Banco indemnizará a un cliente tras desvelarse que facilitó el PIN de su tarjeta a unos defraudadores

La Audiencia Provincial de Murcia ha condenado a Cajamar por el déficit de protección en su sistema de seguridad que permitió que unos defraudadores obtuviesen el PIN de la tarjeta de uno de sus clientes y retiraran 5.250,90 euros de sus fondos, sin su autorización.

La sentencia, de 16 de enero de 2023, señala que en los casos de operaciones de pago ejecutadas no autorizadas, es la entidad de crédito la responsable de demostrar que tal operación fue “autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio”.

El caso: el banco remitió 34 emails de alerta de fraude

El Juzgado de Primera Instancia n.º 1 de Murcia condenó a Cajamar a pagar 5.250,90 euros a su cliente por incumplir con sus obligaciones de seguridad en las operaciones bancarias realizadas a través de la tarjeta del usuario.

En concreto, entre las 05:43 hasta las 07:29 horas del 30 de abril de 2020, un tercero no autorizado retiró 5.250,90 euros de los fondos de la cuenta titularidad personal del cliente de Cajamar por medio de varios cajeros automáticos sitos en la ciudad de Alicante.

La entidad bancaria recurrió en apelación alegando que remitió hasta 34 correos electrónicos al actor advirtiendo de la existencia de un posible fraude en diversas operaciones. Asimismo, argumentó la existencia de negligencia en el usuario en la comunicación sin demora de las operaciones no autorizadas y la insuficiente protección de sus claves.

Los defraudadores accedieron al PIN a través de la propia entidad de crédito

Respecto a negligencia alegada, la AP de Murcia constata la existencia de una denuncia presentada por el actor ante la Policía Nacional el mismo día 30 de abril de 2020.

Cajamar reconoció la cancelación de múltiples operaciones fraudulentas intentadas por los defraudadores. Frente a ello, la Sala subraya que tal verificación “sirve para demostrar que el sistema de seguridad de Cajamar funcionó adecuadamente para determinadas operaciones en relación a las cuales nada se reclama, pero resultó insuficiente en relación a las operaciones llevadas a cabo a través de cajero, con respecto a las cuales no saltó ningún tipo de alarma del sistema”.

«A partir de las 5.43 horas se fueron produciendo las extracciones de dinero de diferentes cajeros automáticos». (Foto: E&J)

La sentencia recuerda que la responsabilidad de la custodia del PIN de la tarjeta corresponde tanto al cliente como a la propia entidad de crédito, ya que son las únicas personas que conocen dicha clave de seguridad.

Al hilo de lo anterior, resulta necesario destacar la existencia de tres correos electrónicos relativos a la consulta del número secreto PIN de la tarjeta del actor. “Estos son los especialmente trascedentes dado que la retirada de fondos de los cajeros automáticos sólo puede llevarse a cabo a través del uso de una tarjeta y autorizados por el uso del PIN de dicha tarjeta”, explica el Tribunal. Dichos emails informaban que se había consultado dicho número, pero no eran indicativos, según la Audiencia, “de que no haya sido facilitado por la entidad de crédito”.

En este punto, cabe recordar que, conforme se recoge en el art. 44 de la Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, en los casos de operaciones de pago ya ejecutadas no autorizadas, será la entidad de crédito la responsable de demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago, como podría ser la de facilitar el PIN de la tarjeta a través del sistema contractualmente previsto.

Pues bien, en contra de lo argumentado por la apelante, la realidad es que no consta acreditado que Cajamar no facilitase dicha información. En particular, “lo cierto es que, a partir de las 5.43 horas se fueron produciendo las extracciones de dinero de diferentes cajeros automáticos, lo que implica que los autores de tales hechos conocían el PIN necesario para poder operar a través de este sistema”.

Lo ya expuesto evidencia que, de alguna forma no justificada, los defraudadores tuvieron acceso al PIN “y ello sólo pudo ser a través de la propia entidad de crédito”, pues, como ya se ha indicado en líneas anteriores, “el número secreto PIN sólo es conocido por el titular de la tarjeta y por la entidad de crédito”, avisa la Audiencia.

Así las cosas, la Sala reconoce que existió un “déficit de protección en el sistema de seguridad que permitió obtener tal clave necesaria para la extracción de dinero en los cajeros de la entidad de crédito apelante”. Por ello, la sentencia termina desestimando el recurso planteado y confirmando la sentencia apelada.