Resumen de antecedentes
Antes de entrar a analizar en profundidad la resolución del recurso de casación objeto de la STS 571/2025, 9 de abril de 2025, es necesario tener presente los antecedentes del caso.
Una persona titular de varias cuentas bancarias y de un contrato de banca a distancia con una entidad financiera sufrió diversos accesos no autorizados y operaciones fraudulentas tras un incidente de seguridad en su cuenta de correo electrónico. A pesar de las medidas de precaución adoptadas por el afectado, se realizaron varias transferencias no autorizadas entre los días 17 y 18 de marzo de 2021, por un importe total superior a 83.000 €, principalmente mediante plataformas digitales como Bizum y banca electrónica. Las operaciones fueron realizadas tras duplicar una tarjeta SIM, lo que permitió a terceros acceder a los códigos de confirmación enviados por SMS.
El afectado denunció los hechos y solicitó a la entidad la restitución de las cantidades. Esta logró recuperar, parcialmente la cantidad, 27.218,10 €, y en consecuencia, el afectado interpuso demanda por responsabilidad contractual, reclamando los daños y perjuicios derivados de las operaciones no autorizadas.
La entidad financiera se negó alegando que todas las transferencias realizadas se ejecutaron conforme al Real Decreto-ley 19/2018 de 23 de noviembre, de servicios de pago, que adaptó la normativa de servicios de pago para trasponer la Directiva 2015/2366 y el Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, utilizando un sistema de doble autenticación, usuario y código SMS enviado al móvil registrado, lo que según la parte demandada, garantiza su validez. Además, las operaciones vía Bizum se realizaron desde la misma aplicación y dispositivo con el que se dio de alta en el servicio.
Recurso de casación
La entidad bancaria interpuso recurso de casación contra la sentencia dictada por la Audiencia Provincial de Zaragoza el 17 de noviembre de 2022. El recurso se fundamentó, por un lado, en la supuesta infracción del artículo 36 del Real Decreto-ley 19/2018, relativo a la autorización de operaciones de pago, en relación con los artículos 2 y 3 del Reglamento Delegado UE 2018/389; y, por otro, en la infracción de los artículos 44 y 45 del mismo Real Decreto-ley, relativos a la responsabilidad por operaciones no autorizadas.
Admitido el recurso por auto de 27 de noviembre de 2024, dictado por la Sala Primera del Tribunal Supremo, se dio traslado a la parte recurrida, que formalizó su oposición dentro del plazo legal.
Primer motivo del recurso de casación
La entidad recurrente alegó la infracción del artículo 36 del Real Decreto-ley 19/2018, de servicios de pago, y de los artículos 2 y 3 del Reglamento Delegado (UE) 2018/389, al considerar que las operaciones fueron correctamente autorizadas conforme al procedimiento pactado contractualmente. Defendía que la utilización de credenciales válidas por terceros no desvirtúa la validez de la operación si se cumplieron los requisitos técnicos de autenticación reforzada acordados contractualmente, incluida la verificación mediante código enviado por SMS.
La Sala desestima el motivo, recordando que el sistema legal atribuye al proveedor de servicios de pago una responsabilidad cuasi objetiva en caso de operaciones no autorizadas, salvo que acredite fraude o negligencia grave del usuario. La mera utilización de credenciales correctas no basta para considerar autorizada la operación si el titular niega haber prestado consentimiento, lo que impone al proveedor la carga de probar que no existió deficiencia en el servicio ni conducta negligente del usuario.
En el caso concreto, el usuario notificó de forma inmediata irregularidades previas (SMS sospechosos, cargos no reconocidos), sin que la entidad adoptara medidas preventivas, como el refuerzo de autenticación o el bloqueo de operaciones inusuales. La falta de reacción ante indicios evidentes y la omisión de controles adecuados constituyen, a juicio del Tribunal, una deficiencia del servicio, por lo que la entidad debe asumir la responsabilidad de los importes sustraídos. En consecuencia, se desestima el motivo de recurso.
Segundo motivo de recurso de casación
La parte recurrente alegó infracción de los artículos 44 y 45 del Real Decreto-ley 19/2018, al considerar que las operaciones de pago fueron debidamente autenticadas, registradas y contabilizadas, sin verse afectadas por fallos técnicos ni deficiencias en el servicio prestado. Las transferencias eran operaciones autorizadas conforme al consentimiento prestado en los contratos firmados, siendo el usuario quien debía garantizar la seguridad de sus propios dispositivos y claves, y cuya actuación calificó de negligente.
La Sala desestima el motivo, reiterando que el cumplimiento de los requisitos técnicos de autenticación no exime por sí solo al proveedor de su responsabilidad. El artículo 44 exige que, cuando el usuario niegue haber autorizado la operación, el proveedor debe probar no solo que ésta fue correctamente ejecutada, sino también que no existió ninguna deficiencia del servicio y que el usuario actuó con fraude o negligencia grave, extremos que no han sido acreditados.
El Tribunal recuerda que el actor comunicó a la entidad, con semanas de antelación, alertas de seguridad y operaciones sospechosas, y que la entidad no adoptó medidas adicionales de protección. Asimismo, señala que el acceso indebido a las claves del usuario no implica necesariamente negligencia grave, dado que pueden existir múltiples causas no imputables al cliente.
Por todo esto, al no haberse demostrado una actuación gravemente negligente por parte del usuario, y habiéndose constatado deficiencias en el servicio de control y reacción de la entidad bancaria, el motivo resulta improcedente.