Audiencia Provincial Pontevedra, Sentencia 21 Diciembre 2021
Diario La Ley, Nº 10044, Sección Jurisprudencia, 6 de Abril de 2022, Wolters Kluwer
Incumplimiento por la entidad bancaria de sus deberes de diligencia en la autenticación de las operaciones de pago. No prueba disponer de mecanismo antiphising ni haber puesto en conocimiento del usuario los datos necesarios para que este conociera que se trataba de instalar su tarjeta en una aplicación de pago del teléfono de un tercero.
Audiencia Provincial Pontevedra, Sentencia 539/2021, 21 Dic. Recurso 346/2021 (LA LEY 263329/2021)
La demandante reclama a la entidad bancaria demandada el reintegro de la cantidad que le fue detraída de su cuenta bancaria asociada a la tarjeta de débito que tenía contratada por el uso fraudulento de sus datos mediante la técnica del phishing.
La demanda fue desestimada en primera instancia por apreciarse una actuación negligente únicamente imputable a la actora. Sin embargo, la Audiencia Provincial de Pontevedra revoca la sentencia del Juzgado y declara la responsabilidad de la entidad bancaria condenándola a reintegrar la cantidad reclamada.
La Sala considera que el Banco incumplió sus deberes de diligencia a la hora de proceder a la autenticación de las operaciones de pago.
Las cantidades que le fueron detraídas a la actora de su cuenta bancaria respondieron a órdenes de pago realizadas por un tercero que usó de manera fraudulenta los datos de su tarjeta de débito.
Para hacerse con las credenciales de la actora el tercero defraudador utilizó la técnica del phishing, que consiste en el envío de un correo electrónico con la apariencia de ser remitido por una entidad con la que el receptor puede tener alguna relación de servicios, conteniendo ese correo un enlace a una página que aparenta ser del sitio oficial de la entidad bancaria emisora de la tarjeta pero que, en realidad, pertenece a un dominio bajo el control del phisher.
El Tribunal reconoce que la lectura atenta del correo electrónico hubiera permitido a la cliente percatarse tanto de su contenido impreciso, al no identificar el pedido al que se refería, como de las dos faltas de ortografía, datos relevantes para adoptar su decisión de aceptar o no el pago electrónico que se le solicitaba, por lo que en ausencia de tal lectura reflexiva habría de considerarse su falta de diligencia en la protección de las credenciales del instrumento de pago. Sin embargo, los magistrados consideran que deben tenerse en cuenta las circunstancias en las que tal decisión se adoptó, previo el engaño premeditado de un tercero para ganarse su confianza, lo que impide que pueda apreciarse una negligencia grave en la omisión de la lectura atenta del correo electrónico.
En el phising se usan técnicas de ingeniería social para ganarse la confianza del usuario del instrumento de pago y aprovecharse de los sesgos cognitivos en la toma de decisiones, lo que, en el caso se habría concretado en la simulación del envío a nombre de una entidad de confianza para la usuaria (Correos y Telégrafos), y en el aprovechamiento del sesgo de confirmación por el cual se tiende a favorecer la información que confirma las opiniones que ya se tenían o que resulta consistente con los hechos ya conocidos (la cliente explicó que estando esperando un pedido de mascarillas creyó que a él se refería la entrega del paquete que se le anunciaba en el correo electrónico).
En este caso, los SMS que la entidad bancaria envió a la clienta comunicándole el código que había de utilizar para instalar su tarjeta en la aplicación de pago, y el que le envío después de su activación no proporcionaban información sobre el número del terminal telefónico en el que se había solicitado y después activado la citada aplicación de pago. Tal omisión, afirma la sentencia, supone un incumplimiento de los deberes de diligencia en la prevención del fraude mediante phising, pues no podía la entidad desconocer que frecuentemente mediante aquella el tercero defraudador utiliza los datos de la tarjeta para activarla en una aplicación de pago de la que tiene dominio, por lo que debiendo conocer que el teléfono desde el que se le había solicitado la activación no se encontraba entre los que había registrado a su nombre la clienta en su ficha de cliente, la comunicación del número de terminal telefónico devenía exigible para que aquella pudiera conocer que era un tercero quien podría disponer de los datos de la tarjeta mediante la aplicación de pago que se activaría.
En tales circunstancias, la Sala estima que no cabe observar negligencia grave en el acto de la clienta introduciendo la clave de activación de la obligación de pago en la página que simulaba ser de la entidad bancaria, pues para que pudiera ponderarse su error como inexcusable le faltaba el dato del número de teléfono en el que la aplicación se activaría, con el que podría haber conocido que el pago no se realizaría mediante el teléfono propio sino mediante el de un tercero.
De todo ello, la Audiencia Provincial concluye que la entidad bancaria no habría acreditado la observancia de los deberes de diligencia que le eran exigibles en la autenticación de las operaciones de pago, pues ni habría probado haber implementado un mecanismo antiphising de protección de los usuarios de los instrumentos de pago por ella emitidos frente al uso fraudulento por un tercero de páginas imitativas de las propias para hacerse con las credenciales del instrumento, ni habría puesto en conocimiento del usuario los datos necesarios para que este conociera que se trataba de instalar su tarjeta en una aplicación de pago del terminal telefónico de un tercero.