La sentencia de la Audiencia Provincial de Pontevedra, Sección 6ª, de 21 de diciembre de 2021 (núm. 539/2021), analiza la responsabilidad de una entidad bancaria en un caso de uso fraudulento, por un tercero, de los datos de la tarjeta de débito de un cliente (técnica del phishing), uso fraudulento que provocó que el saldo de la cuenta corriente asociada a dicha tarjeta de débito disminuyera en 4.365,30 euros.
En la sentencia dictada en primera instancia se desestimó la demanda de la cliente de la entidad bancaria, al apreciarse que había actuado de forma negligente, por lo que debía soportar las pérdidas derivadas de las operaciones de pago no autorizadas de conformidad con lo dispuesto en el artículo 46 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera.
No se discute, en ninguna de las instancias, que las operaciones de pago mediante las que se detrajeron de la cuenta bancaria de la demandante la suma de 4.365,30 euros respondieron a órdenes de pago realizadas por un tercero, que usó de manera fraudulenta los datos de la tarjeta de débito de aquella.
Lo que sí cuestiona la Audiencia es que en la sentencia de primera instancia no se llegó a realizar la expresa valoración de la gravedad de la negligencia de la clienta bancaria como exige la normativa aplicable, lo cual requiere considerar la totalidad de las circunstancias concurrentes y, en particular, la técnica de la que se valió el tercero defraudador para hacerse con las credenciales de la actora defraudada (la técnica del phishing).
La resolución pone de relieve que, conocido que la técnica del phishing incluye, a menudo, la creación y puesta en la red de páginas que clonan las del sitio oficial de las entidades emisoras de instrumentos de pago, el deber de diligencia de la entidad demandada exigía dotarse de la tecnología antiphishing precisa para detectar las páginas clonadas de las oficiales propias y cerrarlas o eliminarlas. Sin embargo, la entidad demandada no ha acreditado su implementación en el sistema informático de las operaciones de pago, al menos al momento de producirse los hechos de esta Litis.
Las circunstancias que concurrían en la demandante (quien creía estar pagando el precio de un servicio que aparentemente le prestaba la entidad Correos y Telégrafos), al acceder a la página que simulaba ser de la entidad bancaria emisora de la tarjeta desde un enlace de un correo electrónico impreciso y con dos faltas de ortografía, y haber introducido en aquella los datos de su tarjeta y la clave de activación de una aplicación de pago que un tercero había instalado en un terminal propio, llevan a la Audiencia a estimar que no concurre negligencia grave en la omisión de la lectura atenta del correo electrónico por parte de la actora. Y que, por el contrario, la entidad demandada no observó los deberes de diligencia que le eran exigibles en la autenticación de las operaciones de pago. Por tales motivos se estima el recurso de apelación.
