La Audiencia Provincial de Asturias sostiene que las entidades bancarias deben demostrar que las operaciones de pago fueron “autenticadas”, registradas “con exactitud y contabilizadas”, sin que se vieran afectadas por un fallo técnico u otra deficiencia del servicio prestado en aquellos casos en los que los usuarios mantengan que una operación de pago ya ejecutada no fue autorizada o se realizó de manera incorrecta.
Con esta argumentación, la Sección Quinta ha dado la razon a M.P.P.A., de 78 años, para recuperar los 14.994,96 euros que tenía en su cuenta abierta en Unicaja y que fueron retirados el 12 de junio de 2022 a través de tres cargos consecutivos que la usuaria insistía en que no había realizado, ni autorizado.
La sentencia, contra la que cabe interponer un recurso de casación ante el Tribunal Supremo (TS) abre un precedente importante en casos similares.
Las alegaciones
La titular de la cuenta alegaba que ni tenía banca a distancia, ni había autorizado la retirada de ese dinero.
Por su parte, la entidad bancaria incidía en que en esa cuenta figuraba como autorizada su hija, que sí operaba online y a la que responsabilizaba de esos tres cargos -por importe de 4.998,52 euros 4996,59 euros y 4999,85 euros- y rechazaba cualquier tipo de responsabilidad sobre esta operación que daba por válida.
M.P.P.A. recurrió entonces al asesoramiento del abogado Gonzalo Botas, quien entabló un pleito contra Unicaja para reclamar la cuantía económica que había sido retirada de la cuenta y que consideraba que había sido de forma fraudulenta.
El letrado negaba que la hija de su clienta hubiera sido la autora de esos cargos y descartaba igualmente que hubiera facilitado las claves y contraseñas a terceras personas.
Unicaja se defendió argumentando que los cargos se produjeron a través del servicio de banca a distancia y más, en concreto, del móvil titularidad de la hija, de quien aseguraba que “había actuado negligentemente al proporcionar a tercero las claves informáticas para actuar sobre la cuenta”.
La decisión judicial
El caso recayó en el Juzgado de Primera Instancia número 1 de Pravia que, el pasado 21 de enero, estimaba íntegramente la demanda interpuesta por la clienta.
La entidad bancaria interpuso un recurso de apelación contra la sentencia ante la Audiencia Provincial de Asturias al atribuir el resultado patrimonial negativo al proceder negligente de la hija de la usuaria de la cuenta y, ahora, el tribunal de la Sección Quinta ha desestimado este recurso y ha confirmado íntegramente la resolución judicial de primera instancia.
En consecuencia, la Audiencia condena a la entidad a abonar a la demandante la cantidad de 14.994,96 euros, aumentada en el interés legal por mora desde el 18 de junio de 2022.
La argumentación del tribunal
Para llegar a esta sentencia condenatoria, el tribunal ha tenido en cuenta la dictada por el Tribunal Supremo (TS) el pasado 9 de mayo que concluye que el usuario de servicios de pago debe adoptar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas y, en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, ha de notificarlo al proveedor de servicios de pago de manera inmediata, tan pronto tenga conocimiento de ello.
En caso de que se produzca una operación de pago no autorizada o ejecutada incorrectamente, si el usuario de servicios de pago se lo comunica sin demora injustificada, el proveedor “debe proceder a su rectificación y reintegrar el importe de inmediato, salvo que tenga motivos razonables para sospechar la existencia de fraude y comunique estos motivos por escrito al Banco de España”, expone.
Demostrar la operación
Asimismo, cuando un usuario niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, según esta resolución judicial, “incumbe al proveedor la carga de demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago”.
El tribunal pone de manifiesto que el mero hecho del registro por el proveedor de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones, “correspondiendo al proveedor la prueba de que el usuario del servicio de pago cometió fraude o negligencia grave”.
Acreditar su autenticación
Es decir, la responsabilidad del proveedor de los servicios de pago, en los casos de operaciones no autorizadas o ejecutadas incorrectamente, tiene carácter “cuasi objetivo, en un doble sentido”.
En primer lugar, notificada la existencia de una operación no autorizada o ejecutada incorrectamente, el proveedor debe responder salvo que acredite la existencia de fraude.
En segundo lugar, cuando el usuario niegue haber autorizado la operación o alegue que ésta se ejecutó incorrectamente, corresponde al proveedor acreditar que “la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio, sin que el simple registro de la operación baste para demostrar que fue autorizada ni que el usuario ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave”, añaden los magistrados.
La responsabilidad
La Audiencia Provincial concluye que la entidad bancaria como prueba de su alegato se limitó a incorporar un documento “unilateralmente confeccionado sobre la trazabilidad de las operaciones litigiosas, y si bien, dadas las circunstancias concurrentes es lo más plausible que el modo defraudatorio empleado por el tercero fue el telemático, eso no es prueba suficiente para exonerar a la entidad recurrente de responsabilidad”, dice la Sala para argumentar la desestimación del recurso de apelación.
Botas destaca la relevancia del fallo
El abogado Gonzalo Botas ha destacado la importancia de este fallo que, según subraya, coincide en la franja temporal con la entrada en vigor de la reforma por la que se obliga a los bancos a identificar y comprobar los destinatarios de las transferencias.
“En este caso, la entidad financiera no demostró la negligencia de mi mandante, porque no la hubo”, corrobora.
Los cargos se produjeron en pleno desarrollo del proceso de fusión entre Unicaja y Liberbank, por lo que las disposiciones fraudulentas se produjeron por un fallo en los sistemas de seguridad del banco y no por negligencia del usuario y, por tanto, Unicaja no puede trasladar su obligación de protección al consumidor
A juicio del letrado, la entidad bancaria presentó a la vista oral “impresiones que no son documentos adverados, ni auténticos, ni autenticados, son meras impresiones de pantalla, deslavazadas, inconexas y que no prueban absolutamente nada”.
Gonzalo Botas resalta el hecho de que los cargos se produjeron “en pleno desarrollo del proceso de fusión entre Unicaja y Liberbank”, por lo que entiende que “las disposiciones fraudulentas se produjeron por un fallo en los sistemas de seguridad del banco y no por negligencia del usuario y, por tanto, Unicaja no puede trasladar su obligación de protección al consumidor”.
El posicionamiento de Unicaja
Eldiario.es Asturias se ha puesto en contacto con Unicaja para conocer su valoración sobre esta resolución judicial. Un portavoz de la entidad bancaria ha ratificado que aún no tiene notificación de la sentencia, pero ha indicado que, en cualquier caso, “al tratarse de un proceso judicial y de datos particulares de clientes, no es política de la entidad pronunciarse al respecto”.
“De todos modos, sin querer entrar en el detalle ni en cuestiones particulares, insistimos, como hemos dicho en otras ocasiones, en que no se puede hablar de fallos ni de brecha en los sistemas de seguridad de Unicaja, ni de que la entidad facilite datos o información de clientes, sino que se produce una interacción directa entre el ciberdelincuente y la víctima, que es quien, al facilitar al ciberdelincuente sus claves, permite la actuación fraudulenta”, aseguran desde la entidad bancaria.
La interacción
Su portavoz ha recalcado que “esa interacción tiene lugar fuera de los sistemas del banco y por mucho que las entidades desplieguen, como lo hacen, una intensa actividad para detectar actividades delictivas, no es posible evitar que se produzca esa interacción y que el propio cliente acabe facilitando sus contraseñas y claves al delincuente”.
Unicaja nunca pide al cliente por teléfono, SMS o email las claves de acceso a la banca digital ni datos confidenciales. Además, viene realizando una labor constante y reiterada de alerta y de concienciación mediante la publicación de información referente a nuevas modalidades de fraude online, tanto en redes sociales como en otros soportes, reforzando una serie de pautas para evitar ser víctimas de los ciberdelincuentes
Una labor de alerta
Unicaja recuerda que las ciberestafas son un fenómeno que afecta de forma frecuente a clientes de todo tipo de empresas y sectores, como ponen de manifiesto las fuerzas de seguridad o las instituciones de ciberseguridad, y que también sucede en otros países.
“Hay que tener presente -incide su portavoz- que Unicaja nunca pide al cliente por teléfono, SMS o email las claves de acceso a la banca digital ni datos confidenciales. Además, la entidad viene realizando una labor constante y reiterada de alerta y de concienciación mediante la publicación de información referente a nuevas modalidades de fraude online, tanto en redes sociales como en otros soportes, reforzando una serie de pautas para evitar ser víctimas de los ciberdelincuentes”.