Supuesto de hecho.

Don Pepe, titular de una cuenta corriente y de una tarjeta de débito emitidas por BANCO, S.A., recibió el día 23 de diciembre de 2021 un mensaje SMS que, supuestamente, provenía de su propia entidad bancaria. Dicho mensaje, que aparecía insertado en el hilo habitual de comunicaciones legítimas del Banco con el cliente, advertía de un supuesto bloqueo de la cuenta e instaba al usuario a desbloquearla mediante un enlace incluido en el propio mensaje.

Confiando en la veracidad de la comunicación, Don Pepe accedió al enlace proporcionado, facilitando en la web fraudulenta que imitaba a la del Banco sus credenciales de acceso y los códigos de seguridad requeridos. Como consecuencia directa de esta maniobra de spoofing o smishing, se realizaron dos cargos en su tarjeta de débito por importes de 900 euros y 480 euros respectivamente, ambos a favor de una compañía no identificada por el usuario ni autorizada por éste en ningún momento.

Ante la evidencia de que se trataba de una operación no autorizada y fruto de un engaño orquestado por un tercero, Don Pepe comunicó de forma inmediata a la entidad bancaria los hechos y reclamó la devolución de los importes adeudados, todo ello en el plazo legalmente establecido para notificar operaciones no consentidas, tal como dispone el artículo 43 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera.

Pese a la reclamación y a la obligación legal del proveedor de servicios de pago de restituir de inmediato el importe de operaciones no autorizadas —conforme establece el artículo 45 del citado Real Decreto-ley—, la entidad bancaria demandada se negó a reintegrar los fondos, argumentando que la operación fue posible debido a una actuación negligente del propio cliente, quien habría facilitado voluntariamente sus credenciales a un remitente desconocido.

El cliente sostiene, por el contrario, que en ningún caso prestó consentimiento válido para dichas operaciones, ya que su voluntad se vio viciada por el engaño cometido a través de una técnica de phishing altamente sofisticada y que la entidad bancaria incumplió las obligaciones de seguridad reforzada exigibles conforme a la normativa vigente, entre ellas la remisión de códigos de verificación y la aplicación de límites de gasto. De hecho, el contrato suscrito por Don Pepe con la entidad contemplaba expresamente medidas de seguridad complementarias, como el envío de un código SMS de confirmación para validar compras por internet, código que nunca fue recibido ni solicitado para las operaciones litigiosas.

Asimismo, el cliente denuncia que la entidad permitió que se superara el límite de gasto diario establecido para su tarjeta, fijado en 1.200 euros, alcanzando los cargos fraudulentos la cifra total de 1.380 euros en cuestión de minutos y dejando el saldo de la cuenta prácticamente a cero, sin que se activaran alertas ni bloqueos automáticos pese a la naturaleza inusual de las operaciones.

Por todo ello, Don Pepe interpuso Demanda en reclamación de la cantidad de 1.380 euros, más los intereses legales desde la reclamación extrajudicial, solicitando además la expresa condena en costas a la parte demandada. Por su parte, BANCO, S.A. se opuso a la Demanda, interesando su desestimación íntegra con imposición de costas a la actora, negando haber incurrido en incumplimiento contractual o falta de diligencia y atribuyendo la responsabilidad exclusiva a la conducta del demandante, al considerar que actuó con negligencia grave al facilitar sus datos de acceso a un tercero.

Finalmente, en primera instancia se dictó Sentencia estimatoria de la Demanda, apreciando la responsabilidad cuasi objetiva de la entidad bancaria por no haber demostrado que la operación fuera consentida ni que existiera negligencia grave por parte del usuario, conforme a la normativa de servicios de pago y a la doctrina consolidada sobre la diligencia exigible a las entidades financieras en la prevención de fraudes mediante técnicas de suplantación de identidad.

Objetivo. Cuestión planteada.

Que se condene al banco a pagar la cantidad de 1.380,00 euros, más los intereses.