JURISPRUDENCIA SOBRE PHISHING
Órgano | Audiencia Provincial Valladolid |
Fecha | 19/10/2022 |
Sentencia número | 689/2022 |
Resultado | Condenatoria |
Importe | 4.469,81€ |
Entidad | BANCO SANTANDER, SA |
Resumen:
La sentencia de instancia ha apreciado responsabilidad en la entidad bancaria a consecuencia de las actuaciones verificadas por tercero o terceros desconocidos que, tras obtener las claves de acceso a la cuenta asociada a la tarjeta de crédito, detrajeron en tres operaciones verificadas los días 23 y 26 de junio de 2020, el importe de 4.469,81, al tiempo que ampliaban el límite de disposición contractual.
La realidad de prácticas delictivas como el referido ” phising”, hace exigible aumentar las medidas de seguridad específicas. No basta con medidas genéricas de protección o avisos estereotipados de cuidado, sino que “la seguridad de las operaciones bancarias precisa de soluciones tecnológicas avanzadas a los efectos de garantizar tanto la autenticidad como la integridad y confidencialidad de los datos”, sin que se repute suficiente los avisos genéricos de los bancos, a través de su web, que ostentarían la calificación de ” formulas predispuestas”, vacías de contenido.
En el supuesto enjuiciado, se llevaron a cabo tres transferencias mediante órdenes giradas a la entidad y simultáneamente una ampliación del límite máximo disponible, sin que conste que se haya desplegado por la entidad bancaria otra actuación de advertencia acerca del posible riesgo de la captura de datos por terceros más de la información estereotipada que consta en su página web que informa de la eventualidad de este tipo de prácticas.
Pese a que no se ha aportado el concreto email que recibió la actora en su terminal móvil mediante el cual se le solicitaban los datos personalizados de acceso a la cuenta, no se ha controvertido por la entidad bancaria que los movimientos que se reflejan en la cuenta de la que es titular la actora sean fraudulentos, siendo así que la dinámica habitual en este tipo de acciones se realiza mediante actos de emulación con apariencia de autenticidad reproduciendo las fórmulas que suelen utilizarse en las comunicaciones con los clientes a través de la banca on line.
Precisamente la facilidad y sencillez en el manejo de este tipo de datos conlleva el riesgo del fraude electrónico, sin que sea exigible al cliente medio un conocimiento informático sobre las eventuales técnicas de apropiación de sus datos personales, expuestos en la red en aras de posibilitar la agilidad y tratamiento masivo de transacciones electrónicas.
_____________________________________________________________________
Órgano | Audiencia Provincial Zaragoza |
Fecha | 01/07/2022 |
Sentencia número | 804/2022 |
Resultado | Condenatoria |
Importe | 11.357,22€ |
Entidad | IBERCAJA BANCO SA |
Resumen:
La transferencia es un servicio que forma parte del servicio de caja, es un medio de pago consistente en una orden dada al banco por el cliente a fin de que, con cargo a su cuenta abone un determinado importe a un beneficiario o al propio ordenante. Por tanto, es una ejecución de obligaciones contractuales, un mandato ( art. 254 C.co), cuya forma de emisión deberá constar en el contrato de cuenta corriente, y -en su caso específicamente en el de servicios de banca electrónica. Por eso, reitera la citada sentencia ( S.A.P. Alicante, Secc. 8ª 107/2018), “Tanto en banca telefónica como por internet, el proveedor de servicios de pago, o lo que es lo mismo, el banco emisor, debe implementar las medidas necesarias para asegurar la autenticación e identidad del ordenante a la hora de prestar su consentimiento” En caso contrario, le corresponde a dicha entidad la devolución de lo ilícitamente obtenido de la cuenta del cliente.
No basta, pues, con medidas genéricas de protección o avisos estereotipados de cuidado, sino que -sigue razonando la SAP Alicante 8ª, 107/2018- la seguridad de las operaciones bancarias precisa de soluciones tecnológicas avanzadas a los efectos de garantizar tanto la autenticidad como la integridad y confidencialidad de los datos. Considera que los avisos genéricos de los bancos, a través de su web, no suplen los deberes contractuales de las partes, ni la implementación de medidas de seguridad eficaces. Tales avisos ostentarían la calificación de ” formulas predispuestas”, vacías de contenido. No son los clientes los que deben prevenir ni averiguar las modalidades de riesgos que el sistema conlleva, ni prevenir con su asesoramiento experto dichos riesgos. No se puede objetar al usuario que debía conocer aspectos técnicos tales como identificar una web falsa (salvo supuestos de evidente falsedad) u otros fallos técnicos. Así, es habitual la existencia de varios niveles de protección (código de usuario y contraseña, tarjera de coordenadas y comunicaciones con el cliente) advirtiéndole de las operaciones a fin de que pueda tomar conocimiento inmediato y eficaz en caso de fraude.
UNDÉCIMO.- En el caso que nos ocupa, un vecino de la localidad de Monzalbarba, sin especiales conocimientos informáticos, que en 2018 sufrió un ictus, del que parece ser ya recuperado, mayor de 60 años, suscribió con Ibercaja el 3 de abril de 2019 (no consta firma del cliente) un contrato de tarjeta Ibercaja, un cuya Condición General 5ª dice que se obliga a adoptar cuantas precauciones sean convenientes para evitar el conocimiento o la utilización del PIN por terceras personas. La tarjeta tenía un límite de disposición de 1000 Euros diarios, según dijo la directora de la sucursal (no consta este dato, salvo error, en el contrato). El contrato de cuenta corriente es de 1993, y el de “Ibercaja Directo” de 2-10- 2007. No constan más advertencias al usuario. Ni personales ni genéricas. La testigo, directora de la sucursal, sí afirmó que a la firma del contrato (parece ser que de “banca on line”) se le entregó un documento informando sobre posible delitos o riesgos. Nada de esto consta. Ni siquiera el modelo de dicho documento informativo. Por fin, no existe discrepancia, son datos objetivos, de que, después de recibir un correo electrónico encabezado por las palabras “From: Ibercaja particulares” el 20-1-2020, se le redireccionó a otra página web en la que se le pidieron datos de su tarjeta, previa advertencia de que tenía que activar nuevo sistema de seguridad web. Y a partir de entonces se realizaron 78 operaciones con la cuenta del cliente y se firmó electrónicamente un préstamo de 12.000 Euros. Sólo el 22-1-2020, fue avisado por el banco, momento en el que en la propia sucursal y a la presencia del cliente, se descubrió la situación que nos ocupa. No constan operaciones del cliente a través de banca on line, salvo consultas de movimientos los días 13-9-2019, 4-10-2019, el 6-11-2019, 20-11-2019, 28-11-2019, 19-12-2019 y 18-1-2020.
DUODÉCIMO.- En estas coordenadas, lo cierto es que la página empleada para defraudar puede considerarse poco sofisticada. Sin embargo, hay que valorar la condición del cliente y las advertencias de quien comercializa un producto que tiene riesgos evidentes. No consta sino una advertencia contractual genérica y estereotipada No hay advertencias de no respuesta a páginas de “Ibercaja” que no contengan determinados condicionantes. Tampoco prohibición alguna de no ofrecer las claves ni siquiera a la propia “Ibercaja”. La carga de esta prueba recae, sin duda, en la prestadora del servicio de pago por ella ofertado. Pero, dando un paso más, la entidad carecía de medidas de seguridad exigibles razonablemente. Así, avisar de que se había modificado on line los límites de disponibilidad de la tarjeta de 1.000 Euros a más de 7.000, siete veces más. Avisar del contrato de préstamo electrónico en el momento de la suscripción. Tanto en uno y otro supuesto a través de correos SMS, que hubieran permitido una reacción más temprana. Esas anomalías o excepcionalidades de uso de la tarjeta o de la banca electrónica, aunque -parece ser permitidas en el contrato, deberían de haber sido objeto de una “alerta inmediata” que no existió.
DÉCIMOTERCERO.- Por tanto, una ausencia de autenticación reforzada de ese tipo de operaciones, con un comportamiento no fraudulento del cliente, conduce a la obligación de devolver lo indebidamente extraído por terceros. Que es lo pedido en la demanda y lo concedido en sentencia. La nulidad del préstamo contratado por terceros fraudulentamente y la devolución de las cantidades extraídas del patrimonio del actor a través de la cuenta contratada con la demandada, así como la indemnización propia de la privación del dinero: los intereses legales desde dicha privación ( arts 1100, 1101, 1108 y concordantes del C. civil).
_____________________________________________________________________
Órgano | Audiencia Provincial Granada |
Fecha | 20/06/2022 |
Sentencia número | 212/2022 |
Resultado | 7.811,68 euros |
Importe | Condenatoria |
Entidad | CAJA RURAL DE GRANADA, S.C.C. |
Resumen:
SEGUNDO.- Aunque se impugna por la apelante la valoración de la prueba, realmente vienen a asumirse los hechos que se declaran probados en la sentencia apelada, con arreglo los cuales: 1º.- En fecha 15 de octubre de 2019, doña Aurelia concertó con “Caja Rural de Granada Soc. Coop. de Crédito” contrato de tarjeta de débito para consumidores, con tarjeta número NUM003 , vinculada a la cuenta número NUM004 , cuyo titular es don Jesús María , padre de doña Aurelia . 2º.- El 21 de marzo de 2020 Aurelia recibió un correo electrónico en su teléfono móvil desde Ruralvia Caja Rural, con el hashtag “#estimadocliente”, por el que se le informaba de que “por razones de seguridad hemos bloqueado su tarjeta temporalmente. Para activar su tarjeta nuevamente le invitamos a hacer clic en el enlace a continuación#”. El correo electrónico fue recibido el sábado 21 de marzo a las 16,18 horas, desde una dirección identificada como “Ruralvia Caja Rural ” . 3º.- El límite diario para disponer en compras con la tarjeta de débito es de 6000 € , y la actora, tras recibir el correo electrónico, procedió a acceder a la página que le dirigió el enlace, identificándose y procediendo a dar todos sus datos de identificación, tales como número de usuario, DNI y contraseña y firmar el cambio con la clave de firma. 4º. Finalmente fueron sustraídas de la cuenta asociada las cantidades de 1.500 €, 500 €, 1.016,47 €, 1.016,47 €, 1.016,47 € y 965,65 € sucesivamente. El beneficiario de las dos primeras operaciones es MYPOCKET.IO, y en las cuatro restantes SWISS BANKERS AG. Posteriormente volvieron a realizar otra transferencia desde la cuenta de don Jesús María a la de doña Aurelia , por importe de Mil Trescientos Euros (1.300 €), así como dos nuevas compras a través de internet por importe de 1.539,96 € y 256,66 €, cuyo beneficiario volvió a ser SWISS BANKERS AG. El total defraudado asciende a la cantidad de 7.811,68 €. 5º. La actora explicó que “pinchó” el enlace y le pidieron sus datos, rellenando los mismos un domingo y que no se dio cuenta del fraude hasta el martes. Respecto a estos hechos solo aclararemos que los defraudadores accedieron a la cuenta bancaria de Don Jesús María , desde la que realizaron una transferencia por importe de seis mil Euros (6.000 €) hasta la cuenta de su hija Dª Aurelia , y posteriormente las seis compras a través de internet referidas; y una segunda transferencia de 1300 € y dos nuevas comparas por importe de 1.539,96 € y 256,66 €, cuyo beneficiario volvió a ser SWISS BANKERS AG.
En dicha sentencia se considera cuestiones nucleares la concurrencia o no de negligencia por la usuaria y el cumplimiento o no de las obligaciones contractuales exigibles a proveedora del servicio de pago por internet, siendo indiscutida la existencia de una actuación defraudatoria por un tercero; y acaba imputándose a la entidad demandada falta de control exigible al materializar hasta ocho transferencias en las que se procedía a realizar supuestas compras en páginas extranjeras de dudosa identificación, considerando que lo lógico hubiera sido aceptar la primera o segunda de las operaciones, pero al observar la continuidad de las mismas suspender o paralizarlas evitando la sangría de las operaciones de transferencia inconsentidas, por lo que concluye que, aunque también concurra negligencia de la cliente, debe responder la entidad bancaria, porque, si bien no está obligada a controlar todos y cada una de las operaciones bancarias que a través de internet o por cualquier otro medio se realicen, sí que es exigible ese control en aquellas que resulten más evidentes, como es el caso, en el se le permitió al defraudador realizar numerosas transferencias o pagos llegando a superar el límite de disposición de 6000 euros, lo que se dice que a ” todas luces revelaba una operación defraudatoria”. Con arreglo a las sentencias a la que remite y al marco jurídico desde el que, en línea con éstas, enfoca la cuestión, hay que deducir que considera concurrente una negligencia no grave por parte de la cliente y un déficit de medidas de seguridad por parte de la apelante, quedando identificados en dicha sentencia, en cualquier caso y contrariamente a lo que se sostiene en el recurso, los criterios de imputación de responsabilidad a “CAJA RURAL DE GRANADA”, tal y como ha quedado expuesto; siendo el caso que se declara expresamente que no se superó el límite diario de disposición de 6000 €, si bien sí se estima concurrente la especial exigibilidad de control porque se superarse esa cantidad con la sucesiva realización de operaciones en un corto espacio de tiempo.
Este procedimiento fue el utilizado en el caso, propiciando las dos transferencias o traspasos no autorizadas entre las cuentas de los demandantes, al hallarse asociada la de D. Jesús María a la de su hija, Dª Aurelia , e igualmente las compras tampoco autorizadas y las transferencias de los importes del precio a las entidades referidas; sin que conste ni se haya alegado por la apelante que dichas operaciones fuesen sometidas a un procedimiento de autenticación reforzada, a pesar de que, como se dice en la sentencia apelada, suponen una sucesión de operaciones singulares por su cuantía en el contexto de lo que venía siendo habitual en la operativa de dichas cuentas asociadas al uso de la tarjeta, puesto que, si bien no superaban el límite diario, sí se distanciaban notablemente de lo que era la media de reiteradas transacciones anteriores, y, además, se realizaron desde un teléfono también distinto a los designados en el contrato de tarjeta, por lo que, siendo evidente que los actores no concurren como partícipes dolosos en la defraudación, es exigible a la apelante la responsabilidad patrimonial cuasi objetiva legalmente establecida, que, obviamente, supone un paso más en la protección al consumidor que el previsto en el art. 148 del Texto Refundido de la Ley para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, aprobado por el Real Decreto Legislativo 1/2007, de 16 de noviembre, puesto que viene a excusar al consumidor de la negligencia en que pueda haber incurrido por facilitar sus datos personales y claves de confirmación o firma electrónica en virtud de la acción defraudatoria de terceros, habida cuenta que el propio recurso de apelación se sustenta en la consideración de que concurre negligencia grave por parte de Dª Aurelia , lo que no excusa dicha responsabilidad en el caso de ausencia de autenticación reforzada; teniendo en cuenta que, por otra parte, tampoco se opone ni concurre demora en la comunicación y denuncia del fraude por parte de los clientes. Procede, por tanto, la confirmación de la sentencia apelada y la desestimación del recurso.
_____________________________________________________________________
Órgano | Audiencia Provincial Valencia |
Fecha | 13/06/2022 |
Sentencia número | 254/2022 |
Resultado | Condenatoria |
Importe | 4.988,05 € |
Entidad | BANCO DE SANTANDER S.A. |
Resumen:
TECERO.- Frente a la decisión del Juzgado, recurre la parte demandada Banco de Santander S.a., , sosteniendo, en esencia, que habría cumplido con sus obligaciones y que las disposiciones fraudulentas se habían producido por la indebida custodia de las contraseñas por parte la actora y de su hija, que era la que efectuaba las gestiones debido a la edad de la titular, y a su escaso dominio de las operaciones telemáticas e informáticas. Por el contrario, la parte apelada comparte los sostiene no solamente que fue objeto de un engaño por un tercero, sino que reprocha que, contactada por los servicios de la entidad Bancaria por sospecha de Phishing, hizo por su parte todo lo indicado, para denunciarlos hechos, y efectuar una denuncia, sin que llegase a recibir otros SMS en su teléfono, pidiéndole confirmación de las operaciones que se realizaron con posterioridad, a el día 28 de abril, salvo aquellas que le comunicaban los cargos ya efectuados en la cuenta.
En el supuesto que nos ocupa es evidente que no nos encontramos ante la posible existencia de una responsabilidad contractual, toda vez que entre el actor y la entidad demandada no existía ninguna relación jurídica real, por lo que debe examinarse si ha concurrido una culpa extracontractual, al amparo de los artículos 1902 y 1903 del código civil , de la que pueda derivarse una obligación indemnizatoria de los daños y perjuicios ocasionados por una conducta negligente llevada a cabo por los empleados de la entidad bancaria.
Y es lo que entendemos que no concurre en el presente caso, pues tal y como razonó la sentencia, ni puede entenderse que la falta de diligencia fuera “grave” por parte de demandante y de su hija, sino que el recurso orilla las manifestaciones de la sentencia en cuanto que refieren a las actuaciones llevadas a efecto por la autorizada en la cuenta de la actora, comunicando con la entidad bancaria el 27 de abril de 2020, y que no fue activado el protocolo antifraude, ni tampoco bloquearon la cuenta antes de que se efectuaran indebidamente los cargos del día 28, que ahora se reclaman, y que no deben imputarse a la hija de la demandante, ni a esta al no haberse acreditado que recibiera el SMS de confirmación del pago en su teléfono y que lo efectuara ninguna de ellas.
_____________________________________________________________________
Órgano | Audiencia Provincial Madrid |
Fecha | 20/05/2022 |
Sentencia número | 184/2022 |
Resultado | Condenatoria |
Importe | 6.090 euros |
Entidad | BANCO SANTANDER S.A |
Resumen:
TERCERO.- La aplicación de la normativa anteriormente indicada al caso presente, nos lleva a estimar la impugnación formulada por el demandante en cuanto, no discutiéndose la forma en que se llegaron a materializar las 6 retiradas de efectivo por un importe total de 6.000 €, iniciadas por una actuación fraudulenta de tercero, no cabe apreciar en el demandante un comportamiento negligente de la gravedad y entidad para con base en el mismo hacerle responsable, ni siquiera de la primera disposición de efectivo realizada con la tarjeta usada de manera fraudulenta por un tercero. Como se indica en la Directiva 2015/2036 la negligencia que le hace responder al cliente, es la que se deriva de una conducta caracterizada por un grado significativo de falta de diligencia, lo que supone que la misma surge o se produce por iniciativa del usuario, no como consecuencia del engaño al que ha sido inducido por un delincuente profesional. Tampoco puede calificarse como grave dicho comportamiento conforme a la normativa del código civil, pues siendo exigible al demandante la diligencia que exija la naturaleza de la obligación y correspondan a las circunstancias de las personas, tiempo y lugar ( art. 1.104 del cc), el método fraudulento empleado – phishing- es de una complejidad y grado de perfección, difícilmente detectable por un cliente de las características del demandante, sin que la forma en que se denominaba al Banco en el SMS recibido o el error gramatical al emplear la palabro “lo” en lugar de “le”, sean errores de entidad suficiente para detectar con base en ellos el fraude de que estaba siendo objeto. En esas circunstancias, era preciso ser un experto en la materia para poder detectar que la comunicación obedecía a una estafa o fraude. Es cierto que dicho comportamiento no puede considerarse diligente, pero para hacer soportar al cliente las consecuencias, aún parciales como se concluye en la sentencia apelada, es preciso apreciar en él una negligencia y que además sea grave, que en la normativa europea antes referida se equipara a la comisión de un fraude, actuación en la que no se ha acreditado incurriese el demandante, por el hecho de haber pinchado el link que se le ofrecía y facilitar los datos y clave de la tarjeta.
CUARTO.- Por el contrario, la responsabilidad exigida a la entidad demandada, como proveedora del servicio, es la que se deriva de la naturaleza de tal prestación y de la posición contractual en la que se encuentran las partes, lo que le obliga a adoptar una serie de medidas de seguridad y dotarse de mecanismos de supervisión que permitieran detectar operaciones fraudulentas en la prestación de servicios de pago, tal como señala el artículo 2 del Reglamento Delegado 2018/389, pues como se indica también en la sentencia citada de la Audiencia de Pontevedra, incluyendo la técnica del phishing, la creación y puesta en la red de páginas que clonan las del sitio oficial de las entidades emisoras de instrumentos de pago, el deber de diligencia de la entidad demandada exigía dotarse de la tecnología antiphishing precisa para detectarlas páginas clonadas de las oficiales propias y cerrarlas o eliminarlas, lo que, de producirse, impediría que el defraudador pudiera hacerse con las credenciales del usuario del instrumento de pago por ella emitido, pues la rotura del enlace del correo electrónico haría ya ineficaz cualquier conducta que frente al mismo pudiera observar el usuario receptor. Dicha actuación diligente no puede considerarse acreditada por las información que se facilita a los clientes a través de su página web, en cuanto la efectividad de esas obligaciones preventivas, lo que requerían era implementar en el sistema informático el mecanismo tecnológico adecuado para evitarlo; es decir mediante una con una conducta activa y no simplemente informativa o divulgativa. De dicha omisión, no puede quedar exonerada por el hecho de que el cliente no tuviera activado el sistema de alarma en la tarjeta utilizada fraudulentamente, pues siendo obligación suya adoptar las medidas de seguridad adecuadas, esa obligación no puede entenderse cumplida con la simple puesta a disposición del cliente, sino que es ella quien debe adoptar una actitud activa para su implantación, no solo ponerla a disposición del cliente. En consecuencia, la demandada incurrió en un incumplimiento de los deberes de diligencia en la prevención del fraude mediante phising, que le hace ser responsable del perjuicio total sufrido por el demandante, pues no podía la entidad desconocer que frecuentemente mediante esa técnica el tercero defraudador utiliza los datos de la tarjeta para activarla en una aplicación de pago de la que tiene dominio, por lo que debiendo conocer que el teléfono desde el que se le había solicitado la activación no se encontraría entre los que hubiera registrado su nombre el demandante en su ficha de cliente, la comunicación del número de terminal telefónico devenía exigible para que aquélla pudiera conocer que era un tercero quien podría disponer de los datos de la tarjeta mediante la aplicación de pago que se activaría.
No habiendo quedado acreditado que la entidad demandada cumplió en la forma que le es exigible los deberes de diligencia en la autenticación de las operaciones de pago, pues ni habría probado haber implementado un mecanismo antiphising de protección de los usuarios de los instrumentos de pago por ella emitidos frente al uso fraudulento por un tercero de páginas imitativas de las propias para hacerse con las credenciales del instrumento, ni habría puesto en conocimiento del usuario los datos necesarios para que este conociera que se trataba de instalar su tarjeta en una aplicación de pago de un terminal de un tercero y no apreciándose que el demandante incurrió en negligencia grave en el cumplimiento de sus deberes de custodia y uso de la tarjeta, ha de declararse la responsabilidad de la entidad demandada como proveedora de los servicios de pago usados de manera fraudulenta por un tercero y por tanto es quien debe responder de las pérdidas sufridas por el demandante con tales operaciones, responsabilidad que se hace extensible a la totalidad de la pérdida, pues en momento alguno anterior a que se realizase la última de las operaciones fraudulentas de pago, la entidad demandada había informado a la demandante del número del terminal telefónico desde el que se estaban realizando las órdenes de pago fraudulentas, ni de circunstancia alguna que hubiera permitido conocer al demandante tal uso fraudulento.
_____________________________________________________________________
Órgano | Audiencia Provincial Vigo |
Fecha | 21/12/2021 |
Sentencia número | 539/2021 |
Resultado | Condenatoria |
Importe | 4.365,30 euros |
Entidad | ABANCA CORPORACION BANCARIA SA |
Resumen:
PRIMERO. Controversia.
7. La señora Sabina solicitó la condena de Abanca Corporación bancaria, S.A., a reintegrarle la cantidad de 4.365,30 euros como saldo de la cuenta asociada la tarjeta de débito que tenía contratada con la entidad del que se habría dispuesto sin su consentimiento mediante el uso fraudulento de los datos del instrumento de pago en veinte operaciones realizadas los días 16 y 17 de mayo de 2020.
8. Abanca reconoció que la demandante había sufrido un fraude informático mediante la técnica del phishing, y alegó, en esencia, que la demandante habría de soportar las pérdidas pues actuó con grave negligencia al recibir el correo fraudulento de phishing, lo que propició que el defraudador pudiera instalar su tarjeta en la aplicación Samsung Pay del terminal del defraudador y que éste pudiera una vez instalada realizar pagos con la tarjeta por importe de 4365,30 euros.
9. En la sentencia dictada en primera instancia se desestimó la demanda al apreciarse, en resumen, que queda acreditada la actuación negligente de la parte actora, debiendo el ordenante soportar todas las pérdidas derivadas de operaciones de pago no autorizadas de conformidad con el inciso final del artículo 46 del Real decreto ley 19/2018 de 23 de noviembre.
10. El recurso de apelación de la demandante se articula en dos motivos. En el primero, invocando error en la valoración de la prueba, alega la inexistencia negligencia grave en la conducta de la señora Sabina . En el segundo, con carácter subsidiario, estima que no debió realizarse condena en costas al concurrir serias y razonables dudas de hecho.
11. La entidad bancaria demandada se opone al recurso de apelación reiterando que la demandante actuó con grave negligencia y que, por lo tanto, no puede reclamar responsabilidad de Abanca con motivo del fraude informático sufrido.
La prueba del fraude del ordenante requerirá de la acreditación de hechos de los que pudiera llegar a inferirse que aquel actuó con engaño para beneficiarse de la operación de pago. La prueba de la negligencia grave del ordenante requerirá de la acreditación de las circunstancias concurrentes en la operación de pago de las que quepa inferir que la misma pudo realizarse porque aquel obró con una significativa falta de diligencia al usar del instrumento de pago o al proteger sus credenciales.
22. Cuando el proveedor de servicios de pago no acredite el cumplimiento de los deberes de diligencia propios en la autenticación habrá de responder de la pérdida resultante del uso fraudulento del instrumento de pago por un tercero salvo que concurra el fraude del ordenante.
_____________________________________________________________________
Órgano | Audiencia Provincial Vigo |
Fecha | 07/04/2021 |
Sentencia número | 113/2021 |
Resultado | Condenatoria |
Importe | 4.632,31 euros, |
Entidad | ABANCA CORPORACIÓN BANCARIA, S.A |
Resumen:
Sexto: A sentenza de instancia aprecia un obrar indilixente severo da demandante con fundamento en tres pilares: A) O primeiro, ao dar por probada a invocación da parte demandada no senso de que “o día 7 de agosto de 2018 a actora recibíu un correo de advertencia na dirección do seu correo electrónico, informándolle de que debía ignorar os correos electrónicos a nome de Abanca que lle pediran a clave da banca electrónica ou lle dirixan a unha web, dado que Abanca nunca pediría ningún dato confidencial nin clave por medio de correo electrónico. Tamén advirte que se detectaran intentos de fraudes informáticos, do tipo Phishing”. B) O segundo, que o correo electrónico recibido dos defraudadores era sospeitoso de toda evidencia. C) E o terceiro, que despois de que a actora facilitara as claves e permitira a aqueles instalar a súa banca móvil, usurpando a súa posición, tería recibido do Banco ata dous SMS, advertindo da operativa e, sen embargo, non realizar ningunha comprobación, nin avisar á entidade nin -continúa razoarse- permanecer atenta aos posibles movementos da conta dado que, en fin, o cargo efectuose tres días despois.
Sétimo: Verbo do primeiro dos argumentos, da advertencia de non facilitar nin a clave da banca electrónica nin outras a través e en contestación a un correo electrónico cómpre puntualizar: A) Que fronte á afirmación da sentenza de instancia, da falta de impugnación do documento de advertencia (e que leva conseguintemente ao órgano xudicial a dalo por auténtico) non debemos esquecer que a parte actora non tivo ocasión procesual de facelo, pois nin houbo Audiencia Previa pois estamos ante un xuízo verbal, nin celebrouse vista. B) Que ignoramos que o envío do correo de data 7 de agosto de 2018 fora con ese contido que se relata e non con outro. C) Por outra banda e finalmente, que descoñecemos a data -e contido- da segunda advertencia. A parte demandada sitúaa no mes de outubro de 2018, pero non expresa o día, polo que podía ser posterior á operación de lite, iniciada o 19 e rematada o 22 do mesmo mes e ano. O argumento non ten a xuízo desta Sala consistencia dabondo.
Oitavo: Tampouco se comparte afirmación, que a xeito de dedución, realiza a xulgadora deprimeiro grao, de que o correo electrónico recibido do cibernauta era evidentementesospeitoso. É verdade que a mensaxe recibida pola actora do ciberdelincuente tiña certaspeculiaridades. Por exemplo, se expresa unha dirección do Banco -supostamente remitentedo correo- con moitos números e letras, máis dos usuais e acostumados, ou que “non temosmembresía”, ou que “solicitamos membresía” ou, en fin, con outras expresións de difícilentendimento. Pero non é menos certo que no correo se menciona o nome, en maiúsculas,de ABANCA, con ese logotipo, e precedido de “departamento de seguridade”, ou quealúdese a un cambio de normativa para as compras con tarxeta de crédito, informándolle enfin – falsariamante, claro- de que non pode utilizar a tarxeta mentres non se operen esescambios. Pero iso non permite deducir sen máis (pois os outros elementos indiciarios deculpa non os apreciamos, reiterámolo) un comportamento culposo grave da cliente. Porresumir o razoamento, o delincuente, avezado nestas lides, é consciente de que se encabezaocorreocoaexpresión”departamentodeseguridade”,precisamente,doBanco,expresando o nome deste e unha dirección electrónica, vai mover a confianza do cliente naautenticidade damensaxerecibida.
Noveno: Por último, o feito de que, despois de que a clienta contestara ao correo do defraudador, e de que este clonara a banca electrónica daquela, o Banco lle remitira dous SMS, non era indicativo -fronte a o deducido pola entidade bancaria e a sentenza de instancia- de sendas advertencias de sospeita de fraude, senón todo o contrario, dunha normalidade operativa, ou se estase preferir, dunha confirmación da mesma como algo natural e, en fin, auténtico. En efecto, e iniciado o fraude co envío do correo electrónico ás 7,12 horas do día 19 de outubro, a cliente recibe dous SMS do demandado Abanca, o primeiro, ás 10,31 horas do mesmo día, no que literalmente se di que “estás instalando a túa banca móbil, para finalizar teclea na banca móbil NUM000 “. E no segundo, dous minutos despois, no que se expresa que “asociouse o terminal, Samsung sam-sung NUM001 , ao servizo de banca móbil…”. Pois ben, destas dúas mensaxes sácanse precisamente dúas conclusións. Por unha banda, que o demandado era coñecedor da operativa iniciada pola cliente (“estás instalando a túa banca móbil… e… asociouse o terminal…”), algo máis de tres horas despois. E por outra, que tal como se redactan as mensaxes, non hai sospeita de ningunha fraude, senón en realidade unha posta en coñecemento da cliente da operativa anteriormente emprendida por ela, corroborando ou interesando confirmación. En fin, a cliente, ante este actuar da entidade bancaria, saía, exactamente, de toda posible dúbida inicial que lle podía crear o correo fraudulento, e gañaba confianza da veracidade deste último. Décimo: A xeito de recapitulación: A) Sen deixar de recoñecer que a cliente non esgotou toda a dilixencia posible, esa ausencia non pode calificarse de grave. B) Os SMS do Banco revelan palmaria e inequivocamente que este era sabedor da operación inmediatamente precedente e, sen embargo, non temos a máis mínima constancia de que efectuara ningunha investigación ou comprobación, entre os tres días que pasaron entre a clonación e o cargo fraudulento. Aínda máis, a entidade bancaria garda elocuente silencio sobre este extremo. C) Se o Banco, sabedor, e cos medios técnicos ao seu alcance e que debe dispor, non detectou o inicio do fraude, alertando diso á cliente, non pode dende logo e evidentemente tachar de indilixente -grave- a actitude desta última, non experta, como aquel. D) Se o Banco estiver vixiante, advertiría o risco e o fraude en cernes, facendo as correspondentes e esperadas chamadas de atención e advertencias á hoxe demandante, ou ata exercitando o dereito legal de bloqueo que o artigo 26 da LSP de 13 de novembro de 2009 confire aos provedores do servizo de pagamento. E) A transferencia fraudulenta, por enriba – case o dobre- da suma máxima autorizada, confirma e agranda o calificativo culposo deste último. Décimo primeiro: A estimación do recurso e da demanda conleva impor as custas procesuais da primeira instancia.
_____________________________________________________________________
Órgano | Audiencia Provincial Alicante |
Fecha | 12/03/2018 |
Sentencia número | 107/2018 |
Resultado | Condenatoria |
Importe | 8.400€ |
Entidad | Caixabank S.A |
Resumen:
En efecto, no yerra la sentencia de instancia cuando considera que fue el banco quien incurrió en incumplimiento de sus obligaciones tras recibir el aviso de la transferencia fraudulenta por parte de la actora, siendo indiligente tanto en lo que hace a la detección del fraude como a la gestión de la incidencia y recuperación el dinero y su devolución, y ello teniendo en cuenta que no solo es comportamiento exigible por la naturaleza del servicio prestado y la posición que ocupa el prestador del servicio, sino porque además, es obligación contractualmente asumida, como resulta de la cláusula 7ª -obligaciones de las partes – apartado B.4 y de la tercera de las condiciones comunes de las condiciones generales del contrato de cuenta corriente, que venían a obligar al banco a suspender en estos casos el pago.
Y es que quedó acreditado que la Sra. Verónica sí actuó con la diligencia y rapidez exigibles. Comunicó que el domingo 4 de octubre de 2009 intentó operar a través de banca online Barclays para hacer una transferencia, de la que tuvo que desistir al no poderla efectuar, circunstancia de la que al día siguiente, 5 de octubre, su marido, D. Rafael , informó telefónicamente a la empleada del banco, Sra. Joaquina , exponiéndole el intento de transferencia, introduciendo las coordenadas en diversas ocasiones sin éxito, no obstante lo cual no se advirtió por la Sra. Joaquina que ello supusiera anomalía alguna a pesar de que no se había producido, como debía tras tres intentos fallidos, el bloqueo de la tarjeta de coordenadas de la Sra. Verónica.
Como en efecto tras posterior intento, se hiciera la transferencia, porque se había accedido en esta ocasión sí a la plataforma legítima, el martes 6 de octubre informó D. Rafael a la empleada de la reanudación de la correcta operativa del sistema de banca electrónica, siendo precisamente ese día el que tuvo lugar la transferencia no autorizada, que sin embargo no se advierte el viernes 9 de octubre cuando la Sra. Verónica accede nuevamente a la banca online, momento en que toma conocimiento de la extracción de su capital, ante lo que reacciona llamando inmediatamente tanto al número general de Barclays como al número personal de la empleada -doc 8 y 9 y testimonio de la empleada Sra. Joaquina -.
Este relato deja prueba de lo evidente, a saber, de la diligencia adoptada por la demandante -y esposo- y desmerece cualquier comentario distinto al que resulta del propio relato de hechos que ponen de relieve la comunicación inmediata, rápida, fluida y completa que mantuvo el matrimonio con la entidad a la vista de las circunstancias concurrentes. Y si el martes tiene lugar la actuación fraudulenta en la cuenta de la demandada, al autorizarse en la plataforma el uso de un instrumento de pago por persona no autorizada, no advirtiéndose ni por el banco, que no contempla una comunicación individual del uso de instrumentos de pago sino a partir de un importe más elevado, ni por la titular sino cuando accede de nuevo a la plataforma el viernes siguiente, día 9 de octubre, es lo cierto que no consta qué actuaciones desarrolló el banco tras la denuncia del fraude, lo que per se constituía obligación como hemos visto y como deriva además de la propia normativa interna de Barclays -doc 7 contestación- y que en el caso, no tratándose de una transferencia inmediata, era además de factible precisa una rápida actuación para intentar cuando menos suspender la disposición del dinero en el banco de destino y evitar, con ello, el resultado dañoso. Pero nada de lo hecho, si se hizo, se acredita. Es por ello que no cabe sino desestimar el motivo.
_____________________________________________________________________
Órgano | Audiencia Provincial Bilbao |
Fecha | 10/11/2016 |
Sentencia número | 429/2016 |
Resultado | Condenatoria |
Importe | 59.327,18 euros |
Entidad | BANCO SANTANDER S.A. |
Resumen:
CUARTO .- En el supuesto analizado, no ofrece duda de que nos encontramos con el típico fraude denominado phising; así, la Sentencia dictada por la Audiencia Provincial de Bilbao, Sección 2ª, en fecha 20 de Junio de 2012 declara como hechos probados “que en fecha no determinada, anterior al día 1 de agosto de 2006, Dª Guillerma y su esposo D. Jesús Ángel recibieron un correo electrónico que aparentaba estar remitido por la entidad BSCH en el que se les pedía facilitasen las claves de acceso por internet a las cuentas de las que eran titulares en dicho banco, de manera que terceros sin identificar lograron conocer las claves de acceso por banca electrónica a la cuenta número NUM000, titularidad de la Sra. Guillerma , procediendo a la venta de las acciones asociadas a dicha cuenta, ingresando el importe líquido correspondiente a dicha venta en la cuenta número NUM001 , titularidad de la Sra. Guillerma y del Sr. Jesús Ángel , desde la que entre los días 7 y 8 de agosto de 2006 y con utilización de las claves de acceso obtenidas de manera engañosa, se realizaron transferencias a las cuentas de los acusados en las que fechas y cantidades que se indican …”. La Sentencia de primera instancia desestima la demanda porque imputa una negligencia grave en los demandantes, quienes entregaron las claves bancarias a terceros sin que en su caso tuviera relevancia en el fraude la mayor o menor vulnerabilidad del sistema bancario on line de la demandada; pero dicha afirmación para esta Sala es errónea, en razón a que precisamente a la entidad bancaria demandada le incumbe proteger a sus clientes de cuantas conductas se realicen a través de la banca electrónica y ello en cuanto que precisamente este tipo de fraude comienza con la posibilidad de que los defraudadores interesan las claves de acceso a los clientes de los bancos (en este incide la mecánica delictiva).
Téngase en cuenta que el fraude se comete creando los delincuentes una página web similar a la del Banco, que se realizan a través de la línea bancaria reiteradas operaciones en la misma semana (hasta 30 movimientos) y por cantidades elevadas, lo cual no era propio de estos clientes; que no solo se efectuaron transferencias de cuentas sino que se emitieron órdenes de venta de valores de los que el Banco tiene suscrito un contrato de guarda y custodia y cobrando por dicha prestación que resulta obvia que ha sido burlada fácilmente sin ninguna comprobación exhaustiva; por el Banco no se realizó ninguna comprobación cuando además tras obtener la cantidad de la venta, dicha cantidad se transmitía a cuentas de terceros y de éstas a cuentas en el extranjero por las que recibían una comisión (en tal extremo recuérdese que esta cuenta de valores hasta ese momento no había tenido actividad alguna; se trataba de parte de la herencia de la Sra. Guillerma).
El propio Banco, en el informe que aporta en el procedimiento penal y al realizar las investigaciones tras tener conocimiento de los hechos ya admite que ha sido objeto de un fraude en la superlínea y que no ha sido detectado; se dice en dicho informe que se llamó al cliente pero que no fue hallado, lo cual viene a ratificar que los movimientos de resultaron sospechosos, lo cual permite sostener la falta de diligencia que ante la sospecha no se bloquearan los movimientos (además de que no consta cual fue la conducta para hallar al cliente o a qué número telefónico se le llamó).
Dichas circunstancias vienen a contemplar un sistema bancario electrónico diseñado por la entidad demandada adoleciendo de seguridad, la oferta a los clientes para operar a través de dicha banca electrónica y que es un hecho conocido de que cada vez se impone más por las entidades bancarias a los clientes, eliminando los servicios en ventanilla, se publicita por ser seguro contener los filtros para detectar fraudes y operar de forma fiable siendo así que en cuanto se ha probado la mecánica de la facilidad para operar por terceros no autorizados a través de la banca electrónica de la demandada difícilmente podemos decir de que el Banco demandado no haya incurrido en negligencia grave de sus obligaciones, se han permitido efectuar operaciones bancarias (30 movimientos) sin superar ningún filtro cuando la legislación bancaria tiende precisamente a establecer que se efectúen y se establezcan diferentes controles por los bancos en protección de los clientes, tendiendo a establecerse una responsabilidad cuasi objetiva de las entidades bancarias en cuanto deben soportar los riesgos de su actividad profesional en cuanto que se establece con el cliente una responsabilidad contractual del servicio de depósito, custodia y pagos de las cuentas del cliente.
La declaración de la Sra. Marisa, directora de la sucursal de la que eran clientes los demandantes no es suficiente para exculpar al banco; y ello porque admite claramente que resulta difícil estar vigilante en todas las cuentas de los clientes; que la cuenta no presentaba oscilaciones al término del día y que se encontraban la mayoría de los empleados de vacaciones de verano (los hechos se cometieron en el mes de agosto; pero ciertamente estas explicaciones para este Tribunal deben ser ponderadas de forma negativa para el Banco; es decir que precisamente si los empleados están de vacaciones si precisamente se dice que sería excesivo vigilar todos los días las cuentas de los clientes y que como no había oscilaciones de la cuenta no se apreciaron anomalías, como se puede decir que sea seguro operar a través de línea electrónica; nos preguntamos en dónde se sitúan los filtros o controles por el Banco para asegurarse de que quien opera es el cliente; no puede ser obviado que los bancos conocen de la existencia de actuaciones delictivas fraudulentas por parte de diferentes profesionales en este tipo de actuación, y por ello la responsabilidad que en el sistema de banca on line se viene imponiendo legislativamente, en protección de los clientes para evitar fraudes como el ahora analizado. En consecuencia con lo razonado no se comparte la valoración de prueba de la juzgadora debiendo ser revocada la sentencia y estimar la demanda si bien el banco deberá devolver la cantidad de 59.327,18 euros que es la cantidad que la parte apelante en esta segunda instancia solicita, más los intereses legales desde el 21 de septiembre de 2006 en que se efectuó las primera reclamación frente al demandado.
_____________________________________________________________________
Órgano | Audiencia Provincial Zaragoza |
Fecha | 14/05/2013 |
Sentencia número | 215/2013 |
Resultado | Condenatoria |
Importe | (20.947 EUROS) |
Entidad | BARCLAYS BANK S.A |
Resumen:
SEXTO .- Y ello nos da paso ya al análisis de las concretas circunstancias del caso. La demandante era titular de una cuenta corriente en la entidad demandada, junto con su esposo, Sr. Bernardo (actualmente divorciados). Esta era la cuenta cuya numeración acabada en “6451”. A su vez, el Sr. Bernardo tenía otra cuenta a su nombre exclusivo, terminada en “1966”. Cada cónyuge tenía su propia tarjeta de coordenadas, necesaria para poner la correspondiente clave para acceder al contenido de dichas cuentas. A las 7,15 h. del día 13-1-2010, se percata la esposa de que en la cuenta conjunta, “6451”, se habían realizado dos transferencias no ordenadas por ninguno de los componentes del matrimonio. Una el 11-1-2010 (3.000 euros) y otra el 12-1-2010 (17.947 euros).
Inmediatamente se pusieron en contacto con el banco, acudiendo allí a primera hora de la mañana el padre del Sr. Bernardo , suegro de la actora y ex-empleado del banco. Según las declaraciones tanto de la demandante como del Interventor de la sucursal, se realizaron gestiones inmediatas para bloquear las cuentas de destino de dichas transferencias. Se logró plenamente respecto a la de 17.947 euros, que está bloqueada en el banco del Spirito Santo en una sucursal de Portugal y parcialmente la segunda, en el Banco de Castellón, en la cuantía de 400 euros, pues el titular de dicha cuenta de destino ya había extraído 2.600 euros.
Una vez realizadas esas gestiones perentorias, de la declaración de dicho Interventor se deduce, sin lugar a dudas, que el banco no realizó ninguna actuación específica respecto a la configuración informática de dichas cuentas, porque, a través Don. Bernardo , suegro de la actora, comunicó que los clientes habían bloqueado las cuentas y anulado las claves. No obstante lo cual, al día siguiente, 14-1-2010 se observaron dos nuevas transferencias, una de la cuenta “1966” y otra de la “6451”; la primera de 2.943 euros (del 13-1-2010) y la segunda de 2.540 euros (del 14-1-2010). Ambas recuperadas por los clientes. Una devuelta y otra anulada.
Tanto el Interventor, D. Erasmo , como el técnico de “Nuevos Canales” del banco, D. Genaro, admitieron que algo había pasado, aunque no sabían exactamente el qué. Reconociendo el segundo expresamente que hubo un error del banco respecto a esas segundas transferencias. A pesar de los intentos de los clientes y del banco las cantidades relativas a las primeras transferencias irregulares no han podido recuperarse.
Siguiéndose ante un juzgado de instrucción de este capital diligencias penales por lo que parece ser un delito de estafa informática o “Phising”.
SÉPTIMO .- Con estos datos el banco demandado considera que debió de existir un comportamiento negligente por parte de los clientes para que un tercero accediera a las claves y coordenadas que daban acceso a las cuentas y a la orden de transferencias y operaciones desde ellas. Ampara su tesis en que el sistema informático de “Barclays” es muy seguro y, además, se adoptan importantes medidas de seguridad y advertencias de uso correcto a los clientes, a fin de evitar errores o caer en engaños o simulaciones de la página real de la entidad. Obviamente, estas afirmaciones nada prueban y, menos aún, cuando la legislación aplicable carga con la prueba del correcto funcionamiento del sistema informático al banco o proveedor del servicio de pago (art 30 Ley de Servicio de Pagos). Así lo reitera el Informe del Banco de España recaído en este asunto concreto, de 13-9-2010.
Parece de una obviedad incontestable que no ha de ser el cliente quien tenga que detectar las disfunciones de un sistema que ni ha creado ni manejado, ni tiene posibilidad de ello.
OCTAVO .- Tampoco consta qué tipo de advertencias realizó el banco a sus clientes relativos a ataques informáticos en la página web del proveedor de servicios de pago (Barclays).
Existe una circular interna del banco pero remitida a sus empleados y -además- de fecha 21- 1-2010. La carta enviada a los clientes (doc. 26 de la demanda) es aún posterior, 30-4-2010. Por otra parte, el Sr. Genaro admitió que el banco estaba sufriendo un importante número de estafas a través de “banca electrónica”, mediante simulación de la página del banco. Lo que resultó corroborado por el Banco de España (f.354 de los autos), que certificó que entre 2009 y 2010 había recibido 107 reclamaciones en este sentido contra la entidad “Barclays”.
_____________________________________________________________________
Órgano | Audiencia Provincial Barcelona |
Fecha | 07/03/2013 |
Sentencia número | 151/2013 |
Resultado | Condenatoria |
Importe | 32.099 euros |
Entidad | CAIXA D’ESTALVIS DE CATALUNYA, TARRAGONA I MANRESA, |
Resumen:
TERCERO.- La parte actora reclama la cantidad de 32.099 euros por las operaciones realizadas por terceros en dos cuentas del servicio “On line i Caixa Total”, derivado de contrato de Banca On-Line celebrado con Caixa Catalunya, en sendas cuentas que tenían cada una de ellas un máximo de disponibilidad de 3.000 euros diarios. Dichas operaciones se realizaron básicamente en un periodo de cinco días, del 10 al 15 de febrero, y, a las 12:22 horas del mismo día 15 de febrero al darse cuenta de ello la actora, denuncia los hechos ante la policía, de dichos movimientos fraudulentos. En que fue advertida igualmente la entidad demandada. Debe indicarse que dichos movimientos fraudulentos se realizan directamente del número de cuenta, no por tarjeta de crédito, y mediante transferencias a cuentas de la misma entidad, que inmediatamente vaciaban. La entidad crediticia le responde que “estamos frente a un caso de phising” al tratarse de operaciones efectuadas por internet, que no son reconocidas como propias por el titular de la cuenta. Y, se exime de responsabilidad.
En el presente caso, reconocido por la Caixa de Catalunya el sistema empleado de pushing no acredita, que en particular, para éste conocido método fraudulento se hayan adoptado medidas concretas. No consta ningún filtro adicional de seguridad para evitarlo, ni se han aportado estudios sobre dicho riesgo. Lo cual además en el presente caso, tiene la gravedad de que en cada una de las cuentas se estableció un límite de disposición diario de 3.000 euros, el cual fue sobrepasado varios días. El legal representante de la demandada en juicio declara que el límite existe entre traspasos a otras entidades, pero no en traspaso en cuentas de la misma entidad aunque sean distintas.
Reconoce que el contrato no lo dice, porque las cantidades se pueden retroceder al ser de la misma entidad. Igualmente dice que no hay límite de cuenta, siempre que haya saldo, que no se hubiere dispuesto de este saldo. Ante dichas respuestas, el letrado de la actor le cuestiona como puede ser que las del último día, del día 15 de febrero, porque no se retrocedió, cuando se advirtió, y a las 12:22 horas se denunció ante la policía (doc. 6 denuncia), a lo que responde el representante de la demandada que ya se habría dispuesto de dicha cantidad. En definitiva, se establece un límite de seguridad en que confía el cliente, pero el mismo no rige en determinada operación de transferencias entre cuentas de la misma entidad.
Debemos indicar, que por un lado, el contrato no establece dicha excepción luego debe responder la entidad bancaria de dicha omisión, pues quizás sabedor de que puede no haber limite en determinados casos no se hubiere contratado. Y, dicho límite fue traspasado en cinco de los seis días reclamados, sin que la demandada lo detectase, en principio por la razón que expone el representante en juicio; pero nos encontramos que en el escrito de oposición al recurso de apelación se dice que al existir dos cuentas con límite de 3.000 euros, conjuntamente tenían un límite de 6.000 euros; sorprendiendo con nueva tesis que tampoco viene recogida en el contrato, pues en el mismo queda claro el límite para cada una de las cuentas, sin constar la suma de las dos, pues no debe olvidarse que son dos cuentas distintas.
En definitiva, resulta contradictoria la razón o causa de exculpación, y ninguna de las dos viene recogida en el contrato, por lo que ante dicha actuación permisiva de que se sobrepasaren los límites contractualmente pactados debe responder la demandada.
Pudiendo añadir que atendiendo al sistema del phishing, a través de muleros, el sistema de no atender a las transferencias entre cuentas de la misma entidad, aparece un modo fácil de burlar la seguridad on line; máxime cuando dentro de la operativa, como se pudo observar en el mismo día 15 de febrero, es que tras la transferencia de cuenta, el dinero fue dispuesto rápidamente para evitar el retroceso.
Resulta singular la respuesta del representante de la demandada o criterio de la demandada en cuanto ve en el retroceso la solución, cuando se ha visto que no fue así, pues en la operativa del phishing se evita el mismo, mediante la disposición inmediata, vaciando el saldo; con lo que el sistema de seguridad quiebra, sin resultar excesivamente difícil entender dicha operativa, y adoptar las medidas necesarias, como que el limite también tuviere operatividad en las transferencias entre cuentas de la misma entidad.
Se refiere el actor, aportando documental, a otra entidad bancaria con la que no ha tenido nunca problemas. Por otro lado, como se alega en la demanda, también podía advertir la demandada los movimientos, inusuales y en que los “muleros” destinatarios de las transferencias fueran extranjeros, con cita de los nombres que se observa de la propia relación en la cuenta, nombres nada comunes que ciertamente se podían establecer alertas informáticas, así consta, entre otros, y, con el debido respeto a dichos nombres extranjeros, pero inusuales, como los de Nemesio, Carlos Alberto, Benigno, Gabino.
En definitiva, la entidad demandada no adoptó las medidas de seguridad pactadas en cuanto a límites de disposición, sin poder atender a explicaciones no recogidas en el contrato; tampoco ha aportado prueba de la adopción de medidas concretas de seguridad para dicho tipo de fraude conocido del pushing siendo obligación de la entidad conforme la Condición General 3 del contrato que Caixa Catalunya puede establecer filtros adicionales de seguridad, no constando el mismo para el pushing; y en el punto 14 que los firmantes autorizan a Caixa Catalunya para que pueda utilizar sus datos para realización de estudios, comportamientos de riesgos, mediante modelos de scoring, sistemas de información integrados, u otros de similar naturaleza, que tampoco se ha realizado, permitiendo transferencias por encima del límite y a favor de personas que en un estudio o mediante modelos de scoring, podría filtrarse y evitar dichos movimientos fraudulentos.
Por lo que, debe proceder la condena de la demandada por su responsabilidad contractual ante la actora, por no cumplir con las medidas de seguridad necesarias para garantizar la funcionalidad correcta de sus cuentas, que dado que la operativa del pushing ha sido en ambas cuentas, debe entender el error de seguridad en ambas, y la correspondiente responsabilidad en el total perdido por la actora, no solo en el límite traspasado, pues ello conllevaría entender que cumplió con las medidas de seguridad pactadas lo que no ha ocurrido. Debiendo, en consecuencia, estimar íntegramente la demanda, y condenar a la demandada a la cantidad de 32.099 euros, más los intereses legales desde la interpelación judicial.
_____________________________________________________________________
Órgano | Audiencia Provincial Jaén |
Fecha | 19/04/2012 |
Sentencia número | 97/2012 |
Importe | 4.776 euros |
Entidad | R.W. BERKLEY INSURANCE (EUROPE), LIMITED SUCURSAL EN
ESPAÑA , |
Resumen:
A la luz pues de la doctrina expuesta, tanto la general como la concreta atinente al supuesto de autos, habremos de conceder la razón a la apelante en cuanto a la existencia del error en la valoración de la prueba que denuncia también en lo que a la concurrencia del elemento subjetivo se refiere por la que se generaría su responsabilidad civil contractual para la Comunidad, pues ya de principio habremos de discrepar de lo razonado por la misma en cuanto a que la diligencia que le era exigible era la de normal del “padre de familia”, esto es, la que debiera adoptar un hombre medio atendiendo a las circunstancias personales, de tiempo y lugar concurrentes, pues como acabamos de ver y tratándose de un profesional, de Administrador de Fincas, al mismo le será exigida una muy superior diligencia o cuidado acorde con sus conocimientos, formación, cualificación profesional y experiencia por las que realmente fue contratado y bastaría para entender justificada su falta de diligencia o actuar “involuntario” o culposo, con la prueba antes analizada de la que resulta la advertencia que las Entidades Financieras efectúan a todos sus clientes, no sólo a los profesionales, para que no proporcionen dato alguno por su propia seguridad, siendo así que pese a tales advertencias que directamente se efectúan en las correspondientes páginas de Internet para todo el que opera con dinero a través de dicho medio, el actor fue realmente incauto e introdujo como se le solicitaba los cuarenta dígitos además de la clave de acceso, con lo que estaba proporcionando al tercero desaprensivo todo lo necesario para efectuar fácilmente la sustracción finalmente producida.
Pero es que además, ante el número ciertamente preocupante de estafas que se está produciendo en Internet, hasta el punto de que la que parece haberse producido aquí tiene asignado ya un nombre “phising”, es notorio que todas las empresas reales y con fines lícitos por supuesto -que deciden utilizar los medios de pago y cobro que la red proporciona- advierten a toda la clientela -particulares o profesionales- de tal fenómeno delictivo y de los numerosos “spam” que pueden recibir recabando información para fines ilícitos -hasta el punto de que existen programas de detección de dichos spam y los anulan en una carpeta concreta de los correos electrónicos- y en consecuencia de que no proporcionen dato alguno más que los pactados con la entidad previamente para operar; es más, normalmente se previene que no se contesten mensajes o correos en los que se soliciten tales dados, como también ocurría en el supuesto de autos, luego habrá de convenirse que la actuación del Sr. Gumersindo proporcionando toda la identificación necesaria para poder suplantar al titular de una cuenta y efectuar las operaciones que tenga por conveniente, es negligente o imprudente incluso para un particular normal, cuanto más para un profesional con sus conocimientos y experiencia, que opera habitualmente por dicho medio, para el que se puede considerar por tanto mayor deber de previsibilidad y evitabilidad del daño que con tal imprudente proceder pudiera causar.
En resumen, habremos de concluir que de la prueba practicada se ha de estimar acreditada la concurrencia de los presupuestos necesarios para considerar que el siniestro cuyo reembolso se pretende sí era objeto de cobertura, toda vez que el mismo según sus condiciones particulares -doc. nº 1, f. 8- se describe estableciendo literalmente: “Por el presente contrato establecemos que queda cubierta la Responsabilidad Civil Profesional que directamente pueda derivarse para los Asegurados como consecuencia de los daños y perjuicios causados “involuntariamente” a clientes por hechos que deriven de su actividad como Administradores de Fincas, colegiados…”, siendo el límite máximo de cobertura de 300.000 euros con una franquicia fija de 300 euros.
Igualmente, el nº 2 de las condiciones especiales define el objeto del seguro, como responsabilidad civil profesional que pueda derivarse de “errores profesionales” en que pueda incurrir el asegurado en el ejercicio de su actividad de Administrador de Fincas, conforme dicha profesión se regula en las leyes, estatutos…, por daños patrimoniales a clientes o terceros, causados “involuntariamente” -f.10-, definiéndose además el siniestro en el apartado II de las condiciones generales, como todo hecho que haya producido un daño del que pueda resultar civilmente responsable el Asegurado y que deviene directamente del riesgo concreto objeto del seguro. Así pues, debiendo entender nacida la responsabilidad civil para el asegurado y consiguiente obligación de indemnizar por la realización de una acción imprudente del mismo en el ejercicio directo de sus funciones como Administrador de Fincas, al estar operando en cuenta -que creía- de la Comunidad de Propietarios para la que trabajaba, se ha de entender también nacida la obligación contractual de rembolsar al mismo la cantidad abonada y que ya en apelación no se discute, aunque no en su totalidad, pues de la póliza aportada se deriva la existencia como hemos expuesto de una franquicia fija de 300 euros que habrá de ser restada a los 5.076 euros reclamados, esto es, la cantidad de 4.776 euros, lo que en cualquier caso no impide aun suponiendo la estimación parcial de la apelación, que proceda la imposición de los intereses moratorios del art. 20 LCS reclamados respecto de dicha suma, ni que ello conlleve la estimación sustancial de la demanda inicial interpuesta y con ella la modificación del pronunciamiento sobre costas, debiendo ser impuestas a la demandada las causadas en la instancia en base al principio general del vencimiento objetivo establecido en el art. 394.1 LEC.
_____________________________________________________________________
Órgano | Audiencia Provincial Burgos |
Fecha | 23/07/2008 |
Sentencia número | 242/2008 |
Resultado | Desestimatoria |
Entidad | BANCO SANTANDER CENTRAL HISPANO S.A |
Resumen:
QUINTO.- No obstante este resultado probatorio, que no permite obtener una convicción cierta de todo y lo realmente sucedido, por tanto, de la causa efectiva de que las claves y la firma electrónica pudo llegar a conocimiento de una tercera persona que las utilizó con éxito en una operación fraudulenta, conviene hacer otras precisiones de naturaleza jurídica. La parte actora funda su pretensión, por un lado, en base al art. 1903, culpa extracontractual, integrada por el hecho de que las claves y firmas pudieran haber sido puestas a disposición de terceros, por parte de alguien que tuviera acceso a las mismas dentro del propio BSCH – Hecho Quinto, folio 10, y Fundamento Jurídico V, folios 14 y 15, del escrito de demanda -. Pero nada de esto se ha probado – no pasa de serla alegación de una hipótesis o conjetura – que algún empleado y con acceso a las claves colaborara activamente en las operaciones fraudulentas – aunque, finalmente, venga a calificar “esto de todo punto irrelevante para el caso que nos ocupa” -. Por otro lado, se funda en un incumplimiento contractual, en la custodia del dinero y seguridad en los canales, al amparo de los artículos 1.101 C. Civil y 306 C. de Comercio, para derivar la responsabilidad indemnizatoria reclamada. El art. 1.101 C. Civil funda la responsabilidad contractual en una contravención contractual del tenor de sus obligaciones, dolo o culpa – se excluye la morosidad -. Actuación dolosa o negligente, que debe estar integrada por hechos concretos que no se aprecian, de modo que se pueda imputar a la entidad demandada una dejación de sus obligaciones o descuido en el control de las claves, que haya incidido causalmente en la observancia o tenor de su obligación de custodia en el depósito de dinero. No se trata de un supuesto de responsabilidad objetiva por el resultado, sino que es preciso acreditar algún grado de culpa, aunque sea leve. Por el contrario, el demandante declaró que “no ha puesto otra clave, no la ha sustituido”, siendo esta omisión trascendente y relevante en orden a mantener su propio control sobre las claves. En el recibo de entrega de firma electrónica se dice expresamente, “como medida de seguridad, deberá sustituir por otra”, es decir, que su propia inactividad, habría contribuido en la creación de una situación de riesgo real, que podía y debía haber evitado sustituyendo tal clave – lo que se reitera en la Condición General Cuarta, Seguridad de los Canales, 4.1; “deberá ser sustituida”, se dice, para que no haya duda-. Finalmente, la disponibilidad probatoria del actor, en orden al conocimiento de los datos registrados, guardados, almacenados o archivados en el ordenador, relativos a lo que es objeto de su pretensión, mediante la oportuna prueba pericial, y no solo respecto de la existencia o exclusión de una eventual operación de “phising”, habría permitido, muy probablemente, obtener algún dato cierto para inferir lo realmente sucedido en esa operación, no fallida – sistema antivirus instalado y su funcionamiento – lo que, en definitiva, se ha privado de su apreciación al Tribunal, para esclarecimiento de los hechos y la viabilidad de la pretensión actora.
SEXTO.- En consecuencia, procede la desestimación del recurso de apelación y la confirmación de la sentencia recurrida, con imposición de las costas procesales, causadas en esta alzada, a la parte apelante, y no apreciarse circunstancia legal que justifique otro pronunciamiento, a tenor de lo dispuesto en el Art. 398 LEC.
_____________________________________________________________________
JURISPRUDENCIA SOBRE FRAUDE DEL CEO.
Órgano | Audiencia Provincial Guadalajara |
Fecha | 10/05/2022 |
Sentencia número | 240/2022 |
Importe | 29.000€ |
Entidad | MERCEDES BENZ RETAIL SA, frente a CONTRATAS Y
MANTENIMIENTO SA |
Resumen:
SEGUNDO. Primero y segundo motivo del recurso: error en la valoración de la prueba. (i). Los siguientes hechos probados no resultan cuestionados y así se recogen en la sentencia y en los escritos de las partes: 1. A mediados del mes de abril de 2018 D. Justiniano contactó con la filial de la entidad Mercedes Benz en España (Mercedes Benz Retail SAU), con la intención de adquirir un vehículo de segunda mano para uso personal. El responsable de ventas de Turismo de Ocasión de Mercedes Benz Retail SAU terminó ofreciendo al Sr Justiniano un vehículo Mercedes C 220 BlueTEC/d Avantgarde, con número de matrícula ….FWG y nº de bastidor 2 NUM000 , por el precio de 29.000,00 €, acordándose que el coche vaya a nombre de la empresa del Sr Justiniano denominada Contratas y Mantenimiento SA (en adelante CYMSA). 2. El 23 de abril de 2018, el Sr. Justiniano envió al Sr Pelayo un correo electrónico (a las 9:16h) con el asunto “ADQUISICION MERCEDES Justiniano /CYMSA” con la documentación que el Sr Pelayo le solicitó (en concreto el CIF de la empresa CYMSA y DNI de D. Justiniano ) (doc nº 1). 3. El día 24 de abril de 2018 se realizó la venta del vehículo. El comprador solicita al Sr Pelayo por correo electrónico enviado ese mismo día a las 13:10h, que por favor le envíe los datos del vehículo para contratar la preceptiva póliza del seguro, contestando a las 13,12 h. que se lo envía, remitiéndole por correo electrónico a las 13,27 h. la oferta de venta del vehículo y fotocopia de una documentación del vehículo para contratar el seguro y una factura del vehículo, indicando que el abono de los 29.000 euros debía realizarse por transferencia a alguna de las dos cuentas bancarias siguientes: Deutsche Bank, SAE NUM001 y BBVA NUM002 , solicitándole que le enviase justificante. La compradora solicito ese mismo día, a las 14 horas que se le aclaren los datos del vehículo pues existía una discordancia entre la oferta y la factura; a lo que el comprador contestó a las 14,04, reconociendo el error y quedando enviarle la documentación correcta. 3. El 25 de abril de 2018, a las 11:37h el comprador recibió por correo electrónico dos documentos adjuntos que se dice enviados por el Sr. Pelayo con la documentación correcta del vehículo adquirido e indicándole un cambio de cuenta bancaria en la que realizar el pago, en el BBVA con el nº NUM003, solicitando que le enviase un comprobante de pago. A las 13,18 h, recibió otro correo a nombre de la vendedora solicitando que le confirmase la recepción del anterior correo y le enviase el comprobante del pago. 4. El comprador, en base a dicho correo, procedió a realizar el pago desde Bankinter por transferencia SEPA a la vendedora de 29.000 euros a esa nueva cuenta e indicó a su banco que, al tiempo de pagar, mandase justificante de ello al correo electrónico del vendedor, lo que hizo, siendo también comunicado por el comprador a las 17,25 horas, y llegándole a enviar, a las 17,57 h, el justificante del pago escaneado. 5. El día 27 de abril de 2017 se documentó el contrato de compraventa del vehículo y se entregó el vehículo a la parte compradora, sin que nada alegara sobre el pago. Ese mismo día, la parte vendedora requirió a la parte compradora para que justifique el pago, ya que no le constaba haberlo recibido, resultando que la cuenta donde se hizo el ingreso no era de la entidad vendedora. (ii). Partiendo de dichos datos, el objeto del presente recurso, como lo fue en instancia, es determinar si la obligación de pago del precio del vehículo vendido por la actora y comprado por la entidad demandada, debe quedar extinguida por el pago hecho por esta a un tercero de forma involuntaria, es decir, si la injerencia de un tercero provocando dolosamente el pago por error a quien no es el acreedor, debe ser soportada por la entidad demandada-compradora y, en consecuencia subsiste la obligación de pago, o si debe ser soportada por la entidad demandante- vendedora- y quedar liberada la deudora-compradora.
Como señala la sentencia recurrida, para que el pago a un tercero produzca la liberación del deudor no basta con que se realice la prestación en que la obligación consiste según los términos del artículo 1.157 del Código Civil, sino que es preciso conforme al artículo 1.162 del mismo Cuerpo Legal que el pago se haga a la persona en cuyo favor estuviere constituida la obligación o a su representante legal o voluntario, considerándose que el pago hecho a un tercero solamente será válido en dos casos, uno, cuando una vez practicado se hubiere convertido en utilidad del acreedor supuesto que contempla el artículo 1163.2 del Código Civil (no observable en el caso que nos ocupa), y otro cuando el pago se efectúa de buena fe al que estuviere en posesión del crédito, tal como prescribe el artículo 1.164, presentándose en este caso como intrascendente la buena o mala fe de quien aparece legitimado para recibir el pago, ya que lo realmente importante y sobre lo que habrá de centrarse el órgano enjuiciador no es otra cosa que advertir si en el deudor se dio un comportamiento subsumible en concepto de buena fe a la hora de practicar el pago a tercero, importando más que la buena fe subjetiva que contempla el artículo 433 del Código Civil, la objetiva obligacional a que se refiere el artículo 1258 del mismo Cuerpo Legal, precisándose para que así sea la concurrencia de dos requisitos: 1) uno de naturaleza objetiva consistente en la apariencia jurídica de la condición de acreedor en la persona que practique el cobro apoyado en dato objetivo, como puede ser el documento acreditativo de la existencia de la deuda, o su condición de representante y 2) otro subjetivo que quedaría concretado en la creencia inequívoca del que realiza el pago de que la persona que lo recibe se comporta como acreedor real, de forma que en caso de justificarse ambos presupuestos, aun a pesar de que la empresa vendedora no perciba del comprador el precio impagado, éste quedaría plenamente liberado de pagar y aquélla subrogada en la persona de su deudor para ejercitar la correspondiente acción de enriquecimiento sin causa contra el perceptor de las sumas reclamadas, encontrándose su fundamento en el hecho de que no se exige del que paga una diligencia excesiva sino la normal con que las personas actúan en el tráfico jurídico. (iii). Proyectando la anterior doctrina legal y jurisprudencial expuesta al supuesto de autos, vemos que, como señala la sentencia recurrida, no puede inferirse que la entidad demandada procediera con la diligencia exigida en el pago de la factura, correspondiendo a la misma dicha diligencia y la carga de la prueba, por lo que no se advierte el más mínimo error en la valoración de la prueba realizada por la Juez a quo ni infracción en la carga de la prueba. La revisión de las actuaciones y el nuevo examen y valoración en esta alzada del material probatorio en ellas obrante conduce a este tribunal a coincidir plenamente con el análisis y valoración que de esas pruebas efectuó la juzgadora de la instancia de forma conjunta, objetiva, imparcial, y acorde a las reglas de la sana crítica, compartiendo en su totalidad la fundamentación jurídica y la conclusión estimatoria en su integridad de la demanda a la que llega. Por ello, sin necesidad de reproducir en la presente sentencia la indicada fundamentación, y atendiendo a las cuestiones planteadas en esta alzada, conviene poner de manifiesto que las alegaciones del recurso, en cuanto a que existe un error en la valoración de las pruebas que lleva a la Juez a quo a considerar que no concurre el supuesto de pago hecho a un tercero aparente, no desvirtúan la aludida valoración probatoria y fundamentación jurídica, pues, pese a los esfuerzos argumentativos de dicha apelante, lo cierto es que en ningún caso pueden obviarse las concretas circunstancias concurrentes en el presente caso en relación con la forma de recepción y ejecución de los correos electrónicos que llevan al pago y la transferencia realizada por la parte demandada-apelante. Se alega por la recurrente que no concurre negligencia en ella y sí en la parte actora pues con su conducta participó en que el engaño fuera creíble, pues indicó dos cuentas donde realizar el ingreso, por lo que no podía resultar sospechoso que se cambiase a otra; y había mandado una documentación errónea del vehículo, siendo aportada copia de la correcta por el suplantador, utilizando el mismo correo electrónico y la misma cadena de correos, lo que lleva a pensar que el suplantador estaba dentro de la propia empresa vendedora; sin que, por otra parte comprobase la realidad de la transferencia que se dice se le había hecho. A la entidad actora-vendedora, le bastaba con probar la realidad y cuantía de la deuda, que está plenamente reconocida, siendo intranscendente a los efectos de la presente resolución la buena o mala fe de quien aparece legitimado para recibir el pago y era a la demandada-compradora, que sostenía la razón de no haber realizado el pago a quien correspondía, por las circunstancias ya expresadas, quien debía probar las causas de oposición, es decir su diligencia al realizar el pago. Si bien en base fundamentalmente al contenido de los correos se ha probado la realidad de la estafa, pues no es controvertido, que la cuenta de correo fue hackeada ni que la entidad Contratas y Mantenimiento SA recibió una información errónea el día 25 de abril en su correo como procedente de la compradora, aportándole fotocopia de la documentación correcta, lo que formaba parte del engaño, y sobre la cuenta bancaria en la que debía hacer el pago, siendo ello lo que provocó el desplazamiento patrimonial a favor de terceras personas que aparentaron ser el acreedor, lo cierto es que la demandada, para tratar de desentrañar lo que sostiene como controvertido, esto es, dónde estaría el origen de la actuación, si en el sistema informático de la actora o en el hackeo de su propia cuenta de correo, no ha realizado prueba alguna. Por una parte, la recurrente-compradora empleó la contratación electrónica sin que conste el uso de medidas de seguridad que permitiesen impedir el hackeo de su sistema informático, al no emplearse firma electrónica, sin que conste que hubiera adoptado medidas de seguridad específicas para el medio empleado. La defensa contra la interceptación ilegal puede realizarse a través de los operadores correspondientes (Directiva 97/66 de la entonces Comunidad Económica), sin que conste acreditado que tuviera instalado alguno de esos operadores. Se alega por el apoderado de la entidad demandada que contaba con esas medidas de seguridad y que se hizo un informe, pero el mismo no ha sido aportado ni compareció en el acto del juicio el técnico que en su caso lo realizó. Podría haber propuesto la testifical de su responsable informático, lo que no hizo, por lo que no se sostiene la simple alegación de negligencia de la actora para despejar una posible negligencia propia. Por otra parte, en relación con la entidad vendedora, de acuerdo con el informe emitido por Juan Alberto , ratificado y aclarado en el acto del juicio, así como de las declaraciones realizadas por los técnicos resulta que, examinado el objeto del correo hackeado del día 25 de abril referenciado y pasando por un editor de código hexadecimal para poder decodificar el correo, se apreció que el correo no salió de Daimler pues la trama de éste es XXXX.wp.corpintra.net y la IP NUM004, y el servidor de envío es luna.webpacific.com, añadiendo que la identificación del usuario del que envía es muy fácil de simular, porque es un texto plano que se puede poner lo que se quiera, pero la trama desde donde ellos han recibido el correo no es tan sencillo de cambiar y se puede apreciar que sale de otro servidor distinto con la IP NUM005 que no pertenece a Daimler sino a una empresa de hosting de correo y páginas web localizada en Jakarta (Indonesia). Además, no se duda de que la parte demandada obrara de buena fe, pero el correo electrónico recibido el 25 de abril no gozaba de verosimilitud suficiente para aplicar el art. 1164 CC pues la forma de encabezamiento y despedida se cambió e incluso la forma de tratamiento, pasando a llamar de usted, y se modificó la cuenta bancaria para realizar el ingreso sin que se diera ninguna explicación y sin que se realizase por la compradora ninguna gestión para comprobar la titularidad de la cuenta, ni tampoco la entidad bancaria desde donde se hizo el pago, y, aunque el correo iba acompañado de copia de la documentación del vehículo, aun así ello no le eximía del cuidado exigible cuando se trata de ejecutar transferencias, y el cambio de cuenta bancaria sin más, era al menos sospechosa, sin olvidar que el hackeo no se dio directamente en los ordenadores de la empresa vendedora, como se ha expuesto. En definitiva, debe mantenerse la apreciación de la falta por la entidad demandada-apelante de la diligencia normalmente exigible en el desarrollo del pago por transferencia tras la gestión de una compraventa vía telemática especialmente tendente a garantizar, con razonable certeza, cualesquiera riesgos, sin que pueda atribuirse al hecho del “hackeo” de las comunicaciones electrónicas la relevancia que la apelante pretende para eximirle de responsabilidad, pues de haber prestado una normal atención al contenido de los correos electrónicos recibidos y de haber adoptado unas razonables medidas de seguridad respecto de la identidad del titular de la cuenta bancaria a donde se hizo el ingreso, se hubiera podido percatarse del engaño. La entidad recurrente, pues, no ha probado que la actuación que determinó la transferencia que realizó ella fuera imputable a fraude o culpa grave de la demandante, por lo que, han de desestimarse los dos motivos primeros del recurso con plena ratificación de la sentencia apelada.
_____________________________________________________________________
Órgano | Audiencia Provincial Madrid |
Fecha | 28/02/2022 |
Sentencia número | 74/2022 |
Resultado | Condenatoria |
Importe | 303.234,44 € |
Entidad | BANCO BILBAO VIZCAYA ARGENTARIA S.A |
Resumen:
PRIMERO.-Planteamiento de la cuestión objeto de autos. Son antecedentes fácticos de interés para la correcta resolución los siguientes, tratándose de una reclamación de responsabilidad porque el Banco demandado ha autorizado transferencia de cuenta de la actora a un banco de Tailandia sin su autorización, si bien es verdad que lo solicito una administrativa de la actora siguiendo un procedimiento inusual, BBVA no llevó a cabo ninguna medida de diligencia para detectarlo; refiriéndose a una modalidad de estafa que se conoce como “fraude del CEO”, estafa consistente en que un empleado de la empresa, a quien se pide hacer transferencias o el acceso a datos de cuentas, recibe un correo, supuestamente de su jefe -ya sea su CEO, presidente o director- en cuyo mensaje éste le pide ayuda para una operación financiera confidencial y urgente. Las transferencias fueron conocidas por la actora a partir del día 1 de febrero de 2018 mediante una llamada telefónica de la entidad BANKIA, entidad donde también tenía abierta una línea de crédito, comunicándole que se habrían ordenado transferencias por un alto importe económico a China. También se señala que BBVA no ha cumplido con las medidas de seguridad relativas a la prevención de blanqueo de capitales. 1.- La actora UNISONO, que es una de las once empresas que forma el Grupo Unísono, señala que en fecha 12 de junio de 2013 formalizó con BBVA una póliza de cuenta corriente a interés variable, acordándose prorrogar el vencimiento del crédito en varias ocasiones, destacándose la cláusula adicional que incluye condiciones complementarias al resto de las condiciones establecidas y aplicables en lo que proceda a los servicios de pago prestados por el banco. Se indica que el 1 de febrero de 2018 se percató que desde la cuenta de titularidad y abierta en BBVA y a la que afecta el referido contrato de línea de crédito de hasta un máximo de 3.000.000 € se ordenaron dos transferencias en las fechas de 18.1.2018 y 22.1. 2018 y por los importes de 303.234,44 € y 379.043,05 €, siendo que la primera transferencia a diferencia de la segunda fue efectivamente realizada teniendo como cuenta de destino la del banco DBS BANK HONG KONG LIMITED, cuyo supuesto titular seria la entidad china Weihui Group Limited, por persona que no estaba autorizada para dar orden alguna en nombre de UNISONO. Se indica también que la entidad demandada no detectó que se estaba cometiendo un fraude y que se estaba engañando, precisamente a la persona que autorizó la transferencia. Afirmándose que BBVA era consciente de las irregularidades que Dª. Marí Juana pretendía introducir en el procedimiento para ordenar los pagos y Dª. Raquel de BBVA le advirtió de que se pretendía que dichas operaciones fueran ordenadas por una persona que no era apoderada ni estaba autorizada. Sin embargo, la entidad de crédito cedió a las pretensiones de Dª. Marí Juana y autorizó la orden de pago desde la cuenta de UNISONO. Dª Marí Juana sigue un procedimiento completamente inusual, que no tenía nada que ver con el procedimiento habitualmente seguido por UNISONO en este tipo de operaciones y que BBVA no llevó a cabo ninguna medida de diligencia para detectarlo. No se había registrado un caso de tal magnitud en la mercantil actora en ninguna de las operaciones cursadas entre UNISONO y BBVA durante todo el año 2017. La singularidad y la extrañeza del procedimiento seguido por Dª Marí Juana en esta ocasión es patente: las órdenes fraudulentas provienen de un correo electrónico del que nunca se habían recibido; no aparece en copia nadie más de la empresa ya que siempre se ponía en copia a diferentes compañeros de la empresa cuando se emitían estas órdenes, añadiendo que nunca hasta la fecha UNISONO había realizado ningún pago a China y, menos a Hong Kong, considerado paraíso fiscal por el listado de jurisdicciones del Servicio de Rentas Internas.
SEGUNDO.- Sobre la responsabilidad de la entidad bancaria. El contenido del recurso se limita a reiterar las manifestaciones vertidas como base de la acción principal, señalando la responsabilidad de BBVA ante el incumplimiento del protocolo establecido para evitar fraudes, debiéndose comenzar en esta resolución por hacer constar la base contractual de este incumplimiento y la característica en la actuación del llamado “fraude CEO”.
1.- Así, la póliza de crédito en cuenta corriente a interés variable (Euribor) formalizada con fecha 12 de junio de 2013 entre BBVA y UNISONO (apartado 1 de la cláusula adicional) dispone que ” a los efectos del régimen establecido en este documento se entiende por ‘operaciones de pago’, principalmente, los pagos que se efectúen mediante transferencias, adeudos domiciliados, los realizados a través de banca electrónica y los ingresos y retiradas de efectivo; y por ‘por proveedores de pago’, entre otras categorías, las entidades de crédito, incluido el Banco” (letra a) y que la transferencia, como servicio de pago, consiste en “la operación efectuada por orden de una persona física o jurídica, destinada a acreditar una cantidad de dinero en una cuenta de laque pueda disponer el beneficiario de la orden, contra una cuenta titularidad del ordenante abierta en una entidad. El/los Acreditado/ s puede/n actuar como ordenante/s de transferencias ( ) Y en el apartado 3 “Autorización de las operaciones de pago”, establece que “las operaciones de pago se considerarán autorizadas cuando el/los Acreditado/s haya/ n dado su consentimiento, de conformidad con lo establecido en el presente contrato”. Y, como punto de partida señalar que resulta reconocido y consta en el referido contrato que el acreditado era Unísono, no Doña Marí Juana y el contrato solo permitía a el ” acreditado “dar órdenes de pago, siendo que la referida señora no era apoderada ni autorizada por Unísono para realizar las transferencias porque no se encuentra entre los autorizados o apoderados que fueron comunicados por la actora a la demandada ( así consta en el D. nº 10 acompañado a la demanda CD, donde expresamente y con la firma de las interesadas , solo consta como personas autorizadas la Señora Felisa , Lorena , Macarena y los señores Higinio y Isidro ) Añadir que en el apartado 8 de la cláusula adicional a la póliza de crédito en cuenta corriente (pag 3/ 5 del D nº 3 CD) relativo a la relación contractual se prevé sobre la ejecución correcta de una operación de pago” la operación de pago se consignará correctamente realizada por BBVA si se efectúa en la cuenta correspondiente al identificador único facilitado por el/los Acreditado/s ordenante/s a BBVA”. Y en cuanto a la “Comunicación al Banco de operaciones de pago no autorizadas o de ejecución incorrecta” la cláusula indica en su apartado 10 que dicha comunicación “deberá realizarse por el/los Acreditado/s en el plazo máximo de trece meses desde la fecha del adeudo o abono en la cuenta de su titularidad en el Banco, salvo que el Banco no le hubiera proporcionado o hecho accesible la información correspondiente a la operación de pago. El Banco devolverá al/a los Acreditado/s ordenante/s el importe de la operación no autorizada”. ( ) el/los Acreditado/s no será/n responsable/s de las pérdidas derivadas de cualquier operación realizada sin su autorización, salvo que concurra por su parte negligencia grave, una actuación fraudulenta o un incumplimiento deliberado de una o varias de sus obligaciones frente al Banco derivadas de la utilización del mencionado instrumento de pago, en cuyo supuesto será/n responsable/s sin limitación alguna por el uso del citado instrumento. Añadiéndose este extremo importante a efectos de apreciar la carga de la prueba para resolver el tema planteado que: “cuando el/los Acreditado/s no consumidores niegue/n haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá al/a los Acreditado/s demostrar al Banco que la operación de pago no fue correctamente autentificada y/o autorizada de acuerdo con las instrucciones al efecto proporcionadas por el Banco”. Decisión que será objeto de concreción pertinente en el siguiente apartado.
2.- Con estas premisas teniendo en cuenta que se pactó que a la entidad actora le corresponde probar el incumplimiento del que ha derivado el perjuicio como consecuencia de la transferencia operada, pacto que se contradice con la regulación al respecto precisando que la carga de la prueba en función de la aplicación de la Ley 22/2007, de 11 de julio, sobre comercialización a distancia de servicios financieros destinados a los consumidores le corresponde al banco ” Artículo 17. Carga de la prueba. Corresponderá al proveedor la carga de la prueba del cumplimiento de las obligaciones que le incumban al amparo de esta Ley, en materia de información al consumidor, así como del consentimiento del consumidor para la celebración del contrato y, cuando proceda, para su ejecución”, así como el contenido el artículo 30 Ley 16/2009 de 23 de noviembre. ” Prueba de la autenticación y ejecución de las operaciones de pago. 1. Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá a su proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico o cualquier otra deficiencia.”; se resolverá armonizando el contenido de ambos postulados.
Se ha reconocido por ambas partes que ha tenido lugar en base al conocido como “fraude del CEO”, será preciso determinar hasta qué punto la mecánica de esta forma de defraudar afecta al incumplimiento de las obligaciones pactadas entre las partes. Es un fraude que mezcla técnicas de ingeniería social y phishing para conseguir que una persona con acceso a las cuentas de una empresa piense que su jefe le está encargando hacer un envío de dinero ligado a una operación. O en todo caso, que le proporcione datos bancarios de la empresa. Las víctimas suelen ser estudiadas previamente para que el engaño sea creíble.
Habitualmente se atacan pequeños negocios, donde la relación del CEO con los empleados es cercana y un correo de estas características puede tener sentido. El fraude del CEO se realiza normalmente por correo, pero puede ser por WhatsApp o cualquier otra vía de comunicación por la que el jefe de la empresa podría solicitar algo. Como ocurre en otros ataques, normalmente los atacantes suelen utilizar direcciones de correo con un nombre similar al real para que la víctima no se percate a primera vista. Haciendo uso de ingeniería social (una forma de engaño), los ciberdelincuentes hacen clickar a la víctima en su enlace de Google Drive o Google Docs. A partir de aquí, los atacantes pueden desde colocar un malware en el ordenador del empleado, hasta proseguir con la estafa e intentar que se realice la transferencia supuestamente dictada por el CEO.
La mala praxis en la actuación de BBVA cuando ejecutó la orden de transferencia se pone de manifiesto por una serie de circunstancias, a saber, en principio porque quien estaba solicitando la transferencia, comunicándose con la entidad (Correos aportados a autos Dnº10 CD) era la señora Marí Juana que no figuraba en la lista de apoderados recogida por BBVA, como se ha indicado anteriormente, y que su condición de administrativa de la entidad no la autorizaba a efectuar. Condición que fue reconocida por la referida señora en el acto de juicio e indicando en su justificación que lo hizo porque creyó que había sido la presidenta Señora Felisa quien la había pedido esta actuación en confianza, suponiendo ello en su personalidad un plus y máxima autoestima. Destacar, ya desde este apartado, que fueron dos las transferencias solicitadas pero efectuada solo la primera, porque la segunda por importe de 379.043,05€ no fue ejecutada ya que la entidad demandada aun cuando la forma de realizar la solicitud fue la misma, se percató de que no se cumplía con los cánones exigidos, reconociendo a la ordenante que la operativa era ilegal. Reiterando, tanto una como otra transferencia se efectuó con el secretismo que la ordenante consideraba necesario derivado de la exigencia y confianza con que la Señora Marí Juana había creído que se la había encomendado por la presidenta de la entidad (D.nº 14 CD presentado por el actor) … “esta transferencia la ha enviado por petición expresa la presidenta del grupo, y solo la llevo yo, por eso no he puesto en copia a nadie ..”. También en el resto de correos aportados por el actor-apelante (CD)se constata que la respuesta dada por la entidad, Doña Raquel, es manifestación de que se era consciente que no se actuaba conforme a lo acordado y legalmente regulado … ” nosotros no podemos hacer transferencias que nos lleguen por correo electrónico o por fax …solo hay excepciones cuando lo tenemos recogido en un contrato firmado con el cliente …y esas no son las instrucciones que nos tenéis dadas…”. Efectivamente, la propia trabajadora del Banco, Doña Raquel , referida anteriormente, en el acto del juicio señaló que ” no autorizó la segunda transferencia porque el secretismo de la solicitud la hizo sospechar “Pero, sin embargo, en iguales condiciones, si se autorizó la primera ,no apreciándose por esta Sala, a la vista de los correos aportados diferencia alguna entre ambas comunicaciones, el secretismo se aprecia en las dos solicitudes, destacándose a estos efectos la declaración efectuada por la señora Rocío en el sentido de que no se retrocedió la primera transferencia a diferencia de lo que sucedió con la segunda, siendo exactamente iguales, lo que significa que la actuación del Banco no es acorde con una exigencia a la hora de cumplir con la verificación de la exactitud de las solicitudes de los clientes. Resulta evidente que en el caso hubo un incumplimiento contractual del banco al ejecutar una orden de pago sin comprobar su legitimidad, es decir, que provenía efectivamente del titular (o autorizado) de la cuenta, al no disponer de un sistema adecuado de seguridad que previniera tal tipo de órdenes fraudulentas ni adoptar medidas concretas y específicas en el caso cuando toma conocimiento de una situación operativa anormal que debió, cuando menos de forma puntual y excepcional, a verificar cualquiera orden que se diera en relación a las cuentas de la demandante.
4- Tampoco sirve de excusa a la entidad apelada la inclusión de avisos en web y otros medios de la entidad sobre el comportamiento seguro que en el uso de la plataforma había de tener el cliente -que por lo demás, conforma una concreta obligación contractualmente asumida – en tanto no es sino una fórmula predispuesta por el profesional, vacía de contenido al resultar contradicha por los hechos que no son otros que las barreras informáticas efectivas que deben estar implementando el sistema. ” Señala la sentencia de la APA referida anteriormente, y que es tomada en consideración para no entender justificada la actuación de BBVA en el sentido de que remitiera a los clientes una comunicación estándar sobre el llamado “fraude del Ceo”, en el que sugería que se adoptasen unas cautelas para evitarlo, se trataba de una comunicación pro forma (D. nº 37 DC acompañado a la contestación) fechada en mayo 2017 cuyos parámetros después no fueron respetados y cumplidos por la propia entidad ya que, amén de lo expuesto, hay que tener en cuenta que BBVA no tuvo en cuenta que se hacía una transferencia a un destino “especial” y donde nunca había efectuado una orden la entidad apelante, debiendo destacar para acreditar la falta de control y no de apreciación del protocolo para evitar estos fraudes, como la reiterada trabajadora del Banco Señora Raquel declaró… ” no se ni a quien se lo mandan ..yo no tengo porque mirar el destino ..”. Añadir por entender importante a efectos de la mecánica del fraude de CEO, que cualquier comunicación que la actora apelante hubiera hecho a sus empleados para evitar el fraude se hubieran dirigido a los empleados que tenían capacidad y autorizados para disponer del dinero y así, si BBVA aceptó ordenes de transferencia de personas que no están autorizadas para disponer del dinero de UNISONO de nada hubieran servido los controles y comunicaciones que la empresa hubiera podido establecer. Destacar que la firma de la presidenta que constaba en el documento unido al correo enviado al Banco y que se incorporaba como archivo adjunto a la carta de transferencia era manifiestamente falsa, consistiendo en un corta y pega según informe pericial de profesional informático y ratificado en declaración efectuada en el acto de juicio, donde se refería a que se podía apreciar a simple vista, y el Banco ni cotejó firma, ni examinó hasta el punto de poder apreciar esa posible falsedad así como no se percató, por falta de diligencia en su actuación, de que el procedimiento seguido para llevar a cabo las transferencia no tenía que ver con el regular y habitual en el que solo en operaciones excepcionales se permitía que las transferencias se llevasen a cabo a través email o fax, poniéndose en copia las direcciones de correo del buzón genérico de la sucursal bancaria, del gerente de la cuenta, del buzón genérico y de la persona responsable, puntualizaciones y exigencias que no se cumplieron como se ha venido especificando a lo largo de esta resolución y consta en la propia declaración de la señora Marí Juana en el sentido que no hacia ordenes de transferencia y que, en su caso, siempre se ponían en copia a personas de la entidad. También hay que destacar que BBVA no cumplió tampoco el protocolo reconocido entre las partes procesales (D nº 16 CD acompañado a la contestación), donde expresamente se hace constar la forma de actuación para ordenar transferencias, entre ellos que la orden fuera dirigida desde un correo que no fue el que se mandó siendo que BBVA se dirigió única exclusivamente al correo electrónico que usó la señora Marí Juana y al teléfono personal de ella, la declaración del señor Vidal viene a corroborar este extremo … ” en ese protocolo se establecían una serie de teléfonos corporativos …”. 5.- Para concluir y partir de la decisión tomada por esta Sala que la entidad bancaria actuó sin tomar las medidas de diligencia y seguridad exigidas es preciso referir la consecuencia del incumplimiento, siendo como medida previa la obligatoriedad de devolver de inmediato el importe de la operación, no estando de acuerdo con lo indicado en la sentencia apelada cuando señala… “que lo que hay que analizar es la causa que ocasionó la estafa …” porque esto es cuestión penal y como se viene reiterando lo que es objeto de presente es la posibilidad o no de aceptar una transferencia bancaria por persona no autorizada, así como el cumplimiento por la entidad bancaria del protocolo de referencia. Se acredita (D nº 21 CD acompañado a la demanda) la tardanza que BBVA efectuó en la solicitud de devolución de la cantidad transferida, la trabajadora de BBVA Señora Macarena contesta en el siguiente sentido … “me sorprende mucho que no se iniciara la solicitud de devolución el mismo viernes tras haber hablado contigo por teléfono…” y, posteriormente se les comunica que el beneficiario de la transferencia no tiene fondos en su cuenta; lo que supone que será el demandado apelado en autos quien al ser responsable de la realización incorrecta de la transferencia deberá correr con la consecuencia reintegrando la cantidad.
_____________________________________________________________________
Órgano | Audiencia Provincial Sevilla |
Fecha | 30/07/2021 |
Sentencia número | 289/2021 |
Resultado | Condenatoria del 50% |
Importe | 1.238.907,26 EUROS |
Entidad | BANCO SANTANDER, S.A |
Resumen:
CUARTO.- A efectos de tal enjuiciamiento se hace necesario determinar en primer lugar cual fue la secuencia de los hechos para, una vez fijada, dilucidar las responsabilidades de las partes en los mismos. Pues bien, la sala tras examinar el material probatorio obrante en las actuaciones considera probado : A) Relaciones contractuales entre las partes. No se discute que Syrsa Automoción opera desde hace muchos años con Banco de Santander y en concreto con la oficina sita en el Polígono Store calle A-8 B de esta Capital (Sucursal 6078), muy próxima a su sede social. Por otra parte resulta también admitido que ambas partes suscribieron un contrato de cuenta corriente nº 0049 6078 9022 1610 6601 cuyas condiciones generales se aportan por la actora como documento núm. 9 y cuya condición general 3.2 establece: “Tratándose de cuenta corriente, los pagos que el Banco realice con cargo a la misma estarán motivados por las correspondientes órdenes del titular. El Banco no atenderá aquellas órdenes de pago cuya firma o restantes menciones no le ofrezcan garantía de autenticidad por cualquier causa.El titular podrá disponer de la Cuenta, entre otras formas, mediante ia utilización de los cuadernos de cheques y pagarés de cuenta corriente que le pueda facilitar el Banco”.
También resulta acreditada con el documento nº 10 de la demanda, no impugnado, la suscripción entre las partes de un contrato marco de servicios de pago, identificado con el número 0049-6078-732-BBBBB en cuyas cláusulas segunda y cuarta se establecía:”
“SEGUNDA.- Servicios de pago amparados en el contrato marco. De acuerdo con lo establecido en la Ley de Servicios de Pago, quedan amparados por este contrato marco los siguientes servicios de pago que se presten en territorio español, además de los que en un futuro determine ia legislación aplicable vigente en cada momento: 1- Los servicios que permiten el ingreso o retirada de efectivo en o de una cuenta de pago y todas las operaciones necesarias para la gestión de la propia cuenta de pago. a) Ejecución de adeudos domiciliados, incluidos ios adeudos domiciliados no recurrentes. 2. – La ejecución d e operaciones de pago a través de una cuenta de pago abierta en el banco o en otro proveedor de servicios de pago, o cuando los fondos estén cubiertos por una línea de crédito concedida por ei Banco: b) Ejecución de operaciones de pago mediante tarjeta de pago o dispositivo similar. c) Ejecución de transferencias, incluidas las órdenes de pago recurrentes. 2. – La emisión y adquisición de instrumentos de pago. 3. – El envío de dinero. 4.- La ejecución de operaciones de pago en las que se transmita el consentimiento del ordenante mediante dispositivos de telecomunicación digitales o informáticos v se realice el pago a través del operador de la redo sistema de telecomunicación o informático que actúa únicamente como intermediario entre el cliente v el prestador de bienes v servicios”. “CUARTA.- Consentimiento y revocación del mismo para ia ejecución de órdenes de pago. Las operaciones de pago se considerarán autorizadas cuando el cliente haya dado el consentimiento para su ejecución de acuerdo con lo que en cada caso se establezca en los contratos singulares. Para ordenar transferencias en la oficina del Banco, el cliente deberá cumplimentar ei formulario que el Banco le facilite al efecto”.
Por último , según resulta del documento nº 11 de la demanda, el 11 de junio de 2.0122 Syrsa Automoción se adhirió al servicio Santander Global Web a fin de operar a través de la banca electrónica, firmando un contrato en cuya condición general 2ª.1 se establecía: “El funcionamiento del servicio, cuya instalación, en su caso, será facilitada por el Banco se basa en la utilización de dos tipos de claves: la clave de acceso. que permite al cliente entrar en el Servicio, grabar sus órdenes y transmitirlas al Banco; y la clave de ejecución, que permite al cliente ordenar el cumplimiento de las diferentes órdenes cursadas” y en cuya condición general 6ª se pactaba: ” 6.1 Dada la especial naturaleza y peculiaridades que presenta el Servicio, el Cliente se obliga a realizar una comprobación diaria, a través de su terminal de ordenador, del movimiento de su/s cuenta/s, debiendo denunciar telefónicamente al Banco cualquier anomalía que observe, con confirmación por escrito, con acuse de recibo, y todo ello, dentro del plazo máximo de dos días hábiles a contar desde que la información relativa a tal anomalía haya estado reflejada en la cuenta del Cliente…” B) Operativa ordinaria. No se discute que la única persona con poderes de Syrsa Automoción ante el Banco era D. Abel , director general de la empresa y, según resulta de la documental obrante en las actuaciones y de la pericial aportada por la actora elaborada por Deloitte, Syrsa efectuaba la mayor parte de las transferencias desde la cuenta 0049 6078 9022 1610 6601 utilizando, pese a lo que se dice en la sentencia, la banca electrónica, es decir de forma on line, sistema al que no se acudía cuando se trataba de hacer transferencias internacionales. Consta igualmente acreditado que en los cinco últimos años anteriores a los hechos solo se habían hecho trece transferencias internacionales, todas ellas a países de la Unión Europea (SEPA), por importes reducidos, siendo el mayor de 9.235,52 euros y el importe total de 46.295,87 euros. Todas estas transferencias, según resulta del documento nº 12 de la demanda se realizaron por correo electrónico mediante e-mails enviado por D. Eusebio , empleado de Syrsa, con categoría de administrativo, desde la dirección de correo corporativo de la empresa a la subdirectora de la oficina bancaria, Dª Raquel a su dirección de correo corporativo de Banco de Santander. No se acompañaba a los correos orden de transferencia alguna firmada por el apoderado de la empresa, sin que Banco de Santander haya acreditado que tales órdenes existieran realmente, sino que en el texto de los e-mails se contenían los datos de la transferencia expresando los conceptos y acompañando en la mayoría de los casos las facturas correspondientes. Es cierto que el Juez de Primera Instancia afirma en la sentencia que en fechas coincidentes con los hechos de autos se realizaron transferencias internacionales a RCI Bank por importe superior a dos millones de euros, pero de la documental aportada por el propio banco por escrito de 13 de marzo de 2.018 se deduce que tales transferencias se realizaron vía electrónica, yendo los fondos transferidos a una cuenta titulada por RCI Bank perteneciente al grupo de la actora, domiciliada en el propio Banco de Santander. C) Secuencia de los hechos. Como resulta acreditado por la prueba testifical practicada en el acto de la vista y por la documental que soporta el informe pericial de Deloitte, estando de vacaciones D. Eusebio , el 10 de agosto de 2.016, Dª Paloma , administrativa de Syrsa del mismo departamento que el Sr. Eusebio , recibió una llamada de una persona que se identificó como Esteban , Abogado del despacho KPGM, que le manifestó que llamaba en nombre de D. Abel , que necesitaba hacer una serie de transferencias urgentes para una operación confidencial que tendría que realizar ella. A continuación el supuesto Sr. Esteban remitió correo electrónico a Dª Paloma a las 10:16 horas aludiendo a la conversación anterior e indicándole que le adjuntaba una cláusula de confidencialidad para que se la devolviera firmada, correo al que respondió ésta a las 10:30 poniéndole de manifiesto que el pdf le aparecía en blanco. A las 10:44 la Sra. Paloma recibe un correo electrónico que supuestamente el dirige el Sr. Abel en el que le pregunta si se ha puesto en contacto con ella el “Dr. Esteban ” en relación a un caso confidencial y a las 10:47 otro del Sr. Esteban conteniendo la cláusula, en el que le pide confirmación de que consigue abrir el pdf correctamente. Acto seguido, a las 11:03 el supuesto Sr. Abel remite nuevo correo a la Sra. Paloma del siguiente tenor: ” Paloma, Permíteme resumirte la posición, en primer lugar este caso debe de ser manejado únicamente por ti y en ningún caso quiero que lo hables con nadie hasta el anuncio oficial de la compra, por eso vas ha recibir las cláusulas de confidencialidad a enviarle al Dr. Esteban firmadas para que pueda explicarte con más detalles la gestión diplomática a seguir. Ruego con toda tu profesionalidad y reactividad en este tema con el fin de no levantar cualquier sospecha .Por tanto este asunto debe de ser manejado solo por ti por el momento debido al retraso que llevamos con esta operación Para que esta operación sea jurídicamente valida, el abogado insistió en que mantendremos este intercambio electrónico para una mejor No trazabilidad hasta el anuncio oficial de la OPA que se realizara el 29 de Agosto 2016 en nuestras oficinas centrales con la presencia de toda la junta administrativa; y por favor no hagas ninguna ilusión sobre este asunto ya sea oral o telefónicamente, tal como nos lo impone el procedimiento establecido por la CNMV (Comisión Nacional del Mercado de Valores). Te informo que he firmado una carta de confidencialidad y de pleno poder con el mediador de la CNMV y con el bufete jurídico de KPMG representado por el Dr. Esteban que es la única persona a cargo para gestionar y supervisar el protocolo que ha impuesto la CNMV. Saludos,” Posteriormente, tras un intercambio de mensajes entre Dª Paloma y el Sr. Esteban, el supuesto Sr. Abel volvió a mandar a aquélla a las 12:35 horas otro e-mail del siguiente tenor: “Gracias Paloma , Mi abogado me ha confirmado que ha recibido tus cláusulas firmadas. Para terminar, el protocolo es muy estricto y para no arriesgar la divulgación de información y poder comprometer este asunto, a partir de este momento todos los intercambios o demandas se harán únicamente a través de Esteban, quien tiene todos los poderes necesarios y mi total confianza para tratar estas operaciones. Por medio de seguridad gracias de no responder a este mensaje y de no volver a comunicarte conmigo en mi correo electrónico o oralmente sobre este caso. Saludos,”. El supuesto letrado de KPGM , una vez recibida firmada la cláusula de confidencialidad pidió por el mismo conducto a Dª Paloma que hiciera una transferencia por importe de 319.674 euros que correspondería al 4% de la operación para la “compra del Holding”, enviándole factura, con cuyos datos la misma elaboró una orden de transferencia que remitió a aquél para que la firmara el Sr. Abel , recibiendo por e-mail un pdf con la orden de transferencia supuestamente firmada por éste, pdf que Dª Paloma remitió a Dª Raquel , subdirectora de la oficina bancaria, que exigió que se le enviara el original, ante lo cual Dª Paloma imprimió el pdf estampando un sello de la empresa en el documento resultante , remitiéndolo a la oficina a través del mensajero con el que operaba normalmente Syrsa, con lo cual Dª Raquel efectuó la transferencia a la entidad Guangdong Huangha Holding Group Com a una cuenta de su titularidad en el banco China Construction Bank Corporation. Por idéntico procedimiento entre los días que transcurrieron hasta el 30 de agosto se efectuaron ocho transferencias más, las dos últimas de 29 de agosto, en favor de otra entidad denominada Hongkong Wangyuen Trade Co LTD. El importe total transferido fue de 3.274.812,57 euros., cargándose comisiones por importe de 1.444,05 euros. El 17 de agosto se incorporó de las vacaciones el Sr. Eusebio que comenzó a preguntar por las transferencias a Dª Paloma , que le manifestó que las mismas obedecían a compras de vehículos, si bien al ver que el mismo le iba a preguntar a un superior quien estaba firmando las órdenes de transferencia, le dijo que no comentara nada con nadie porque las operaciones se estaban haciendo por orden directa del Sr. Abel . El 30 de agosto Dª Paloma se puso en contacto con KPGM hablando con D. Esteban que negó haberle remitido comunicación alguna, indicándole que su correo había sido suplantado, tomando conciencia de haber sido estafada. Syrsa interpuso denuncia ante la Policía Nacional (documento núm. 29 de la demanda ). que dio lugar a las Diligencias Previas núm. 1854/2016 del Juzgado de Instrucción núm. 10 de Sevilla (documento núm. 30 de la demanda) que fueron sobreseídas por falta de autor conocido tras informe emitido por la UDEF que concluía que el modus operandi coincide con lo que se denomina “Estafa del CEO”, delito en que el delincuente suplanta la identidad de una persona con alto poder de decisión en una empresa (el Director Ejecutivo o Financiero) y mediante su cuenta de correo u otra parecida ordena a los empleados de contabilidad realizar pagos a otras cuentas corrientes. Indica la UDEF en su informe que la hipótesis más probable es que el acceso a la dirección de correo electrónico y la firma del director general de la entidad se hubiera realizado mediante un acceso ilegal informático, pues Dª Paloma proporcionó su cuenta de correo en la primera llamada que recibió del suplantador del abogado de KPGM y éste acto seguido le remitió un e-mail al que adjuntaba un pdf con unas supuesta cláusula de confidencialidad, que la misma pinchó y no pudo abrir, lo cual puede ser indicativo del uso de una técnica de”phising” que consiste precisamente en la remisión de correos conteniendo documentos o enlaces a los que el usuario intenta acceder, de forma que al pinchar sobre ellos se descarga un exploit, o directamente un malware, lo cual permite al hacker acceder a la información del equipo o equipos que estén en red, utilizando además el autor de los hechos un nickname para conseguir que la víctima a primera vista lo identificara con las personas a quienes se pretendía suplantar.
No se ha probado en las actuaciones que Dª Paloma tuviera poder o delegación alguna de Syrsa para ordenar transferencias, constando tan solo un correo electrónico remitido por D. Eusebio a Dª Raquel el 24 de junio de 2.016 en que le comunicaba con relación a una retrocesión de transferencia, que como se iba de vacaciones ponía en copia a su compañera Paloma para que una vez estuviera hecha la retrocesión se lo comunicara a ésta para que hiciera la transferencia correctamente. A partir de tales hechos la sala considera que, frente a lo que sostiene el Juez de Primera Instancia, nos encontramos ante órdenes de transferencia no autorizadas en tanto en cuanto carecían de firma autógrafa del apoderado de Syrsa. Niguna prueba se ha practicado sobre la existencia de un ejemplar original firmado por el Sr. Abel de las órdenes de transferencia, falta de prueba que en este caso como indica el apelante ha de perjudicar a BS dada la inversión de la carga de la prueba que impone el art. 30 de la Ley de Servicios de Pago. Parece darse a entender por BS que pudieran existir órdenes reales firmadas por D. Abel cuya falta de autenticidad no se ha probado, pero ello llevaría a considerar que Syrsa estaría simulando haber sido estafada, cosa de la que no existe indicio alguno. y sobre la que ninguna prueba se ha practicado Es cierto que tales órdenes se recibieron primero en PDF desde un correo electrónico perteneciente a una empleada de Syrsa que, al menos en otra ocasión había sido designada por D. Eusebio para que pudiera hacer una transferencia un asunto puntual y que posteriormente se entregaron en papel con sello de la empresa a través del mensajero que normalmente trabajaba para Syrsa. Es cierto también que en los cinco años anteriores a los hechos el Sr. Eusebio , que es administrativo como Dª Paloma , ordenó 13 transferencias internacionales sin que existiera orden firmada por el apoderado de la empresa, pero no puede perderse de vista que, como indica la recurrente, en este caso las circunstancias concurrentes eran muy distintas, existiendo diferencias muy significativas. En concreto: – Las transferencias ordenadas por el Sr. Eusebio eran por importes que nunca superaron los 9.235,52 euros, totalizando 46.295,87 euros, mientras que las de autos eran todas por importes superiores a 250.000 y totalizaban más de tres millones de euros. – Las transferencias ordenadas por el Sr. Eusebio iban dirigidas a cuentas radicadas en el espacio de la Unión Europea, en tanto que las que nos ocupan se dirigían a China, sin que conste que nunca Syrsa hubiera realizado transferencias fuera del espacio europeo. – Las transferencias ordenadas por el Sr. Eusebio o iban acompañadas de las facturas o contenían al menos el concepto a que obedecían, mientras que las de autos ni iban acompañadas de factura, ni indicaban el concepto. – Aquéllas eran transferencias SEPA, éstas SWIFT, sin que conste que nunca SYRSA hubiera ordenado este tipo de transferencias a BS. Además, Dª Raquel reconoció en el acto del juicio que conocía las Newsletter dirigidas por BS a sus empleados, incorporadas a las actuaciones a instancias de la actora, instrucciones en las que se les alertaba sobre la proliferación de fraudes por el sistema conocido como estafa del CEO, especialmente en periodos vacacionales como el mes de Agosto, describiéndose operativas, si no absolutamente iguales a la que nos ocupan, si con evidentes coincidencias, incluso con especial mención a China como sede de las cuentas a las que se dirigían las transferencias fraudulentas ordenadas por suplantadores de altos directivos de empresas. Ante tales circunstancias se considera que Dª Raquel no debió conformarse con las órdenes con firma escaneada del Sr. Abel por mucha apariencia de autenticidad que tuvieran, sino que debió exigir órdenes con firma original autógrafa o haber llamado al Sr. Abel o a alguien con mayor poder de decisión en la empresa que la propia administrativa que cursaba la orden y que como tal , en el plano hipotético, aunque no sea este el caso, pudiera estar involucrada en un intento de fraude a Syrsa. Así las cosas, no pude considerarse que se guardara la diligencia debida por una entidad bancaria en la autenticación de las órdenes de pago, diligencia que como ya hemos dicho no es la de un buen padre de familia, sino la de un experto comerciante y en consecuencia la responsabilidad de BS es evidente. Ello no obstante, es cierto que tampoco la conducta de SYRSA fue absolutamente diligente pues, probado que con la cuenta se operaba on line, la entidad podía tener acceso diariamente a sus movimientos y siendo ello así pudo y debió percatarse de la existencia de las transferencias de autos, totalmente inusuales en la operativa de la empresa de las que al menos desde el 17 de agosto se apercibió el Sr. Eusebio . De haber desplegado una diligencia propia de un comerciante experto, que también es exigible a una entidad como Syrsa, es evidente que se hubiera podido dar avisto a tiempo e impedir que se hubieran hecho tantas transferencias e incluso que se hubiera podido recuperar parte de los fondos defraudados. Ha de tenerse en cuenta que conforme a la condición general sexta del contrato de adhesión al servicio Santander Global Web pesaba sobre la actora la obligación de revisar diariamente los movimientos de la cuenta y de comunicar cualquier anomalía de forma inmediata, como máximo en el plazo de dos días, cosa que a todas luces incumplió. Por tanto, se considera adecuado limitar la responsabilidad de la demandada al 50% de la suma reclamada, pues el hecho de que el art. 29 de la Ley de Servicios de Pago fije un plazo máximo de 13 meses para comunicar la no autorización de una orden, no obsta a nuestro juicio para que, caso de producirse una tardanza en la comunicación injustificada y negligente, como en este caso, no pueda atenuarse la responsabilidad del proveedor haciendo aplicación del art. 1.103 del C.c. Por último la demandada deberá indemnizar a la actora con los intereses legales de las cantidades a cuyo pago se le condena, no desde las fechas de las transferencias, como solicita Syrsa, sino desde el 15 de septiembre de 2.016, fecha en que se produce la primera reclamación extrajudicial conforme a lo establecido en los artículos 1.100, 1.101 y 1.108 del C.c.)
_____________________________________________________________________
Órgano | Audiencia Provincial Teruel |
Fecha | 14/07/2021 |
Sentencia número | 136/2021 |
Importe | 8233,87€ |
Entidad | PANEL ARAGON S.L |
Resumen:
I.- La sentencia recurrida estima íntegramente la pretensión de la demanda, y condena al demandado a abonar a la actora la suma de 8.233,87 euros, correspondiente a la factura impagada por el demandado, con el número 904. Frente a este pronunciamiento se alza la parte actora, que aun reconociendo la realidad de la deuda, pretende exonerarse del pago de la misma por qué, habiendo sufrido al efectuar el pago de una estafa informática (phising), que le llevó a ingresar el importe de la misma en una cuenta corriente distinta de la de la actor, imputa a esta última negligencia en el cobro, pues al no haber comprobado de forma inmediata la inexistencia de la transferencia, no permitió al recurrente retroceder las misma.
II.- Los hechos que sustentan la reclamación de la demanda son los siguientes: 1.- La parte actora, en fecha martes 30/7/2019 remitió al demandado un correo electrónico desde la dirección “administracion@panelaragon.com” con el siguiente asunto “Devolución recibo fra. nº NUM000 ” explicando que les habían devuelto el recibo de la factura NUM000 por importe de 8.254,12 €. -. En dicho correo electrónico se adjuntaba una cuenta de La Caixa terminada en NUM001 2.- Poco después, el mismo demandado, D. Juan recibe un nuevo correo electrónico, en su dirección solmetan@solmetan.com, desde la dirección falsa administracion@pa-nelaragons.com diciéndole que hiciera la transferencia a la cuenta NUM002 , distinta de la facilitada por la actora del de la actora que era de la CAIXA.
III.- En fecha 19 de Agosto de 2019, tanto la actora como el demandado se apercibieron de que el ingreso no había sido hecho en la cuenta de la actora, advirtiendo el engaño, por lo que, en el siguiente día, el demandado interpuso denuncia ante la Guardia Civil.
Partiendo de estos hechos, y de reconocimiento por parte del demandado de la realidad de la deuda, el motivo de oposición a la demanda, que se reproduce en el recurso, es que el actor actúo de forma negligente, al no comprobar el pago en la fecha en que se hizo (30 de Julio de 2019), que hubiera permitido al demandado retroceder la transferencia; lo que a su juicio le exoneraría del pago de la misma.
Este planteamiento no puede ser admitido por el Tribunal. Conforme al Art. 1162 del C. Civil, el pago deberá hacerse a la persona en cuyo favor estuviese constituida la obligación, o a otra autorizada para recibirla en su nombre. En el presente caso, el pago se hizo a persona distinta del acreedor, y si bien no cabe duda de que el demandado fuere objeto de un engaño informático (phising), que le llevó a efectuar el pago de forma errónea, no puede hacer recaer sobre las consecuencias de este hecho sobre el titular del crédito, al que no alcanza ninguna responsabilidad, por el hecho de haber demorado la comprobación del pago en la cuenta corriente, pues ello no constituye ninguna obligación del acreedor.
En consecuencia, la impugnación debe de ser rechazada.
_____________________________________________________________________
Órgano | Audiencia Provincial Barcelona |
Fecha | 30/04/2021 |
Sentencia número | 292/2021 |
Resultado | Condenatoria 50% |
Importe | 1.566.951,50 euros |
Entidad | BANCO SANTANDER |
Resumen:
Quart. La part demandada combat la sentència d’instància en primer lloc argumentant que el document d’instruccions de 17-12-2014 segons el qual des d’aquell moment només es podrien fer transferències ordenades des de Privalia per mail i carta adjunta a empreses del mateix grup i en tot cas prèvia conformitat via telefònica donada pel Sr. Domingo , anava limitat a evitar només les suplantacions d’identitat a través de frau per atac informàtic al sistema de Privalia de manera que un tercer logrés operar fent-se passar per Privalia front del banc, no pas per evitar qualsevol frau, incloent els enganys patits directament per la persona que materialment ordenés la transferència.
No es pot acollir. Els termes de dit document són ben clars. I plantegen una operativa ben senzilla, un límit de possibles destinataris ben definit i una prèvia trucada de conformitat a un responsable principal de Privalia. Serveix, per tant, objectivament, per prevenir qualsevol tipus de frau. Llevat que l’estafat o enganyat fora la mateixa persona cridada a confirmar en darrer termes aquestes ordres, extrem altament improbable. No eren tampoc, objectivament parlant, tan difícils d’assumir i de seguir per part del banc aquestes instruccions, màxim si tenim en compte que aquest tipus de transferències -segons l’actora i sense que ho hagi desmentit la demandada- obeïen a que anaven les transferències garantides amb un cap o un swap de tipus de canvi que no es podia ordenar via banca on- line al mateix temps que l’ordre de transferència en sí. I operacions que, del conjunt del declarat pels testimonis del propi banc, només afectaven l’oficina de Pere IV, on havia estat transferida pel propi banc el compte de Privalia a efectes de poder-li prestar -segons la demandadael servei propi del segment de grans empreses en el que la van integrar.
De manera que les instruccions per a aquests casos concrets no necessitaven, de cap manera, integrar-se en cap supersistema informàtic (per molt que aquest sigui la intenció del banc en tot cas) que afectés tota l’operativa del banc, ja que només afectaven una oficina. Ni es pot dir que foren manifestament inassumibles per incompatibles amb els protocols interns del banc.
Simplement es demanava que només es permetrien per mail més carta les ordres adreçades a fer transferències a empreses del propi grup Privalia. Que segons l’actora -i no ho ha desmentit el banc demandat eren filials situades al Brasil, respecte de les quals s’havia d’operar entre Santander Espanya i Santander Brasil a fi d’assegurar el millor tipus de canvi del real.
Aquesta peculiaritat operativa era la que impedia usar del sistema de banca privada per a aquestes concretes transferències. Altrament, el banc no va negar-se en cap moment a seguir aquestes instruccions. No ens ha aportat cap prova objectiva d’haver-ho fet per telèfon, com afirmen els seus empleats. Ni, per suposat, per escrit. Encara que poguéssim acceptar que el segellat del document retornat a Privalia només tingués -per al banc- efectes de restar assabentat o simplement d’haver rebut el missatge, no dir res concret per al client, angoixat per haver patit ja un espoli previ per mitjans informàtics, no entenem que fora la resposta adequada. Com tampoc ho era insistir en l’ús de banca on line o l’adaptació del nou programa tramès adjunt, perquè el banc havia de ser tan conscient com el client de que les transferències ordenades per mail més carta adjunta obeïen a que en aquests casos s’ordenava també emetre un mecanisme d’assegurament del tipus de canvi.
No havent-hi un rebuig exprés, no es pot deduir concloentment, com pretén el banc, que regís el sistema anterior i que tornés a ser Nieves la persona designada per a confirmar i ordenar transferències, quan precisament el sentit del mail de 17-12-2014 era evitar que algú estrany a la companyia, la pogués enganyar o manipular el seu correu. D’aquí que cobri sentit la rèplica del Sr. Isidoro a dita resposta per mail afirmant que això que se li proposava xocava frontalment amb les instruccions donades. Després de quin intercanvi epistolar no consta cap altra comunicació concloent. I d’aquí que cobri sentit que Privalia segueixi mantenint a dia del judici que per a ells havien estat acceptades les noves condicions.
El banc ens diu -però no ens ho demostra amb dades objectives- que en dates prèvies a les transferències fraudulentes que ens ocupen se’n van fer de similars seguint el procediment anterior. Per bé que la part actora reconeix en algun moment de les declaracions dels seus empleats i ex-empleats que alguna de poca quantia es podia haver donat. Però cap d’envergadura similar. Clarament aquestes instruccions lliurades a finals de 2014 pretenien evitar no solament phishings sinó tota mena de fraus.
Cinquè . El segon motiu de recurs combat la sentència invocant que el banc va complir amb tots els deures que li eren exigibles legalment i que remet al seu propi protocol intern i sosté que es van continuar confirmant les ordres emeses per mail amb carta adjunta amb la Sra. Nieves. No es pot acollir.
El banc pretén imposar la seva normativa interna i ignorar qualsevol ordre dels clients amb finalitat protectora dels seus comptes. Aquesta teoria, portada a l’extrem, hauria fins i tot d’impedir blocar un compte en cas de pèrdua d’una tarja de crèdit i és públic i notori que totes les entitats bancàries faciliten l’emissió d’aquestes ordres per telèfon, mail, per comunicació informàtica directa a través del telèfon mòbil o de l’ordinador. Facilitant i abreujant els tràmits a la pulsació de tecles que emeten simples missatges predeterminats al respecte.
Se’ns dirà que aquests mecanismes ja estan integrats al protocol general i al sistema general del banc. Cert. Però de no ser-hi, el banc entenem que, d’arribar a rebre el missatge en l’oficina de l’operativa normal del client, estaria obligat a admetre aquestes instruccions en base als arts. 1254 i 1258 CC (bona fe contractual) sens cap mena de dubte. Entendre el contrari seria deixar indefens el client. I, com ja hem avançat més amunt, no es pot pretendre, sense prova, que després de l’intercanvi de correus electrònics comentat, s’haguessin ordenat i fet transferències seguint el mètode anterior, de similar quantia a les defraudatòries i a favor de qualsevol empresa aliena al grup Privalia.
En aquest cas, aquí també resulta vistós que el frau s’ha produït per transferències no solament a favor d’empreses alienes al grup, més en concrte filials brasilers, sinó situades en un país on el client diu que no hi tenia cap intercanvi comercial -extrem que el banc no desmenteix, manifestant simplement que es tractava d’una multinacional amb molt de moviment-.
Sisè. El tercer motiu de recurs combat la sentència posant l’èmfasi en que la causa determinant del frau ha estat que aquest ve determinat per un engany a la persona que ordena les transferències. No suplantant-ne l’identitat. I que evidentment el responsable del perjudici és el lladre i no el banc, afavorint enormement la comissió del delicte la pròpia empresa perjudicada en no comprovar la certesa de l’ordre determinant de la decisió d’ordenar les transferències. I considerant que encara que s’hagués infringit el protocol per part del banc, no essent Privalia un consumidor, aquesta infracció seria irrellevant en tant que absorbida per la major culpa del client. S’ha d’acollir en part.
És obvi que qui causa el perjudici és el lladre, el tercer defraudador. Que, pel que es dedueix del conjunt d’aquestes actuacions, sembla que sabia perfectament que aquestes transferències especials, per anomenarles d’alguna manera, eren el punt feble de Privalia. Certament, l’empresa que remet el mail de 17-12-2014 al banc havia de posar-lo en coneixement també dels seus empleats, especialment de la Sra. Nieves a qui se li havia de deixar clar que, a partir d’aquell moment, baix cap concepte havia d’ordenar transferències per mail més carta adjunta, cap a clients aliens al grup Privalia o més en concret a les filials de Brasil. Una diligència no extrema, sinó completa, hauria estat indicar-li que això seria així encara que estigués signada o verbalitzada l’ordre pel Sr. Desiderio o pel Sr. Baltasar -qui, al capdavall, sembla que apareix com únic amb capacitat de disposició del compte en qüestió-.
No obrar així comporta, entenem, un grau de negligència que no es pot passar per alt. I igualment, davant l’ordre insòlita que diu haver rebut la Sra. Nieves de fer les transferències en secret de tothom, màxim amb els antecedents de frau anteriors, una diligència mínima li imposava a aquesta de confirmar el que se li deia des d’un despatx d’advocats, no pas des de la mateixa cúpula de l’empresa, front del Sr. Desiderio o, millor encara, del mateix Sr. Baltasar qui aparentment li feia la confiança de portar aquest afer a bon port i en absolut secret sota el pretext de ser una operació de compra d’empreses a Xina que no havia de transcendir de cap manera.
Negligència, per tant, de la directiva en no donar instruccions precises internes (quant menys aquí no consten) de comportar-se tots els empleats implicats estrictament conforme a les instruccions donades al banc. No tant, en canvi, per no haver reaccionat davant l’ambigüitat, si més no, de l’actitud del banc ja que hem de concloure que tot indica que el client creia fermament que les seves instruccions serien seguides pel banc. I, a més, negligència concorrent de la fins aleshores encarregada de les transferències, de la qual ha de respondre també l’empresa ( art. 1903 CC in suis principiis), doncs, de la mateixa manera que hauria d’assumir un dany de dita empleada causat a un tercer també ha d’assumir el perjudici causat a sí mateixa, ja que la diligència mitjana exigible a qualsevol persona l’hauria d’haver fet reaccionar a partir de valorar la raresa d’aquesta operació.
Per tant, sí bé li és reprovable contractualment al banc no haver atès les exigències raonables del client ( art. 1101 CC i 1254 i 1258 CC) en tant que no ha vetllat, amb aquest procedir, pels seus interessos com si foren propis, deixant-lo indefens -què li costava al responsable de l’oficina de Pere IV agafar el telèfon, contactar amb Desiderio i confirmar l’operació; o, de no aconseguir contactar amb ell, abstenir-se d’executar l’ordre?-, també és cert que el client, l’empresa ara actora, concorre en la responsabilitat per el resultat en una quota idèntica.
En conclusió, cal estimar en part el motiu i el recurs i reduir la indemnització establerta al 50%, mantenint el pronunciament quant a interessos.
_____________________________________________________________________