Condenan a una entidad bancaria por el phishing sufrido por una vecina de Pamplona a la que le robaron la cartera

El Juzgado de Primera Instancia número de Pamplona/Iruña ha dictado una sentencia en la que estima íntegramente la demanda interpuesta por una vecina de la capital navarra frente a CaixaBank S.A., declarando la responsabilidad de la entidad financiera por la ejecución de varias operaciones de pago no autorizadas. Bufete Iribarren Abogados ha defendido a la clienta frente a la entidad. La resolución condena al banco a reintegrar a la demandante 1.887,37 euros, más intereses legales desde la presentación de la demanda.

Según el fallo, el 4 de diciembre de 2024 la demandante sufrió en Toledo la sustracción de su cartera, que contenía dos tarjetas emitidas por CaixaBank: una Visa Oro y una MyCard Stock, asociadas a una cuenta corriente de la entidad. En menos de una hora, terceros ajenos a la titular efectuaron seis operaciones no autorizadas —cinco reintegros en cajeros automáticos y una compra en un establecimiento físico— por un importe total de 1.887,37 €.

Denuncia

Al advertir el hurto, la clienta bloqueó de inmediato las tarjetas y presentó denuncia ante la Policía Nacional al día siguiente. Posteriormente reclamó extrajudicialmente a la entidad la devolución de los importes indebidamente cargados. El banco denegó la solicitud el 21 de febrero de 2025 alegando que las operaciones se habían realizado con doble factor de autenticación (lectura del chip e introducción del PIN) y, por tanto, se consideraban válidas.

La magistrada centra la controversia en dos cuestiones: si las operaciones fueron auténticas y autorizadas por la usuaria; en caso contrario, si existió negligencia grave por parte de ésta en la custodia de sus credenciales.

El juzgado aplica la Ley 19/2018, de 23 de noviembre, de Servicios de Pago, cuyo artículo 45 impone al proveedor de servicios de pago (en este caso, la entidad bancaria) la obligación de devolver de inmediato las operaciones no autorizadas, salvo que se pruebe fraude o negligencia grave del usuario.

La sentencia recalca que la carga de la prueba recae sobre el banco y que la mera utilización del PIN no basta para acreditar autorización ni culpa del cliente.

El tribunal

El tribunal considera probado que la demandante actuó con diligencia razonable, al denunciar los hechos y comunicar al banco la sustracción sin demora. No se acreditó que el número secreto se hallara junto a las tarjetas ni que la actora hubiese incurrido en descuido alguno que facilitara el acceso al PIN.

Asimismo, la resolución reprocha a la entidad no haber adoptado medidas de verificación o alerta, pese a tratarse de múltiples disposiciones consecutivas en un corto lapso de tiempo y en una ubicación ajena al domicilio habitual de la clienta. Ello refuerza la tesis de que las operaciones debieron considerarse anómalas y, en consecuencia, susceptibles de bloqueo o revisión inmediata por parte del banco.

El juzgado declara, en consecuencia, que las operaciones litigiosas no fueron autorizadas por la autora y que no se ha demostrado negligencia grave, por lo que la responsabilidad recae en el banco como proveedor del servicio de pago.

Bufete Iribarren Abogados, despacho de referencia en phishing bancario en Navarra, vuelve a conseguir una nueva sentencia favorable. Mediante este pronunciamiento se refuerza la doctrina de que, en casos de uso fraudulento de tarjetas sustraídas, los bancos sólo pueden eludir su responsabilidad si demuestran que el cliente actuó de forma dolosa o con negligencia grave, lo que exige una prueba rigurosa y directa. La sentencia se alinea con otros precedentes reciente, como una sentencia de la Audiencia de Navarra de marzo de 2023, que interpretan la Ley 19/2018 en clave protectora del consumidor y consolidan la tendencia hacia una responsabilidad objetiva del proveedor de servicios de pago.