad y grado de perfección que presenta en la actualidad el método de "phishing" de difícil detección por persona de formación media, así como el deber de la proveedora del servicio de dotarse de tecnología suficiente y adecuada con exigencia de medidas implantadoras activas, sin entenderse suficientes avisos generales o en página web de mero carácter informativo o divulgativo -por todas, SS. AP Pontevedra (Secc. 6ª) 21.12.21 y Madrid (20ª) 20.5.2022 , en la línea de lo razonado en SS. AP Valencia (6ª) 13.6.2022 , Granada (5ª) 20.6.2022 y Badajoz (3ª) 21.6.2022 -".

En última instancia, alude la recurrente a que la circunstancia personal de ser el demandante agente de la Policía Foral redundaría en la valoración de la gravedad de la negligencia, toda vez que en tal condición profesional debería ser conocedor de las alertas y recomendaciones de seguridad contra el phishing publicitadas por el propio cuerpo policial.

Sin embargo, cabe compartir con la sentencia apelada que se trata de una alegación absolutamente genérica, pues no se ha profundizado en las funciones profesionales asignadas al demandante -sin demostrar, en particular, que haya trabajado en el grupo de ciberdelincuencia- como tampoco se ha concretado el grado de conocimiento personal adquirido por tales advertencias, que a falta de prueba es el mismo conocimiento común y general de toda la ciudadanía, y que no es un conocimiento que exonere de sus responsabilidades a la entidad demandada (como tampoco lo hace, según reiterada jurisprudencia bien citada en la sentencia apelada, la información que en ocasiones las propias entidades facilitan a sus clientes sobre prevención de este tipo de fraudes).

Por todo lo expuesto procede la desestimación del recurso de apelación, toda vez que compete a la entidad bancaria que pone a disposición de su cliente instrumentos de pago y contratación electrónica el adoptar las medidas de seguridad necesarias para garantizar la plena autenticación de la operación, que ha de incluir la efectiva identidad del ordenante, debiendo asegurar y garantizar que la autorización de la operación provenía efectivamente del cliente titular de la tarjeta, lo que no demuestra haber supervisado ni verificado debidamente en este caso.”

De lo expuesto, y compartiendo la argumentación expuesta por la SAP de Navarra referenciada, se debe concluir que nos encontramos ante dos operaciones no autorizadas por la actora, que no fueron realizadas por su negligencia grave, por lo que la responsabilidad de las mismas recae en el proveedor del servicio de pago, CAIXABANK SA.

Por lo que procede la estimación íntegra de la demanda, declarando el incumplimiento contractual de la demandada, así como condenando a la demandada al pago a la actora de la cantidad de 3.649€, más sus intereses legales de dicha cantidad desde la fecha de su cargo en cuenta, incrementados en dos puntos desde la fecha de esta resolución y hasta su completo pago.”

Espero que les haya gustado el artículo, pronto publicaremos más noticias o artículos con las principales novedades en derecho del consumidor y bancario.

Nuestro despacho IRIBARREN ARTOLA Abogados es especialista en derecho del consumidor y bancario, llevamos años defendiendo los intereses de nuestros clientes, consiguiendo posicionarse como uno de los mejores despachos de abogados en Navarra, País Vasco, La Rioja y Aragón.

Si tienen cualquier duda o quieren consultar con nosotros, pónganse en contacto con nuestro despacho solicitando cita previa en el 848 473 789 - 660 880 184 o directamente escribirnos al email abogados@iribarrenartola.com.

Pueden visitarnos en nuestra página web, conocernos y ver nuestra metodología de trabajo.

 IRIBARREN ARTOLA ABOGADOSjfif38fef87a-587f-4971-85d0-ced72d11ad13jpg

Iñaki Iribarren García

Socio Director en IRIBARREN ARTOLA Abogados