En sentencia de fecha 3 de abril de 2023 el Juzgado de Primera Instancia Cinco de Pamplona ha declarado la responsabilidad de Unicaja por operaciones de cargo realizadas mediante el sistema Bizum y no autorizadas por el titular de la cuenta bancaria, condenando al Banco a abonar al cliente los 3.940 euros cargados en la cuenta.
El titular de la cuenta reclamó a Unicaja al comprobar que entre el 19 de junio y el 20 de junio de 2022, se habían cargado en su cuenta 25 bizums, 2 posteriormente anulados, que él no había realizado ni autorizado.
Unicaja se opuso a la reclamación argumentando que no constaba que esas operaciones fueran fraudulentas, ya que el cliente debía de introducir multitud de datos para habilitar esos cargos y que había enviado al teléfono móvil del cliente una serie de SMS con la clave de seguridad que debía introducir para enviar el dinero por bizum, por lo que había cumplido con la normativa en materia de seguridad del pago y los cargos se debieron a la propia negligencia del titular de la cuenta.
Para resolver la reclamación el Juzgado parte de la base de que el banco emisor debe implementar las medidas necesarias para asegurar la autenticación e identidad del ordenante a la hora de prestar su consentimiento. Por ello y para su ejecución, el banco debe comprobar en todo caso la autenticidad de la orden de conformidad con lo regulado en la Ley de Servicios de Pago.
La sentencia señala que para la realización de transferencias ordinarias con cargo a una cuenta vinculada es preciso que el cliente haya de autenticar la operación mediante la introducción de las claves previamente facilitadas por la entidad de crédito con la que contrata, con respecto a las cuales tendrá unos deberes de custodia, y que la falsedad de la transferencia (que el ordenante no sea el titular de la cuenta) es un riesgo a cargo del banco porque, en principio, el deudor sólo se libera pagando al verdadero acreedor por lo que, si el banco cumple una orden falsa, habrá de reintegrar en la cuenta correspondientes las cantidades cargadas. Una excepción a esta distribución de riesgos se produce en el caso de que el titular haya creado o elevado el riesgo de falsificación de forma imputable en el caso concreto.
De acuerdo con lo dispuesto en la Ley de Servicios de Pago cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá a su proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud, y que no se vio afectada por un fallo técnico o cualquier otra deficiencia.
El Juzgado destaca que las entidades prestadoras del servicio de banca online deben dotarse de medidas suficientes que garanticen al usuario la seguridad de las operaciones. Consecuencia derivada de la omisión, insuficiencia o defectuoso funcionamiento de las adoptadas es que han de ser las entidades bancarias las que asuman las consecuencias derivadas de los fallos de seguridad del sistema.
Consecuencia de ello, en estos supuestos no puede atribuirse directamente al supuesto ordenante de la transferencia por entenderse que ésta autorizada al haberse realizado de acuerdo con los sistemas de autenticación del banco. Los sistemas de autenticación se establecen por los proveedores de servicios de pago y si un banco no ha sido capaz de limitar el acceso al canal de banca electrónica no puede pretender que el presunto ordenante víctima de esta práctica fraudulenta sea el único responsable, pues es el banco quien tiene responsabilidad respecto del buen funcionamiento y la seguridad del mismo.
Para el Juzgado, hay responsabilidad bancaria por los defectos de seguridad del sistema que determina la ejecución de órdenes de pago no autorizadas por su cliente, con la única excepción de que el banco acredite la culpa o negligencia de la víctima. Constituye por tanto obligación esencial de las entidades prestadoras del servicio de banca online el dotarse de medidas suficientes que garanticen al usuario la seguridad de las operaciones por lo que, en el supuesto de insuficiencia o mal funcionamiento de las adoptadas, deben ser las entidades bancarias las que asuman las consecuencias derivadas de los fallos de seguridad del sistema.
En el caso resuelto, Unicaja aportó una serie de SMS que, según ella, fueron enviados al cliente con la clave de seguridad necesaria para realizar las operaciones, lo que acreditaría que el cliente, conocía las claves de seguridad y las introdujo voluntariamente, por lo que no habría un negligente funcionamiento de los medios de seguridad en el pago. Sin embargo, para el Juzgado no ha quedado acreditado que dichos mensajes fueran recibidos, y, aun cuando se hubieran recibido, no se habría acreditado que el cliente hubiera validado o introducido las claves para autorizar las operaciones, teniendo la carga de probar este hecho la entidad bancaria por cuanto es la entidad bancaria la que se entiende que posee los documentos y registros necesarios para ello.
Se da además la circunstancia que de los mensajes SMS aportados solo 9 de ellos corresponden a los días 19 y 20 de junio, y de esos 9, solo 7 contienen claves de seguridad para operaciones realizadas el día 19 de junio. Además, los extractos bancarios aportados no permiten comprobar las horas de los bizums, por lo que no se pueden comparar con los SMS aportados, y estos SMS contienen cantidades diferentes a los bizums enviados por lo que las cantidades no cuadran.
El Juzgado añade que debe tenerse en cuenta que se realizaron hasta 25 operaciones de bizum no autorizadas y que solo se aportan por Unicaja 7 mensajes con claves de seguridad, por lo que está claro que existió un deficiente funcionamiento de la normativa sobre seguridad en el pago y, por lo tanto, le corresponde al banco la responsabilidad de abono de la cantidad defraudada por el incumplimiento de sus obligaciones en los sistemas de pago online o a distancia.