Condenan a una entidad financiera a devolver 8.346 euros a un cliente de Benavente por cargos no autorizados

La Audiencia Provincial ha desestimado el recurso de apelación interpuesto por una entidad financiera y ha confirmado íntegramente la sentencia dictada por el Juzgado de Primera Instancia de Benavente que condenaba a CaixaBank a reintegrar 8.346,18 euros a un cliente de Benavente por dos operaciones de pago no autorizadas realizadas con una tarjeta de crédito de empresa.

El procedimiento se originó a raíz de dos cargos efectuados el 20 de enero de 2023 en la tarjeta de crédito vinculada a una cuenta corriente del cliente, por importes de 1.188,54 y 7.157,64 euros, ambos en un comercio online.

La sentencia de instancia declaró el incumplimiento del contrato de tarjeta de crédito y de los anexos de servicios de pago y banca a distancia, y consideró responsable a la entidad financiera de la incorrecta ejecución de dichas operaciones, fijando los daños y perjuicios en 8.346,18 euros más intereses legales desde la fecha del cargo.

Autenticación reforzada

La entidad apelante sostuvo en su recurso que había cumplido todas sus obligaciones como proveedora de servicios de pago y como depositaria, alegando que las operaciones cuestionadas se ejecutaron mediante un procedimiento de autenticación reforzada, fueron registradas y contabilizadas con exactitud y no se vieron afectadas por fallos técnicos ni deficiencias de seguridad. Argumentó que el cliente no había aportado prueba de haber sido víctima de fraude y que resultaba injustificado que un tercero hubiera podido obtener sus credenciales de seguridad personalizadas sin una actuación gravemente negligente por parte del usuario.

El cliente, por su parte, se opuso al recurso y mantuvo que nunca autorizó ni autenticó las operaciones, que no había realizado esas compras, que no había estado en el país donde se localizaba el comercio y que no había facilitado sus contraseñas a terceros. Según la sentencia, el usuario afirmó que el día de los cargos únicamente recibió dos mensajes de texto en su teléfono móvil informándole de las operaciones, y que, al percatarse de los cargos, contactó de inmediato con la entidad, presentó denuncia ante la Guardia Civil el 24 de enero de 2023 y formuló reclamación ante el servicio de atención al cliente del banco, que fue rechazada.

El tribunal provincial recuerda en su resolución que, cuando un usuario niega haber autorizado una operación de pago o alega que se ejecutó de forma incorrecta, corresponde al proveedor de servicios de pago demostrar que la operación fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por fallos técnicos u otras deficiencias del servicio. La sentencia subraya que el mero registro de la utilización del instrumento de pago no basta para acreditar que la operación fue autorizada por el ordenante ni que este actuó de forma fraudulenta o con negligencia grave.

La Sala destaca que también recae sobre la entidad financiera la carga de probar que el usuario cometió fraude o negligencia grave en el uso del instrumento de pago. En el caso analizado, el tribunal comparte la conclusión del juzgado de instancia de que no existe indicio alguno de fraude o negligencia grave por parte del cliente, y señala que el hecho de que la entidad disponga de un sistema de doble autenticación no impide que la tarjeta y el terminal móvil pudieran haber sido objeto de clonación o manipulación por terceros.

Devolución inmediata

La resolución incide en que el marco normativo configura un sistema de responsabilidad casi objetiva para el proveedor del servicio de pago en las operaciones no autorizadas, de modo que la entidad debe devolver de forma inmediata el importe de la operación no consentida, salvo que se acredite actuación fraudulenta o incumplimiento deliberado o por negligencia grave de las obligaciones de custodia de credenciales por parte del usuario. El tribunal señala que, tratándose de operaciones no autorizadas, la responsabilidad recae en la entidad si no demuestra que la orden de pago no se vio afectada por fallos técnicos ni por otras deficiencias del servicio prestado.

El fallo analiza también el contexto tecnológico en el que se realizan las operaciones de pago, recordando que las entidades financieras han impulsado el uso de dispositivos móviles y aplicaciones propias para la banca digital, lo que ha permitido trasladar al cliente la ejecución material de operaciones antes realizadas en oficinas. En este escenario, la sentencia considera que corresponde a la entidad asumir el riesgo derivado del uso de estas tecnologías y adoptar medidas de seguridad adecuadas al perfil del cliente, a los movimientos inusuales, a los importes y a las características de las operaciones.

El tribunal pone de relieve que, aunque la entidad remitió mensajes de texto al cliente advirtiendo de las dos operaciones realizadas con su tarjeta, no consta que realizara actuaciones adicionales para asegurarse de que era el titular quien estaba detrás de las mismas. La resolución resalta que la tarjeta apenas se utilizaba para compras en línea y que las operaciones habituales eran de pequeño importe y carácter doméstico, por lo que resultaban llamativos los cargos en un comercio extranjero por cantidades elevadas, sin que se activaran alertas ni se bloquearan las transacciones.

La sentencia recoge que la entidad aportó diversa documentación técnica y un informe pericial de carácter general, pero considera que dicho informe no fue ratificado, no analizaba las particularidades del caso concreto y era anterior a la fecha de los hechos. Además, el tribunal califica de insuficiente el resto de la prueba documental para acreditar la diligencia de la entidad o la negligencia grave del cliente, señalando que algunos documentos se limitaban a reflejar la existencia de los cargos o eran de difícil interpretación sin una explicación técnica adicional.

Transacciones en un país extranjero

La resolución menciona expresamente que la entidad financiera dispone, según la propia pericial, de una trazabilidad completa de las operaciones de sus clientes, incluyendo datos sobre conexiones, dispositivos utilizados, métodos de autenticación, tipo de operaciones y destinos de fondos. Sin embargo, el tribunal subraya que no consta que la entidad se sorprendiera por las dos transacciones en un país extranjero realizadas por un cliente que prácticamente no utilizaba la tarjeta y que, pese a ello, no se activó ninguna alerta ni se procedió al bloqueo inmediato de las transferencias.

La Audiencia provincial concluye que, desde la perspectiva contractual y desde la regulación aplicable a los servicios de pago y al contrato de depósito, resulta clara la responsabilidad de la entidad financiera y su deber de abonar al cliente la cantidad reclamada. En consecuencia, desestima íntegramente el recurso de apelación, confirma la sentencia de primera instancia en todos sus extremos, impone las costas de la apelación a la parte recurrente y declara la pérdida del depósito constituido para recurrir.