SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Primera)
de 11 de noviembre de 2020 (*)
«Procedimiento prejudicial — Protección de los consumidores — Directiva (UE) 2015/2366 — Servicios de pago en el mercado interior — Artículo 4, punto 14 — Concepto de instrumento de pago — Tarjetas bancarias multifuncionales personalizadas — Función de comunicación de campo cercano (NFC) — Artículos 52, punto 6, letra a), y 54, apartado 1 — Información que ha de proporcionarse al usuario — Modificación de las condiciones de un contrato marco — Aceptación tácita — Artículo 63, apartado 1, letras a) y b) — Derechos y obligaciones relacionados con los servicios de pago — Excepción aplicable a los instrumentos de pago de escasa cuantía — Requisitos para su aplicación — Instrumento de pago que no puede ser bloqueado — Instrumento de pago utilizado de manera anónima — Limitación en el tiempo de los efectos de la sentencia»
En el asunto C‑287/19,
que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Oberster Gerichtshof (Tribunal Supremo de lo Civil y Penal, Austria), mediante resolución de 25 de enero de 2019, recibida en el Tribunal de Justicia el 5 de abril de 2019, en el procedimiento entre
DenizBank AG
y
Verein für Konsumenteninformation
EL TRIBUNAL DE JUSTICIA (Sala Primera),
integrado por el Sr. J.‑C. Bonichot, Presidente de Sala, y el Sr. L. Bay Larsen, la Sra. C. Toader y los Sres. M. Safjan y N. Jääskinen (Ponente), Jueces;
Abogado General: Sr. M. Campos Sánchez-Bordona;
Secretaria: Sra. M. Krausenböck, administradora;
habiendo considerado los escritos obrantes en autos y celebrada la vista el 13 de febrero de 2020;
consideradas las observaciones presentadas:
– en nombre de DenizBank AG, por los Sres G. Ganzger y A. Egger, Rechtsanwälte;
– en nombre de la Verein für Konsumenteninformation, por el Sr. S. Langer, Rechtsanwalt;
– en nombre del Gobierno checo, por los Sres. M. Smolek y J. Vláčil y por la Sra. S. Šindelková, en calidad de agentes;
– en nombre del Gobierno portugués, por el Sr. L. Inez Fernandes y por las Sras. P. Barros da Costa, S. Jaulino y G. Fonseca, en calidad de agentes;
– en nombre de la Comisión Europea, por los Sres. G. Braun y T. Scharf y por la Sra. H. Tserepa-Lacombe, en calidad de agentes;
oídas las conclusiones del Abogado General, presentadas en audiencia pública el 30 de abril de 2020;
dicta la siguiente
Sentencia
1 La petición de decisión prejudicial tiene por objeto la interpretación del artículo 4, punto 14, del artículo 52, punto 6, letra a), leído en relación con el artículo 54, apartado 1, y del artículo 63, apartado 1, letras a) y b), de la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) n.o 1093/2010 y se deroga la Directiva 2007/64/CE (DO 2015, L 337, p. 35; corrección de errores en DO 2018, L 102, p. 97).
2 Esta petición se ha presentado en el contexto de un litigio entre DenizBank AG, sociedad austriaca, y el Verein für Konsumenteninformation (VKI) (Asociación para la Información del Consumidor, Austria) en relación con la validez de varias cláusulas contractuales relativas al uso de tarjetas bancarias multifuncionales personalizadas dotadas, entre otras, de la función de comunicación de campo cercano (Near Field Communication; en lo sucesivo, «función NFC»), comúnmente denominada función de «pago sin contacto».
Marco jurídico
Directiva 93/13/CEE
3 El artículo 2 de la Directiva 93/13/CEE del Consejo, de 5 de abril de 1993, sobre las cláusulas abusivas en los contratos celebrados con consumidores (DO 1993, L 95, p. 29), establece:
«A efectos de la presente Directiva, se entenderá por:
a) “cláusulas abusivas”: las cláusulas de un contrato tal como quedan definidas en el artículo 3;
b) “consumidor”: toda persona física que, en los contratos regulados por la presente Directiva, actúe con un propósito ajeno a su actividad profesional;
c) “profesional”: toda persona física o jurídica que, en las transacciones reguladas por la presente Directiva, actúe dentro del marco de su actividad profesional, ya sea pública o privada.»
4 El artículo 3 de esta Directiva dispone:
«1. Las cláusulas contractuales que no se hayan negociado individualmente se considerarán abusivas si, pese a las exigencias de la buena fe, causan en detrimento del consumidor un desequilibrio importante entre los derechos y obligaciones de las partes que se derivan del contrato.
[…]
3. El Anexo de la presente Directiva contiene una lista indicativa y no exhaustiva de cláusulas que pueden ser declaradas abusivas.»
5 A tenor del artículo 6, apartado 1, de la referida Directiva:
«Los Estados miembros establecerán que no vincularán al consumidor, en las condiciones estipuladas por sus derechos nacionales, las cláusulas abusivas que figuren en un contrato celebrado entre este y un profesional y dispondrán que el contrato siga siendo obligatorio para las partes en los mismos términos, si este puede subsistir sin las cláusulas abusivas.»
6 El artículo 8 de misma Directiva dispone que «los Estados miembros podrán adoptar o mantener en el ámbito regulado por la presente Directiva, disposiciones más estrictas que sean compatibles con el Tratado, con el fin de garantizar al consumidor un mayor nivel de protección».
7 El anexo de la Directiva 93/13, que contiene una lista indicativa y no exhaustiva de las «cláusulas contempladas en el apartado 3 del artículo 3» de esta, menciona, en su punto 1, letra j), las cláusulas que tengan por objeto o por efecto «autorizar al profesional a modificar unilateralmente sin motivos válidos especificados en el contrato los términos del mismo». El punto 2 de ese anexo determina el alcance de la letra j).
Directiva 2015/2366
8 La Directiva 2015/2366 derogó la Directiva 2007/64/CE del Parlamento Europeo y del Consejo, de 13 de noviembre de 2007, sobre servicios de pago en el mercado interior, por la que se modifican las Directivas 97/7/CE, 2002/65/CE, 2005/60/CE y 2006/48/CE y por la que se deroga la Directiva 97/5/CE (DO 2007, L 319, p. 1), con efectos a partir del 13 de enero de 2018.
9 A tenor de los considerandos 6, 53 a 55, 63, 81, 91 y 96 de la Directiva 2015/2366:
«(6) […] Es preciso garantizar condiciones operativas equivalentes [a los operadores] y facilitar que los nuevos medios de pago lleguen a un mayor número de consumidores, así como asegurar una elevada protección del consumidor en el uso de esos servicios de pago en toda la Unión. Se prevé que ello generará eficiencia en todo el sistema de pago e incrementará la gama de servicios de pago disponibles y la transparencia de estos, reforzando al mismo tiempo la confianza de los consumidores en un mercado de pagos armonizado.
[…]
(53) Dado que los consumidores y las empresas no se hallan en las mismas condiciones, no necesitan disponer del mismo nivel de protección. Si bien procede garantizar los derechos de los consumidores mediante disposiciones con respecto a las cuales no puedan establecerse excepciones en los contratos, resulta razonable permitir que las empresas y organizaciones acuerden otro tipo de disposiciones cuando no estén involucrados consumidores. […]
(54) La presente Directiva debe especificar las obligaciones de los proveedores de servicios de pago por lo que atañe a la información que deben facilitar a los usuarios de dichos servicios, los cuales deben recibir información de un mismo y elevado nivel de claridad sobre los servicios de pago, a fin de poder adoptar decisiones fundadas y elegir libremente en toda la Unión. […]
(55) Procede proteger a los consumidores de las prácticas comerciales engañosas y desleales, conforme a lo establecido en la Directiva 2005/29/CE del Parlamento Europeo y del Consejo[, de 11 de mayo de 2005, relativa a las prácticas comerciales desleales de las empresas en sus relaciones con los consumidores en el mercado interior, que modifica la Directiva 84/450/CEE del Consejo, las Directivas 97/7/CE, 98/27/CE y 2002/65/CE del Parlamento Europeo y del Consejo y el Reglamento (CE) n.o 2006/2004 del Parlamento Europeo y del Consejo (DO 2005 L 149, p. 22)], así como en las Directivas [del Parlamento Europeo y del Consejo] 2000/31/CE[, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (DO 2000 L 178, p. 1)], 2002/65/CE[, de 23 de septiembre de 2002, relativa a la comercialización a distancia de servicios financieros destinados a los consumidores, y por la que se modifican la Directiva 90/619/CEE del Consejo y las Directivas 97/7/CE y 98/27/CE (DO 2002, L 271, p. 16)], 2008/48/CE, [de 23 de abril de 2008, relativa a los contratos de crédito al consumo y por la que se deroga la Directiva 87/102/CEE del Consejo (DO 2008 L 133, p. 66)], 2011/83/UE[, de 25 de octubre de 2011, sobre los derechos de los consumidores, por la que se modifican la Directiva 93/13 del Consejo y la Directiva 1999/44/CE del Parlamento Europeo y del Consejo y se derogan la Directiva 85/577/CEE del Consejo y la Directiva 97/7/CE del Parlamento Europeo y del Consejo (DO 2011 L 304, p. 64)] y 2014/92/UE[, de 23 de julio de 2014, sobre la comparabilidad de las comisiones conexas a las cuentas de pago, el traslado de cuentas de pago y el acceso a cuentas de pago básicas (DO 2014 L 257, p. 214)]. Las disposiciones de esas Directivas siguen siendo aplicables. No obstante, conviene aclarar la relación entre la presente Directiva y la Directiva 2002/65/CE por lo que se refiere, en particular, a los requisitos de información precontractual que se establecen en ambas.
[…]
(63) A fin de garantizar un elevado nivel de protección del consumidor, los Estados miembros deben estar facultados, en interés de los consumidores, para mantener o establecer restricciones o prohibiciones en lo que respecta a la modificación unilateral de las condiciones del contrato marco, por ejemplo si no hay razones que justifiquen la modificación.
[…]
(81) Los instrumentos de pagos de escasa cuantía deben constituir una alternativa barata y fácilmente accesible en el caso de los bienes y servicios de precio reducido, y no deben someterse a requisitos excesivos. […] Pese a tratarse de un régimen menos estricto, los usuarios de servicios de pago deben beneficiarse de una protección adecuada que atienda a los riesgos limitados que plantea este tipo de instrumentos de pago, en particular en el caso de los instrumentos de prepago.
[…]
(91) Los proveedores de servicios de pago son responsables de las medidas de seguridad. Dichas medidas deben ser proporcionales a los riesgos de seguridad existentes. Los proveedores de servicios de pago deben establecer un marco que permita paliar los riesgos y mantener procedimientos eficaces de gestión de incidentes. […] Además, a fin de minimizar en lo posible el perjuicio causado a los usuarios, […] es esencial que los proveedores de servicios de pago tengan la obligación de comunicar los incidentes graves de seguridad a las autoridades competentes, sin indebidas demoras. […]
[…]
(96) Las medidas de seguridad han de ser compatibles con el nivel de riesgo que entraña el servicio de pago. Para permitir el desarrollo de medios de pago accesibles y de fácil uso para pagos de bajo riesgo (por ejemplo, los pagos de escasa cuantía y los pagos sin contacto en el punto de venta, basados o no en un teléfono móvil), en las normas técnicas de regulación se deberían especificar exenciones de la aplicación de los requisitos de seguridad. […]»
10 El artículo 4 de esta Directiva, titulado «Definiciones», está redactado en los siguientes términos:
«A efectos de la presente Directiva, se entenderá por:
[…]
8) “ordenante”: la persona física o jurídica titular de una cuenta de pago que autoriza una orden de pago a partir de dicha cuenta, o, en caso de que no exista una cuenta de pago, la persona física o jurídica que dicta una orden de pago;
9) “beneficiario”: la persona física o jurídica que es el destinatario previsto de los fondos objeto de una operación de pago;
10) “usuario de servicios de pago”: la persona física o jurídica que utiliza un servicio de pago, ya sea como ordenante, beneficiario o ambos;
[…]
14) “instrumento de pago”: cualquier dispositivo personalizado y/o conjunto de procedimientos acordados entre el usuario de servicios de pago y el proveedor de servicios de pago y utilizados para iniciar una orden de pago;
[…]
20) “consumidor”: una persona física que, en los contratos de servicios de pago objeto de la presente Directiva, actúa con fines ajenos a su actividad económica, comercial o profesional;
21) “contrato marco”: un contrato de servicio de pago que rige la ejecución futura de operaciones de pago individuales y sucesivas y que puede estipular la obligación de abrir una cuenta de pago y las correspondientes condiciones para ello;
[…]
29) “autenticación”: procedimiento que permita al proveedor de servicios de pago comprobar la identidad del usuario de un servicio de pago o la validez de la utilización de determinado instrumento de pago, incluida la utilización de credenciales de seguridad personalizadas del usuario;
30) “autenticación reforzada de cliente”: la autenticación basada en la utilización de dos o más elementos categorizados como conocimiento (algo que solo conoce el usuario), posesión (algo que solo posee el usuario) e inherencia (algo que es el usuario), que son independientes —es decir, que la vulneración de uno no compromete la fiabilidad de los demás—, y concebida de manera que se proteja la confidencialidad de los datos de autenticación;
31) “credenciales de seguridad personalizadas”: elementos personalizados que el proveedor de servicios de pago proporciona al usuario de servicios de pago a efectos de autenticación;
[…]».
11 El título III de la Directiva 2015/2366, que lleva la rúbrica «Transparencia de las condiciones y requisitos de información aplicables a los servicios de pago», contiene un capítulo 1 en el que se recogen las «Normas generales», compuesto por los artículos 38 a 42 de dicha Directiva.
12 El artículo 38 de la referida Directiva, que lleva como epígrafe «Ámbito de aplicación», establece, en su apartado 1, lo siguiente:
«El presente título será de aplicación a las operaciones de pago singulares, a los contratos marco y a las operaciones de pago sujetas a dichos contratos. Las partes podrán acordar que no se aplique, en todo o en parte, en caso de que el usuario del servicio de pago no sea un consumidor.»
13 El artículo 42 de la misma Directiva, titulado «Excepciones a los requisitos de información aplicables a los instrumentos de pago de escasa cuantía y al dinero electrónico», dispone:
«1. En los casos de instrumentos de pago que, con arreglo al contrato marco pertinente, solo afecten a operaciones de pago individuales no superiores a 30 [euros] o que tienen un límite de gasto de 150 [euros] o que permiten almacenar fondos que no exceden en ningún momento la cantidad de 150 [euros]:
a) no obstante lo dispuesto en los artículos 51, 52 y 56, el proveedor del servicio de pago solo facilitará al ordenante la información sobre las características principales del servicio de pago, incluida la forma de utilizar el instrumento de pago, la responsabilidad, los gastos cobrados y demás información práctica necesaria para adoptar una decisión con conocimiento de causa, e indicará en qué lugar puede acceder fácilmente a la información y condiciones contenidas en el artículo 52;
b) no obstante lo dispuesto en el artículo 54, podrá convenirse que el proveedor de servicios de pago no tenga la obligación de proponer los cambios de las condiciones del contrato marco de la misma forma que establece el artículo 51, apartado 1;
[…]».
14 El título III de la Directiva 2015/2366 contiene un capítulo 3, relativo a los «Contratos marco», que incluye los artículos 50 a 58 de esta.
15 El artículo 51 de dicha Directiva, titulado «Información general previa», establece, en su apartado 1, lo siguiente:
«Los Estados miembros dispondrán que el proveedor de servicios de pago esté obligado a facilitar al usuario de servicios de pago, en papel u otro soporte duradero, la información y las condiciones contenidas en el artículo 52, con suficiente antelación a la fecha en que el usuario quede vinculado por cualquier contrato marco u oferta. La información y las condiciones estarán redactadas en términos fácilmente comprensibles, de manera clara y legible, en una lengua oficial del Estado miembro en el que se ofrezca el servicio de pago o en cualquier otra lengua acordada entre las partes.»
16 El artículo 52 de esta Directiva, con el título «Información y condiciones», dispone:
«Los Estados miembros velarán por que se proporcionen al usuario de servicios de pago la información y condiciones siguientes:
[…]
6) sobre modificaciones y la rescisión del contrato marco:
a) de haberse convenido así, la advertencia de que se considerará que el usuario de servicios de pago acepta modificaciones de las condiciones establecidas con arreglo al artículo 54, a menos que el usuario de servicios de pago notifique lo contrario al proveedor de servicios de pago con anterioridad a la fecha propuesta para la entrada en vigor de las modificaciones;
[…]».
17 El artículo 54 de la citada Directiva, titulado «Modificación de las condiciones del contrato marco», establece, en su apartado 1, lo siguiente:
«El proveedor de servicios de pago deberá proponer cualquier modificación de las condiciones contractuales y de la información y las condiciones especificadas en el artículo 52, de modo idéntico al indicado en el artículo 51, apartado 1, y con una antelación no inferior a dos meses respecto de la fecha de aplicación propuesta. El usuario de servicios de pago podrá aceptar o rechazar las modificaciones antes de la fecha propuesta para su entrada en vigor.
Cuando proceda según el artículo 52, punto 6, letra a), el proveedor de servicios de pago informará al usuario de servicios de pago de que cabe considerar que ha aceptado la modificación de las condiciones de que se trate en caso de no comunicar al proveedor de servicios de pago su no aceptación con anterioridad a la fecha propuesta de entrada en vigor. El proveedor de servicios de pago informará también al usuario de servicios de pago de que, en caso de que el usuario de servicios de pago rechace las modificaciones, el usuario de servicios de pago tiene derecho a resolver el contrato marco sin coste alguno y con efecto a partir de cualquier momento anterior a la fecha en que se habría aplicado la modificación.»
18 El título IV de la Directiva 2015/2366, que lleva la rúbrica «Derechos y obligaciones en relación con la prestación y utilización de servicios de pago», contiene los artículos 61 a 63.
19 El artículo 63 de la referida Directiva, con el epígrafe «Excepción para instrumentos de pago de escasa cuantía y dinero electrónico», establece, en su apartado 1:
«En caso de instrumentos de pago que, con arreglo al contrato marco, solo afectan a operaciones de pago individuales no superiores a 30 [euros], que tienen un límite de gasto de 150 [euros] o bien que permiten almacenar fondos que no exceden en ningún momento la cantidad de 150 [euros], los proveedores de servicios de pago podrán convenir con sus usuarios de servicios de pago en que:
a) no se apliquen el artículo 69, apartado 1, letra b), el artículo 70, apartado 1, letras c) y d), ni el artículo 74, apartado 3, si el instrumento de pago no permite su bloqueo ni impedir futuras utilizaciones;
b) no se apliquen los artículos 72, 73 ni el artículo 74, apartados 1 y 3, si el instrumento de pago se utiliza de forma anónima o el proveedor de servicios de pago es incapaz, por otros motivos intrínsecos del propio instrumento de pago, de demostrar que la operación de pago ha sido autorizada;
[…]».
20 El título IV de la Directiva 2015/2366 contiene también un capítulo 2, relativo a la «Autorización de operaciones de pago», que está compuesto por los artículos 64 a 77 de esta.
21 El artículo 69 de esta Directiva, titulado «Obligaciones del usuario de servicios de pago en relación con los instrumentos de pago y las credenciales de seguridad personalizadas», dispone, en su apartado 1, lo siguiente:
«El usuario de servicios de pago habilitado para utilizar un instrumento de pago:
[…]
b) en caso de extravío, robo o apropiación indebida del instrumento de pago o de su utilización no autorizada, lo notificará al proveedor de servicios de pago o a la entidad que este designe, sin demora indebida en cuanto tenga conocimiento de ello.»
22 El artículo 70 de la citada Directiva, titulado «Obligaciones del proveedor de servicios de pago en relación con los instrumentos de pago», establece, en su apartado 1:
«El proveedor de servicios de pago emisor del instrumento de pago:
[…]
c) garantizará que en todo momento estén disponibles medios adecuados que permitan al usuario de servicios de pago efectuar una notificación en virtud del artículo 69, apartado 1, letra b), o solicitar un desbloqueo del instrumento de pago en virtud del artículo 68, apartado 4; el proveedor de servicios de pago facilitará al usuario de dichos servicios, cuando este así lo solicite, medios que le permitan demostrar que ha efectuado dicha notificación durante los dieciocho meses siguientes a la misma;
d) ofrecerá al usuario de servicios de pago la posibilidad de efectuar una notificación en virtud del artículo 69, apartado 1, letra b), gratuitamente y cobrar, si acaso, únicamente los costes de sustitución directamente imputables al instrumento de pago;
[…]».
23 El artículo 72 de la misma Directiva, que lleva la rúbrica «Prueba de la autenticación y ejecución de las operaciones de pago», dispone:
«1. Los Estados miembros exigirán que, cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que esta se ejecutó de manera incorrecta, corresponda al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago.
Si el usuario de servicios de pago inicia la operación de pago a través de un proveedor de servicios de iniciación de pagos, corresponderá a este demostrar que, dentro de su ámbito de competencia, la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable.
2. Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ejecutada, la utilización de un instrumento de pago registrada por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, no bastará necesariamente para demostrar que la operación de pago ha sido autorizada por el ordenante, ni que este ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 69. El proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, aportará pruebas para demostrar que el usuario del servicio de pago ha cometido fraude o negligencia grave.»
24 El artículo 73 de la Directiva 2015/2366, titulado «Responsabilidad del proveedor de servicios de pago en caso de operaciones de pago no autorizadas», está redactado en los siguientes términos:
«1. Sin perjuicio del artículo 71, los Estados miembros velarán por que, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devuelva a este el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito a la autoridad nacional pertinente. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada. Velarán asimismo por que la fecha de valor del abono en la cuenta de pago del ordenante no sea posterior a la fecha de adeudo del importe.
2. Cuando la operación de pago se inicie a través de un proveedor de servicios de iniciación de pagos, el proveedor de servicios de pago gestor de cuenta devolverá inmediatamente y, en cualquier caso, a más tardar al final del día hábil siguiente, el importe de la operación de pago no autorizada y, en su caso, restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada.
Si el responsable de la operación de pago no autorizada es el proveedor de servicios de iniciación de pagos, deberá resarcir de inmediato al proveedor de servicios de pago gestor de cuenta, a petición de este, por las pérdidas sufridas o las sumas abonadas para efectuar la devolución al ordenante, incluido el importe de la operación de pago no autorizada. De conformidad con el artículo 72, apartado 1, corresponderá al proveedor de servicios de iniciación de pagos demostrar que, dentro de su ámbito de competencia, la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable.
3. Podrán determinarse otras indemnizaciones económicas de conformidad con la normativa aplicable al contrato celebrado entre el ordenante y el proveedor de servicios de pago o el contrato celebrado entre el ordenante y el proveedor de servicios de iniciación de pagos, en su caso.»
25 El artículo 74 de esta Directiva, que lleva la rúbrica «Responsabilidad del ordenante en caso de operaciones de pago no autorizadas», establece, en sus apartados 1 y 3, lo siguiente:
«1. No obstante lo dispuesto en el artículo 73, el ordenante podrá quedar obligado a soportar, hasta un máximo de 50 [euros], las pérdidas derivadas de operaciones de pago no autorizadas resultantes de la utilización de un instrumento de pago extraviado o robado o de la apropiación indebida de un instrumento de pago.
El párrafo primero no se aplicará si:
a) al ordenante no le resultaba posible detectar la pérdida, el robo o la apropiación indebida de un instrumento de pago antes de un pago, salvo cuando el propio ordenante haya actuado fraudulentamente, o
b) la pérdida se debe a la acción o inacción de empleados o de cualquier agente, sucursal o entidad de un proveedor de servicios de pago al que se hayan externalizado actividades.
El ordenante soportará todas las pérdidas derivadas de operaciones de pago no autorizadas si el ordenante ha incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 69. En esos casos, no será de aplicación el importe máximo contemplado en el párrafo primero.
En aquellos casos en que el ordenante no haya actuado de forma fraudulenta ni haya incumplido de forma deliberada sus obligaciones con arreglo al artículo 69, los Estados miembros podrán reducir la responsabilidad establecida en el párrafo primero del presente apartado, teniendo en cuenta, en particular, la naturaleza de las credenciales de seguridad personalizadas del instrumento de pago y las circunstancias específicas de la pérdida, el robo o la apropiación indebida del instrumento de pago.
[…]
3. Salvo en caso de actuación fraudulenta, el ordenante no soportará consecuencia económica alguna por la utilización, con posterioridad a la notificación a que se refiere el artículo 69, apartado 1, letra b), de un instrumento de pago extraviado, robado u objeto de apropiación indebida.
Si el proveedor de servicios de pago no ofrece medios adecuados para que pueda notificarse en todo momento el extravío, el robo o la apropiación indebida de un instrumento de pago, según lo dispuesto en el artículo 70, apartado 1, letra c), el ordenante no será responsable de las consecuencias económicas que se deriven de la utilización de dicho instrumento de pago, salvo en caso de haber actuado de manera fraudulenta.»
26 El artículo 107 de la Directiva 2015/2366, titulado «Plena armonización», que figura en el título VI de esta, en el que se recogen las «Disposiciones finales», dispone:
«1. Sin perjuicio de lo dispuesto en el artículo 2, el artículo 8, apartado 3, el artículo 32, el artículo 38, apartado 2, el artículo 42, apartado 2, el artículo 55, apartado 6, el artículo 57, apartado 3, el artículo 58, apartado 3, el artículo 61, apartados 2 y 3, el artículo 62, apartado 5, el artículo 63, apartados 2 y 3, el artículo 74, apartado 1, párrafo segundo, y el artículo 86, y en la medida en que la presente Directiva establezca disposiciones armonizadas, los Estados miembros no podrán mantener o introducir disposiciones diferentes de las que en ella se prevén.
[…]
3. Los Estados miembros velarán por que los proveedores de servicios de pago no establezcan, en detrimento de los usuarios de servicios de pago, excepciones a las disposiciones de Derecho nacional que transpongan la presente Directiva, salvo disposición expresa de esta.
No obstante, los proveedores de servicios de pago podrán decidir otorgar condiciones más favorables a los usuarios de servicios de pago.»
Reglamento Delegado (UE) 2018/389
27 A tenor de los considerandos 9 y 11 del Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, por el que se complementa la Directiva 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros (DO 2018, L 69, pág. 23):
«(9) De conformidad con la Directiva (UE) 2015/2366, las exenciones al principio de la autenticación reforzada de clientes se han definido sobre la base del nivel de riesgo, el importe, la frecuencia y el canal de pago empleado para la ejecución de la operación de pago.
[…]
(11) Las exenciones para los pagos sin contacto de escasa cuantía en el punto de venta, que también tienen en cuenta un número máximo de operaciones consecutivas o un determinado valor máximo fijo de operaciones consecutivas a los que no se aplica la autenticación reforzada de clientes, permiten el desarrollo de servicios de pago de fácil utilización y bajo riesgo, y deben por lo tanto preverse. […]»
28 El artículo 1 del Reglamento Delegado 2018/389, titulado «Objeto», dispone:
«El presente Reglamento establece los requisitos que deben cumplir los proveedores de servicios de pago a efectos de la aplicación de medidas de seguridad que les permitan hacer lo siguiente:
a) aplicar el procedimiento de autenticación reforzada de clientes, de conformidad con el artículo 97 de la Directiva (UE) 2015/2366;
b) eximir de la aplicación de los requisitos de seguridad de la autenticación reforzada de clientes, bajo determinadas condiciones limitadas y basadas en el nivel de riesgo, el importe de la operación de pago y la frecuencia con que se repite, y el canal de pago empleado para la ejecución de dicha operación;
[…]».
29 El artículo 2 del Reglamento Delegado, que lleva la rúbrica «Requisitos generales de autenticación», establece, en su apartado 1, primer párrafo, lo siguiente:
«Los proveedores de servicios de pago dispondrán de mecanismos de supervisión de las operaciones que les permitan detectar operaciones de pago no autorizadas o fraudulentas a efectos de la aplicación de las medidas de seguridad a que se hace referencia en el artículo 1, letras a) y b).»
30 El artículo 11 de dicho Reglamento Delegado, titulado «Pagos sin contacto en el punto de venta», está redactado en los siguientes términos:
«Los proveedores de servicios de pago tendrán la posibilidad de no aplicar la autenticación reforzada de clientes, siempre que se cumplan los requisitos establecidos en el artículo 2, cuando el ordenante inicie una operación de pago electrónico sin contacto en la que se cumplan las condiciones siguientes:
a) que el importe de la operación de pago electrónico sin contacto no exceda de 50 [euros], y
b) que el importe acumulado de las operaciones previas de pago electrónico sin contacto iniciadas por medio de un instrumento de pago con una funcionalidad sin contacto desde la fecha de la última aplicación de la autenticación reforzada de clientes no exceda de 150 [euros], o
c) que el número de operaciones de pago electrónico sin contacto consecutivas iniciadas por medio de un instrumento de pago que ofrezca una funcionalidad sin contacto desde la fecha de la última aplicación de la autenticación reforzada de clientes no exceda de cinco.»
Litigio principal y cuestiones prejudiciales
31 VKI es una asociación domiciliada en Austria que, de conformidad con la legislación austriaca, goza de legitimación activa para defender los intereses de los consumidores.
32 DenizBank es una entidad bancaria que opera en Austria. En sus relaciones con los clientes, dicha sociedad aplica condiciones generales de contratación, en particular, para el uso de tarjetas bancarias dotadas de la función NFC. Esta función, que se activa automáticamente la primera vez que el cliente utiliza la tarjeta, permite efectuar pagos de escasa cuantía, de hasta 25 euros por unidad, sin necesidad de introducir la tarjeta en un terminal de pago y sin tener que introducir un número de identificación personal (en lo sucesivo, «código PIN») en las cajas registradoras que cuenten con el equipo adecuado. En cambio, el pago de importes superiores está sujeto a la autenticación mediante el código PIN.
33 El contenido de las cláusulas de estas condiciones generales pertinentes para el presente asunto puede resumirse del siguiente modo:
– la cláusula 14 establece, en particular, que las modificaciones de las condiciones generales de las tarjetas de débito se propondrán al cliente, a más tardar, dos meses antes de la fecha prevista para su entrada en vigor y que se considerará que el cliente ha aceptado dichas modificaciones a menos que se oponga expresamente antes de esa fecha. Al cliente que tenga la condición de consumidor se le ofrece la posibilidad de rescindir libremente su contrato, posibilidad de la que debe ser informado en la propuesta de modificación remitida por DenizBank;
– la cláusula 15 estipula que DenizBank no está obligado a acreditar que los pagos de escasa cuantía efectuados sin introducir el código personal, es decir, utilizando la función NFC, han sido autorizados ni que esas transacciones no se han visto afectadas por una deficiencia técnica o de otro tipo;
– la cláusula 16 exime a DenizBank de su responsabilidad y de cualquier obligación de reembolso en caso de que tales operaciones de pago no hayan sido autorizadas por el titular de la tarjeta;
– la cláusula 17 estipula que el titular de la cuenta bancaria asume el riesgo de cualquier uso indebido de su tarjeta para este tipo de pagos;
– la cláusula 18 establece que, en caso de extravío de la tarjeta de débito, debido, por ejemplo, a su pérdida o robo, es técnicamente imposible bloquear la tarjeta para pagos de escasa cuantía y que, incluso después de ser bloqueada podrán seguir realizándose tales pagos hasta un importe de 75 euros, que no serán reembolsables por DenizBank;
– la cláusula 19 prevé que las disposiciones relativas a los servicios de tarjeta también son aplicables, en principio, a los pagos de escasa cuantía.
34 Mediante demanda presentada el 9 de agosto de 2016, VKI ejercitó una acción de cesación ante el Handelsgericht Wien (Tribunal de lo Mercantil de Viena, Austria) con la que pretendía lograr que se prohibiese a DenizBank aplicar las seis cláusulas antes mencionadas, puesto que, a su parecer, debían considerarse nulas. En su escrito de contestación, DenizBank argumentó que la cláusula 14 era conforme a Derecho y que las distintas funciones de pago de las tarjetas dotadas de la función NFC debían apreciarse por separado.
35 Mediante sentencia de 28 de abril de 2017, el tribunal de primera instancia estimó la demanda de VKI. Declaró que la cláusula 14 era gravemente lesiva y que la función NFC no estaba comprendida en el ámbito de aplicación de las excepciones previstas para los instrumentos de pagos de escasa cuantía, puesto que la tarjeta también podía utilizarse para otros tipos de pagos y, a su parecer, la función NFC no puede considerarse en sí misma un instrumento de pago.
36 Mediante sentencia de 20 de noviembre de 2017, el Oberlandesgericht Wien (Tribunal Superior Regional de Viena, Austria), que conocía del asunto en apelación, confirmó en parte la sentencia dictada en primera instancia. Dicho órgano jurisdiccional estimó, en particular, que el uso de la función NFC no supone el uso de un instrumento de pago, sino que ha de asimilarse a las operaciones con tarjeta de crédito efectuadas por correo o teléfono. A este respecto, señaló que la función NFC se activa automáticamente, a diferencia de lo que ocurre con un «monedero electrónico», y que la tarjeta dotada de esta función no es anónima, sino que está personalizada y protegida con un código personal.
37 VKI y DenizBank interpusieron sendos recursos de casación contra la sentencia dictada en apelación ante el Oberster Gerichtshof (Tribunal Supremo de lo Civil y Penal, Austria), órgano jurisdiccional remitente.
38 Este afirma, en primer lugar, que ha declarado reiteradamente que las modificaciones importantes de las condiciones del contrato marco introducidas por el proveedor de servicios de pago no pueden ser objeto de una aceptación tácita por parte del cliente, como la que resulta de la cláusula 14 de las condiciones generales controvertidas en el litigio principal. Considera que tal modificación sería contraria a los artículos 52, punto 6, letra a), y 54, apartado 1, de la Directiva 2015/2366, transpuesta en idénticos términos en el ordenamiento jurídico austriaco por la Zahlungsdienstegesetz 2018 (Ley de Servicios de Pago de 2018, BGBl. I, 17/2018), y al objetivo de protección del consumidor enunciado en el considerando 63 de esa Directiva. Añade que, a su parecer, sería preciso someter dicha cláusula a un control adicional a la luz de la Directiva 93/13. Indica que su jurisprudencia antes mencionada ha recibido críticas de una parte de la doctrina austriaca, que sostiene, entre otras cosas, que el interés de las empresas debe ponderarse con el de los consumidores, quienes, además, podrían verse beneficiados por una modificación de estas características.
39 En segundo lugar, remitiéndose a la jurisprudencia del Tribunal de Justicia, en particular a los apartados 33 y 35 de la sentencia de 9 de abril de 2014, T‑Mobile Austria (C‑616/11, EU:C:2014:242), el órgano jurisdiccional nacional considera que la activación de una orden de pago mediante la utilización de la función NFC de una tarjeta bancaria asociada a una cuenta bancaria determinada podría constituir un «conjunto de procedimientos» no personalizado y, por tanto, un «instrumento de pago», en el sentido del artículo 4, punto 14, de dicha Directiva.
40 En el supuesto de que así fuera, pregunta, en tercer lugar, si un pago efectuado mediante la función NFC de una tarjeta personalizada de tales características puede considerarse una utilización «anónima» de un instrumento de pago en el sentido del artículo 63, apartado 1, letra b), de la Directiva 2015/2366, o si esta calificación solo se aplica cuando el pago se ha llevado a cabo mediante una tarjeta no asociada a una cuenta individualizada y sin ningún otro elemento de autenticación, como los definidos en el artículo 4, puntos 29 y 30, de dicha Directiva.
41 En cuarto lugar, el órgano jurisdiccional nacional pregunta, en esencia, si un proveedor de servicios de pago que desee acogerse a la excepción prevista en el artículo 63, apartado 1, letra a), de la Directiva 2015/2366 está obligado a demostrar que, a la luz de los últimos conocimientos científicos disponibles, no es posible bloquear el instrumento de pago ni impedir que siga utilizándose. Este órgano jurisdiccional se pronuncia a favor de una respuesta afirmativa partiendo desde la perspectiva de la protección de los consumidores y habida cuenta de que, según el considerando 91 de la Directiva 2015/2366, el proveedor es responsable de las medidas de seguridad. Precisa que, en el caso de autos, DenizBank no ha impugnado la alegación del VKI de que tal bloqueo es técnicamente factible.
42 En estas circunstancias, el Oberster Gerichtshof (Tribunal Supremo de lo Civil y Penal) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:
«1) ¿Debe interpretarse el artículo 52, punto 6, letra a), en relación con el artículo 54, apartado 1, de la Directiva [2015/2366], con arreglo a los cuales se considera que el usuario de servicios de pago ha prestado su consentimiento a una modificación de las condiciones contractuales si no notifica su rechazo al proveedor de servicios de pago con anterioridad a la fecha propuesta para la entrada en vigor de las modificaciones, en el sentido de que es posible pactar con un consumidor sin limitación alguna una ficción de consentimiento para todas las condiciones contractuales imaginables?
2) a) ¿Debe interpretarse el artículo 4, punto 14, de la Directiva [2015/2366] en el sentido de que la función NFC de una tarjeta bancaria multifuncional personalizada, con la cual se realizan pagos de escasa cuantía con cargo a la cuenta asociada del cliente, constituye un instrumento de pago?
b) En caso de respuesta afirmativa a la cuestión 2, letra a):
¿Debe interpretarse el artículo 63, apartado 1, letra b), de la Directiva [2015/2366], sobre la excepción para los pagos de escasa cuantía y el dinero electrónico, en el sentido de que un pago de escasa cuantía sin contacto mediante el uso de la función NFC de una tarjeta bancaria multifuncional personalizada debe considerarse un uso anónimo del instrumento de pago a efectos de dicha excepción?
3) ¿Debe interpretarse el artículo 63, apartado 1, letra [a)] de la Directiva [2015/2366] en el sentido de que un proveedor de servicios de pago solo puede invocar dicha excepción si se acredita que el instrumento de pago, conforme al estado objetivo de la técnica, no se puede bloquear o no se puede impedir que se siga utilizando?»
43 El 26 de noviembre de 2019, el Tribunal de Justicia remitió al órgano jurisdiccional remitente una solicitud de aclaraciones con arreglo al artículo 101 de su Reglamento de Procedimiento, instándole a que precisase los motivos por los que procedía considerar que la Directiva 2015/2366 —y la legislación austriaca que la transpone— debía aplicarse ratione temporis al procedimiento principal a pesar de que la demanda con la que se inició el procedimiento fue presentada por el VKI el 9 de agosto de 2016, fecha en que la Directiva 2007/64 seguía en vigor, puesto que esta no fue derogada hasta el 13 de enero de 2018.
44 En su respuesta, recibida en la Secretaría del Tribunal de Justicia el 24 de enero de 2020, el órgano jurisdiccional remitente precisó que, dado que debe pronunciarse sobre un recurso con el que se pretende prohibir el futuro uso de las cláusulas contractuales objeto del procedimiento principal, deberá apreciar la conformidad a Derecho de tales cláusulas no solo a la luz de las disposiciones vigentes en el momento en que se interpuso la acción, sino también de las disposiciones aplicables tras la derogación de la Directiva 2007/64.
Sobre las cuestiones prejudiciales
Sobre la primera cuestión prejudicial
45 Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 52, punto 6, letra a), de la Directiva 2015/2366, leído en relación con el artículo 54, apartado 1, de esta, debe interpretarse en el sentido de que un proveedor de servicios de pago que ha celebrado un contrato marco con un usuario de tales servicios puede acordar con este último que se presumirá que este ha aceptado una modificación de su contrato marco, en las condiciones previstas en esas disposiciones, incluso en aquellos casos en los que el usuario sea un consumidor y sin importar cuáles sean las cláusulas contractuales a las que se aplique esa presunción.
46 En virtud del artículo 52, punto 6, letra a), de la Directiva 2015/2366, los Estados miembros deben velar por que el usuario de servicios de pago sea informado de que, si las partes en el contrato marco así lo han convenido, se considerará que ha aceptado la modificación de las condiciones de dicho contrato propuesta por el proveedor de servicios de pago de conformidad con el artículo 54, apartado 1, de esa Directiva, a menos que haya notificado su negativa al proveedor antes de la fecha prevista para la entrada en vigor de la modificación en cuestión.
47 Procede señalar que, según se desprende de estas disposiciones, la presunción de aceptación tácita del usuario de servicios de pago, cuya aplicación ha sido acordada con el prestador de tales servicios, se refiere únicamente a las «modificaciones» de las condiciones del contrato marco, es decir, a cambios que no afecten a las condiciones del contrato marco de un modo tal que la propuesta realizada por el proveedor supondría, en realidad, la conclusión de un nuevo contrato. Corresponde a los órganos jurisdiccionales nacionales que conocen de un litigio relativo a una aceptación tácita de estas características comprobar si esta última exigencia se ha aplicado correctamente.
48 Sin embargo, el tenor del artículo 52, punto 6, letra a), de la Directiva 2015/2366, leído en relación con el artículo 54, apartado 1, de esta, no contiene precisión alguna en lo que concierne a la condición del usuario de los servicios de pago, como se contempla en la primera cuestión prejudicial. Pues bien, cuando la condición de «consumidor», en el sentido del artículo 4, punto 20, de esta Directiva, constituye un elemento determinante, sus disposiciones lo precisan de manera expresa, tal y como sucede, en particular, en su artículo 38.
49 De ello se sigue que el artículo 52, punto 6, letra a), de la Directiva 2015/2366 se aplica tanto a los usuarios de servicios de pago que tienen la condición de consumidores como a aquellos que no la tienen.
50 Por lo demás, del tenor de dicho artículo 52, punto 6, letra a), leído en relación con el referido artículo 54, apartado 1, párrafo segundo, se desprende que la primera disposición únicamente tiene por objeto establecer requisitos en lo que concierne a la información previa, y no determinar el contenido de las modificaciones de los contratos marco que pueden ser objeto de una aceptación tácita, toda vez que estas disposiciones se limitan a reconocer la posibilidad de proceder a tales modificaciones y a exigir plena transparencia en lo que a ellas se refiere, sin definir su contenido.
51 Este análisis queda corroborado por una interpretación contextual del artículo 52, punto 6, letra a), de la Directiva 2015/2366, en relación con el artículo 54, apartado 1, de esta.
52 En efecto, el artículo 52, titulado «Información y condiciones», y el artículo 54, titulado «Modificación de las condiciones del contrato marco», figuran en el capítulo 3 de la Directiva 2015/2366, relativo a las operaciones de pago reguladas por un contrato marco, que se halla en el título III de esa Directiva, que lleva la rúbrica «Transparencia de las condiciones y requisitos de información aplicables a los servicios de pago». De ello se desprende que los referidos artículos 52 y 54 pretenden únicamente regular las condiciones y la información que los proveedores de servicios de pago han de comunicar a los usuarios de sus servicios, y no definir el contenido de los compromisos recíprocos que estos pueden contraer contractualmente, contenido que se rige por las disposiciones del Título IV de esa Directiva, titulado «Derechos y obligaciones en relación con la prestación y utilización de servicios de pago».
53 Además, el artículo 42 de la Directiva 2015/2366, que lleva la rúbrica «Excepciones a los requisitos de información aplicables a los instrumentos de pago de escasa cuantía y al dinero electrónico», que también figura en el Título III de esa Directiva, indica claramente que los referidos artículos 52 y 54 se refieren a la información relativa a los servicios de pago que, salvo autorización expresa, debe ser facilitada por el proveedor de tales servicios.
54 Por otra parte, el artículo 51 de esta Directiva precisa que el proveedor de servicios de pago ha de facilitar la información y las condiciones contenidas en el artículo 52 de esta en un soporte duradero y de forma clara y legible, con suficiente antelación a la fecha en que el usuario de los servicios de pago quede vinculado por cualquier contrato marco u oferta, a fin de permitir al usuario realizar una elección con pleno conocimiento de causa, tal y como se desprende del considerando 54 de dicha Directiva.
55 La interpretación teleológica del artículo 52, punto 6, letra a), de la Directiva 2015/2366, en relación con el artículo 54, apartado 1, de esta, no pone en entredicho las consideraciones expuestas en los anteriores apartados.
56 Es cierto que, tal y como señalan el órgano jurisdiccional remitente y VKI, el considerando 63 de esta Directiva establece que «a fin de garantizar un elevado nivel de protección del consumidor, los Estados miembros deben estar facultados, en interés de los consumidores, para mantener o establecer restricciones o prohibiciones en lo que respecta a la modificación unilateral de las condiciones del contrato marco, por ejemplo si no hay razones que justifiquen la modificación».
57 Sin embargo, del artículo 107 de la Directiva 2015/2366 se desprende que los artículos 52, punto 6, letra a), y 54, apartado 1, de esta tienen por objeto lograr una armonización total en el ámbito que regulan, esto es, habida cuenta de su tenor literal, en materia de información previa relativa a la aceptación tácita de las modificaciones de un contrato marco en caso de que las partes así lo hayan convenido, y ni los Estados miembros ni los proveedores de tales servicios pueden establecer excepciones a estas disposiciones, salvo en la medida en que dichos proveedores decidan otorgar condiciones más favorables a los usuarios de sus servicios.
58 Así pues, el artículo 52, punto 6, letra a), leído en relación con el artículo 54, apartado 1, de la Directiva 2015/2366, no puede interpretarse, a la luz de su considerando 63, en el sentido de que impone restricciones en lo que concierne a la condición del usuario de que se trate o al tipo de cláusulas contractuales que pueden verse afectadas por tales acuerdos relativos a las modificaciones aceptadas tácitamente.
59 A su vez, según reiterada jurisprudencia, en el marco del procedimiento de cooperación entre los órganos jurisdiccionales nacionales y el Tribunal de Justicia, establecido en el artículo 267 TFUE, corresponde a este último proporcionar al juez remitente una respuesta útil que le permita dirimir el litigio del que conoce. A este respecto, el Tribunal de justicia podrá extraer del conjunto de los elementos facilitados por el órgano jurisdiccional remitente, y, en particular, de la motivación de la resolución de remisión, las normas y principios del Derecho de la Unión que deben interpretarse a la luz del objeto del litigio principal, aun cuando dichas disposiciones no figuren expresamente en las cuestiones planteadas por el órgano jurisdiccional remitente (véanse, en particular, las sentencias de 19 de diciembre de 2019, Airbnb Ireland, C‑390/18, EU:C:2019:1112, apartado 36, y de 12 de marzo de 2020, Caisse d'assurance retraite et de la santé au travail d'Alsace‑Moselle, C‑769/18, EU:C:2020:203, apartados 39 y 40).
60 En el presente asunto, el órgano jurisdiccional remitente estableció fundadamente, en la motivación de su resolución, un vínculo entre la cláusula 14 de las condiciones generales objeto del procedimiento principal, cuyo contenido se expone en el apartado 33 de la presente sentencia, y las disposiciones de la Directiva 93/13 sobre las cláusulas abusivas en los contratos celebrados con consumidores. Además, dicho órgano jurisdiccional considera que la cláusula controvertida puede dar lugar, en la práctica, a una modificación unilateral del contrato marco debido a la presunción de aceptación que contiene, ya que, a su parecer, los usuarios de servicios de pago no analizarán suficientemente las implicaciones de tales cláusulas.
61 A este respecto, cabe señalar que, en lo que concierne a los usuarios de servicios de pago que tienen la condición de «consumidor» en el sentido del artículo 2 de la Directiva 93/13, el control del carácter abusivo de una cláusula relativa a la aceptación tácita de las modificaciones de un contrato marco como la controvertida en el litigio principal se rige por las disposiciones de dicha Directiva.
62 En efecto, de las disposiciones de la Directiva 2015/2366, en particular, a la luz de su considerando 55, se desprende que siguen siendo aplicables otros textos del Derecho de la Unión relativos a la protección del consumidor, como, entre otros, la Directiva 2011/83. Por consiguiente, cuando el usuario de servicios de pago tiene la condición de consumidor, la Directiva 2015/2366 puede aplicarse conjuntamente con la Directiva 93/13, en su versión modificada por la Directiva 2011/83, y, por lo tanto, sin perjuicio de las medidas adoptadas por los Estados miembros para transponer esta última, que, en el ámbito que regula, se limita a efectuar una armonización mínima y autoriza, pues, la adopción o el mantenimiento de medidas nacionales más estrictas, compatibles con el Tratado, con el fin de garantizar al consumidor un mayor nivel de protección (véase, en este sentido, la sentencia de 2 de abril de 2020, Condominio di Milano, via Meda, C‑329/19, EU:C:2020:263, apartado 33).
63 Así, el artículo 3, apartado 1, de la Directiva 93/13 define aquellos casos en los que una cláusula contenida en un contrato celebrado entre un consumidor y un profesional puede considerarse abusiva. El apartado 3 de dicho artículo 3 remite al anexo de esta Directiva, que contiene una lista indicativa de este tipo de cláusulas, entre las que figuran, en el punto 1, letra j), las «cláusulas que tengan por objeto o por efecto […] autorizar al profesional a modificar unilateralmente sin motivos válidos especificados en el contrato los términos del mismo». Además, el artículo 6, apartado 1, de la Directiva 93/13 establece que las cláusulas abusivas en el sentido de dicha Directiva no vincularán al consumidor, en las condiciones estipuladas por el Derecho nacional aplicable. El artículo 8 de la referida Directiva precisa que los Estados miembros podrán adoptar o mantener, en el ámbito regulado por ella, disposiciones que ofrezcan a los consumidores una mayor protección que las recogidas en dicha Directiva, siempre que sean compatibles con el Tratado.
64 Así pues, corresponde al órgano jurisdiccional remitente examinar si la cláusula 14 de las condiciones generales, relativa a la modificación tácita del contrato marco celebrado con consumidores, controvertida en el litigio principal, tiene o no carácter abusivo y, en su caso, extraer las consecuencias que se deriven de la ilegalidad de dicha cláusula a la luz de las disposiciones de la Directiva 93/13 y no del artículo 52, punto 6, letra a), de la Directiva 2015/2366, leído en relación con el artículo 54, apartado 1, de esta.
65 A este respecto, cabe recordar que, en lo que respecta a las cláusulas tipo que permiten la adaptación unilateral de los contratos, el Tribunal de Justicia ha considerado que estas deben satisfacer las exigencias de buena fe, equilibrio y transparencia que impone la Directiva 93/13 (véase, en este sentido, la sentencia de 21 de marzo de 2013, RWE Vertrieb, C‑92/11, EU:C:2013:180, apartado 47).
66 En consecuencia, procede responder a la primera cuestión prejudicial que el artículo 52, punto 6, letra a), de la Directiva 2015/2366, leído en relación con el artículo 54, apartado 1, de esta, debe interpretarse en el sentido de que regula la información y las condiciones que deberán ser proporcionadas por los proveedores de servicios de pago que deseen acordar, con el usuario de sus servicios, una presunción de aceptación en lo que concierne a la modificación, con arreglo a las modalidades previstas en esas disposiciones, del contrato marco celebrado entre ellos, pero no establece limitación alguna en lo que concierne a la condición del usuario o al tipo de cláusulas contractuales que pueden ser objeto de tal acuerdo, sin perjuicio, no obstante, de que, cuando el usuario tenga la condición de consumidor, se proceda a un eventual control del carácter abusivo de tales cláusulas a la luz de las disposiciones de la Directiva 93/13.
Sobre la segunda cuestión prejudicial, letra a)
67 Mediante su segunda cuestión prejudicial, letra a), el órgano jurisdiccional remitente desea que se dilucide si el artículo 4, punto 14, de la Directiva 2015/2366 debe interpretarse en el sentido de que la función NFC de que está dotada una tarjeta bancaria multifuncional personalizada, que permite efectuar pagos de escasa cuantía con cargo a la cuenta bancaria asociada a dicha tarjeta, constituye un «instrumento de pago», tal como se define en esta disposición.
68 El artículo 4, punto 14, de la Directiva 2015/2366 define el concepto de «instrumento de pago» como «cualquier dispositivo personalizado y/o conjunto de procedimientos acordados entre el usuario de servicios de pago y el proveedor de servicios de pago y utilizados para iniciar una orden de pago».
69 Redactado en términos equivalentes, el artículo 4, punto 23, de la Directiva 2007/64 definía el concepto de «instrumento de pago», a efectos de la aplicación de esa Directiva, como «cualquier mecanismo o mecanismos personalizados, y/o conjunto de procedimientos acordados por el proveedor de servicios de pago y el usuario del servicio de pago y utilizado por el usuario del servicio de pago para iniciar una orden de pago».
70 A este respecto, procede señalar que, en el apartado 31 de la sentencia de 9 de abril de 2014, T‑Mobile Austria (C‑616/11, EU:C:2014:242), que versa sobre la interpretación del artículo 4, punto 23, de la Directiva 2007/64, el Tribunal de Justicia declaró, en primer lugar, que existía una cierta divergencia entre las distintas versiones lingüísticas de esta disposición en lo que concierne al uso del epíteto «personalizado» en relación con el sintagma «cualquier mecanismo o mecanismos» y/o con el sintagma «conjunto de procedimientos» según estas versiones. A continuación, el Tribunal de Justicia recordó, en el apartado 32 de esta sentencia, la jurisprudencia reiterada según la cual, por un lado, las disposiciones del Derecho de la Unión deben ser interpretadas y aplicadas de modo uniforme a la luz de las versiones de todas las lenguas de la Unión Europea, y, por otro lado, en caso de divergencia entre las distintas versiones lingüísticas de un texto de la Unión, la norma de que se trate debe interpretarse en función de la estructura general y de la finalidad de la normativa en que se integra. Por último, en el apartado 33 de esa sentencia, el Tribunal de Justicia consideró que, para calificarlo de «personalizado», en el sentido de esta disposición, un instrumento de pago debe permitir al proveedor de servicios de pago comprobar que la orden de pago ha sido iniciada por un usuario habilitado para hacerlo.
71 Así, el Tribunal de Justicia estimó, en los apartados 34 y 35 de la misma sentencia, que de la existencia de instrumentos de pago no personalizados, como los previstos expresamente en el artículo 53 de dicha Directiva, actualmente artículo 63 de la Directiva 2015/2366, se desprende necesariamente que el concepto de «instrumento de pago» definido en el artículo 4, punto 23, puede incluir un conjunto de procedimientos no personalizados acordados por el proveedor de servicios de pago y el usuario y utilizado por el usuario para iniciar una orden de pago.
72 Procede responder a la segunda cuestión prejudicial, letra a), planteada en el presente asunto por el órgano jurisdiccional remitente, a la luz de esta definición del concepto de «instrumento de pago» en el sentido del artículo 4, punto 23, de la Directiva 2007/64, actualmente artículo 4, punto 14, de la Directiva 2015/2366.
73 En el presente asunto, el referido órgano jurisdiccional considera fundadamente que de la jurisprudencia citada en los apartados 70 y 71 de la presente sentencia se desprende que no constituye un «dispositivo personalizado», en el sentido del primer supuesto contemplado en el artículo 4, punto 14, de la Directiva 2015/2366, la función NFC de una tarjeta bancaria multifuncional asociada a una cuenta bancaria individual, como la controvertida en el procedimiento principal, ya que el uso de esa función, como tal, no permite al proveedor de servicios de pago verificar que la orden de pago fue iniciada por un usuario autorizado para ello, a diferencia de las demás funciones de esa tarjeta, que requieren la utilización de credenciales de seguridad personalizadas, como un código PIN o una firma.
74 En consecuencia, el órgano jurisdiccional remitente se pregunta si la utilización de la función NFC puede constituir, como tal, un «conjunto de procedimientos» no personalizados, en el sentido del segundo supuesto contemplado en el artículo 4, punto 14, de la Directiva 2015/2366, y, por tanto, un «instrumento de pago», a efectos de la aplicación de esta Directiva.
75 Tal y como afirma el Abogado General en los puntos 37 a 40 de sus conclusiones, la utilización de la función NFC de una tarjeta bancaria asociada a una cuenta bancaria individual representa un conjunto de procedimientos no personalizados que debe haber sido acordado entre el usuario y el proveedor de servicios de pago y que se utiliza para iniciar una orden de pago, de modo que esta función constituye un «instrumento de pago», en el sentido del artículo 4, punto 14, segundo supuesto, de la Directiva 2015/2366.
76 En efecto, de los autos que obran en poder del Tribunal de Justicia resulta que la función NFC, tras ser activada por el titular de la cuenta bancaria asociada a dicha tarjeta, puede ser utilizada, en virtud del contrato celebrado entre el proveedor de servicios de pago y ese usuario, por cualquier persona que se halle en posesión de la tarjeta para pagar pequeñas cantidades que se cargan en dicha cuenta dentro del límite máximo autorizado por ese contrato, sin tener que hacer uso de las credenciales de seguridad personalizadas específicas del titular de la cuenta en cuestión a efectos de la «autenticación», o incluso de la «autenticación reforzada», de la orden de pago, en el sentido del artículo 4, puntos 29 a 31, de esa Directiva.
77 Ha de precisarse que, dadas sus características específicas, la función NFC es jurídicamente disociable de las demás funciones de que está dotada la tarjeta bancaria que le sirve de soporte, las cuales requieren el uso de credenciales de seguridad personalizadas, en particular, para pagar cantidades que superen el límite máximo establecido para el uso de la función NFC. Por lo tanto, esta última, considerada de manera aislada, puede calificarse de instrumento de pago en el sentido del artículo 4, punto 14, de la Directiva 2015/2366 y entrar en el ámbito de aplicación material de esta.
78 Tal interpretación puede contribuir a la consecución de los objetivos perseguidos por la Directiva 2015/2366, ya que el hecho de que la función NFC esté directamente sometida a los requisitos establecidos por esta favorece tanto el desarrollo de este nuevo medio de pago en el marco de una competencia leal entre los proveedores de servicios de pago como la protección de los usuarios de estos servicios, en particular, de los que tienen la condición de consumidores, de conformidad con las orientaciones dadas en la exposición de motivos de dicha Directiva y, en particular, en su considerando 6.
79 Por consiguiente, procede responder a la segunda cuestión prejudicial, letra a), que el artículo 4, punto 14, de la Directiva 2015/2366 debe interpretarse en el sentido de que la función NFC de que está dotada una tarjeta bancaria multifuncional personalizada, que permite efectuar pagos de escasa cuantía con cargo a la cuenta bancaria asociada a dicha tarjeta, constituye un «instrumento de pago», tal como se define en dicha disposición.
Sobre la segunda cuestión prejudicial, letra b)
80 Mediante su segunda cuestión prejudicial, letra b), el órgano jurisdiccional remitente pregunta si el artículo 63, apartado 1, letra b), de la Directiva 2015/2366 debe interpretarse en el sentido de que un pago de escasa cuantía realizado sin contacto mediante la función NFC de una tarjeta bancaria multifuncional personalizada constituye una utilización «anónima» del instrumento de pago de que se trata, en el sentido de esta excepción.
81 En virtud del artículo 63, apartado 1, letra b), de la Directiva 2015/2366, en el caso de instrumentos de pago de escasa cuantía, tal como se definen en la frase introductoria de ese apartado, los proveedores de servicios de pago podrán convenir con los usuarios de sus servicios en que no se apliquen las disposiciones enumeradas en esa letra b) cuando «el instrumento de pago se [utilice] de forma anónima» o cuando «el proveedor de servicios de pago [sea] incapaz, por otros motivos intrínsecos del propio instrumento de pago, de demostrar que la operación de pago ha sido autorizada».
82 El Tribunal de Justicia ha declarado que del artículo 53, apartado 1, letra b), de la Directiva 2007/64, actualmente artículo 63, apartado 1, letra b), de la Directiva 2015/2366, se desprende que ciertos instrumentos de pago se utilizan de forma anónima; en tal caso, los proveedores de servicios de pago no están obligados a aportar prueba de la autenticación de la operación considerada en el supuesto contemplado en el artículo 59 de la primera Directiva, actualmente artículo 72 de la segunda (sentencia de 9 de abril de 2014, T‑Mobile Austria, C‑616/11, EU:C:2014:242, apartado 34).
83 Más concretamente, el artículo 63, apartado 1, letra b), de la Directiva 2015/2366 permite a los proveedores de servicios de pago y a los usuarios de sus servicios establecer, por vía convencional, una excepción, en primer lugar, al artículo 72 de esta Directiva, que exige que el proveedor demuestre la autenticación y la ejecución de las operaciones de pago; en segundo lugar, al artículo 73 de la misma, que establece el principio de la responsabilidad del proveedor en caso de operaciones de pago no autorizadas, y, en tercer lugar, al artículo 74, apartados 1 y 3, de la referida Directiva, que establece una excepción parcial a dicho principio al establecer en qué medida el ordenante puede verse obligado a soportar, hasta un máximo de 50 euros, las pérdidas derivadas de tales operaciones, salvo en caso de que se haya notificado al proveedor del servicio el extravío, el robo o la apropiación indebida del instrumento de pago.
84 Procede señalar que, debido a su carácter excepcional, el artículo 63, apartado 1, letra b), de esta Directiva debe interpretarse de manera estricta.
85 Tal como han observado el órgano jurisdiccional remitente y la Comisión, del tenor de dicho artículo 63, apartado 1, letra b), leído a la luz de las disposiciones que en él se mencionan, resulta que los dos supuestos en los que se puede aplicar la excepción prevista en dicho artículo tienen como característica común la incapacidad objetiva del proveedor de servicios de pago para demostrar que una operación de pago ha sido debidamente autorizada, ya sea por la utilización «anónima» del instrumento de pago de que se trate o por «otros motivos intrínsecos [a este último]».
86 En concreto, en lo que concierne a la cuestión de si un pago efectuado mediante la función NFC de una tarjeta bancaria multifuncional personalizada puede calificarse de utilización «anónima» en el sentido del artículo 63, apartado 1, letra b), de la Directiva 2015/2366, procede tener en cuenta las siguientes circunstancias.
87 Por una parte, la tarjeta de que se trata se denomina «personalizada», puesto que está asociada a la cuenta bancaria de un cliente determinado, a saber, el «ordenante», tal como se define en el artículo 4, punto 8, de dicha Directiva, y, cuando se realiza un pago mediante la función NFC, el importe se carga a dicha cuenta. Por otra parte, una vez que dicha función ha sido activada por el cliente, los pagos de este tipo, que se limitan a cantidades de escasa cuantía, solo requieren la posesión de esta tarjeta y no la autenticación mediante el uso de credenciales de seguridad personales, como, por ejemplo, un código PIN o una firma. De esta última circunstancia se deriva que cualquier persona con acceso a dicha tarjeta puede efectuar un pago de tales características dentro del límite autorizado, incluso sin el consentimiento del titular de la cuenta, en caso de extravío, robo o apropiación indebida.
88 En este contexto, es importante distinguir entre la identificación del titular de la cuenta a la que se cargan los pagos, que resulta directamente de la personalización de la tarjeta en cuestión, y la autorización de pago eventualmente dada por dicho titular, que no puede demostrarse por el mero uso de la tarjeta cuando el pago en cuestión se realiza mediante la función NFC. En efecto, la mera posesión física de la tarjeta dotada de esta función no permite inferir que el titular haya consentido a dicho pago.
89 Por lo tanto, el empleo de la función NFC para realizar pagos de escasa cuantía constituye una utilización «anónima» en el sentido del artículo 63, apartado 1, letra b), de esta Directiva, aunque la tarjeta dotada de esa función esté asociada a la cuenta bancaria de un cliente concreto. En efecto, en tal caso, el proveedor de servicios de pago es objetivamente incapaz de identificar a la persona que ha pagado por este medio y, por lo tanto, de verificar, o incluso probar, que la transacción ha sido debidamente autorizada por el titular de la cuenta.
90 Como ha señalado DenizBank, esta interpretación se ve corroborada por los objetivos de la Directiva 2015/2366 que consisten en «permitir el desarrollo de medios de pago accesibles y de fácil uso para pagos de bajo riesgo (por ejemplo, los pagos de escasa cuantía y los pagos sin contacto en el punto de venta)», como se establece en su considerando 96, y «facilitar que los nuevos medios de pago lleguen a un mayor número de consumidores, así como asegurar una elevada protección del consumidor en el uso de esos servicios de pago», como se establece en el considerando 6 de esta Directiva. Asimismo, el considerando 81 de esta última indica que «los instrumentos de pagos de escasa cuantía deben constituir una alternativa barata y fácilmente accesible en el caso de los bienes y servicios de precio reducido, y no deben someterse a requisitos excesivos», al tiempo que precisa que «los usuarios de servicios de pago deben beneficiarse de una protección adecuada». En efecto, la posibilidad de disponer de medios de pago innovadores, rápidos y fáciles de utilizar, como la función NFC, redunda en interés tanto del proveedor de servicios de pago como del cliente, siempre que este último lo desee y siga gozando de la suficiente protección.
91 Además, esta interpretación del artículo 63, apartado 1, letra b), de la Directiva 2015/2366 es conforme con el sistema general de esta Directiva, en la medida en que, a la luz de las normas establecidas por esta, debe considerarse que un cliente que ha optado por beneficiarse de un instrumento de pago simplificado que no requiere identificación para los pagos de escasa cuantía, como la función NFC, ha aceptado exponerse eventualmente a los efectos de las limitaciones convencionales de la responsabilidad del proveedor de servicios permitidas en virtud de dicha disposición.
92 En efecto, al limitar, tal y como se desprende de la frase introductoria de dicho apartado 1, la cuantía de las pérdidas financieras potencialmente soportadas por los clientes, el legislador de la Unión permite garantizar, de conformidad con los artículos de esa Directiva leídos a la luz de los considerandos citados en el apartado 90 de la presente sentencia, un equilibrio entre las ventajas y los riesgos que conlleva tal instrumento, en particular para los clientes que tengan la condición de consumidores.
93 Por consiguiente, procede responder a la segunda cuestión prejudicial, letra b), que el artículo 63, apartado 1, letra b), de la Directiva 2015/2366 debe interpretarse en el sentido de que un pago de escasa cuantía realizado sin contacto mediante la función NFC de una tarjeta bancaria multifuncional personalizada constituye una utilización «anónima» del instrumento de pago de que se trata, en el sentido de esta excepción.
Sobre la tercera cuestión prejudicial
94 Mediante su tercera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 63, apartado 1, letra a), de la Directiva 2015/2366 debe interpretarse en el sentido de que un proveedor de servicios de pago que pretenda acogerse a la excepción prevista en dicha disposición puede limitarse a afirmar que resulta imposible bloquear el instrumento de pago en cuestión o impedir que se siga utilizando, siendo así que, habida cuenta del estado objetivo de los conocimientos técnicos disponibles, no puede demostrarse tal imposibilidad.
95 En virtud del artículo 63, apartado 1, letra a), de la Directiva 2015/2366, en el caso de instrumentos de pago de escasa cuantía, tal como se definen en la frase introductoria de ese apartado, los proveedores de servicios de pago podrán convenir con los usuarios de tales servicios en que quedarán exentos de algunas de sus obligaciones recíprocas, a saber, las resultantes de las disposiciones enumeradas en la letra a), «si el instrumento de pago» que es objeto del contrato marco que han celebrado «no permite su bloqueo» o si no permite «impedir futuras utilizaciones [de ese instrumento]».
96 Del tenor de dicho artículo 63, apartado 1, letra a), se desprende claramente que la aplicación de las excepciones previstas en esa disposición está supeditada a la comprobación de la imposibilidad, inherente al instrumento de pago en cuestión, de bloquear este último o de impedir su futura utilización.
97 Del mismo modo, el artículo 53, apartado 1, letra a), de la Directiva 2007/64, al que corresponde el artículo 63, apartado 1, letra a), de la Directiva 2015/2366, establecía que la excepción que contenía se aplicaría en el supuesto concreto de que «el instrumento de pago no [permitiese] bloquear o impedir futuras utilizaciones».
98 Por consiguiente, un proveedor de servicios de pago que desee hacer uso de la facultad ofrecida por el artículo 63, apartado 1, letra a), de la Directiva 2015/2366 no puede limitarse a mencionar en el contrato marco relativo al instrumento de pago de que se trate que no puede bloquear dicho instrumento ni impedir futuras utilizaciones para eludir sus propias obligaciones. Dicho proveedor debe demostrar, incumbiéndole la carga de la prueba en caso de litigio, que ese instrumento no permite en modo alguno, por razones técnicas, que se proceda a su bloqueo o que se impida su futura utilización. Si el órgano jurisdiccional que conoce del caso considera que era materialmente posible llevar a cabo dicho bloqueo o impedir tal utilización, habida cuenta del estado objetivo de los conocimientos técnicos disponibles, pero que el proveedor no recurrió a tales conocimientos, no podrá aplicarse, en beneficio de este último, ese artículo 63, apartado 1, letra a).
99 Esta interpretación del tenor del artículo 63, apartado 1, letra a), de la Directiva 2015/2366 se ve corroborada por una interpretación sistemática y teleológica de esta disposición.
100 En cuanto al sistema general de la Directiva 2015/2366, cabe recordar que el artículo 63, apartado 1, letra a), de esta permite al proveedor de servicios de pago y al usuario de sus servicios prever, por vía convencional, excepciones a la aplicación de las obligaciones derivadas, en primer lugar, del artículo 69, apartado 1, letra b), de dicha Directiva, que obliga al usuario a informar sin demora al proveedor del extravío, robo o apropiación indebida del instrumento de pago o de la utilización no autorizada del instrumento de pago en cuestión; en segundo lugar, del artículo 70, apartado 1, letras c) y d), de dicha Directiva, que impone al proveedor la obligación de poner a disposición del usuario medios que permitan a este efectuar gratuitamente tal notificación o solicitar el bloqueo de dicho instrumento, y, en tercer lugar, del artículo 74, apartado 3, de la citada Directiva, que libera al ordenante, salvo en caso de actuación fraudulenta por su parte, de las consecuencias económicas de la utilización del instrumento extraviado, robado u objeto de apropiación indebida, acaecida después de que se haya procedido a la notificación así prevista.
101 Dado que introduce una excepción a las normas derivadas de las otras disposiciones mencionadas en el anterior apartado, el artículo 63, apartado 1, letra a), de la Directiva 2015/2366 debe ser interpretado de manera estricta, de modo que los requisitos de aplicación de esta última disposición no pueden concebirse de tal forma que lleven a suprimir la carga de la prueba que debe recaer sobre la persona que invoque dicha excepción y, por consiguiente, a dispensar a esta última de las consecuencias perjudiciales que puedan derivarse de la aplicación de esas normas.
102 En lo que concierne a los objetivos perseguidos por la Directiva 2015/2366, de sus considerandos 6, 53 y 63 se desprende, entre otras cosas, que esta pretende proteger a los usuarios de servicios de pago y, en particular, ofrecer un elevado nivel de protección a aquellos usuarios que tengan la condición de consumidores (véanse, en lo que concierne a la Directiva 2007/64, las sentencias de 25 de enero de 2017, BAWAG, C‑375/15, EU:C:2017:38, apartado 45, y de 2 de abril de 2020, PrivatBank, C‑480/18, EU:C:2020:274, apartado 66).
103 Además, a tenor del considerando 91 de la Directiva 2015/2366, los proveedores de estos servicios son responsables de las medidas de seguridad, que deben ser proporcionales a los riesgos asociados a tales servicios, y están obligados, en particular, a establecer un marco que permita paliar los riesgos y mantener procedimientos eficaces de gestión de incidentes, de conformidad con el artículo 95 de esa Directiva. Si bien el considerando 96 de la referida Directiva parece atenuar en cierto modo estas obligaciones en lo que respecta a los «pagos de escasa cuantía y los pagos sin contacto en el punto de venta», no pone en tela de juicio el principio de la responsabilidad de los proveedores de servicios de pago en materia de seguridad, puesto que afirma que «en las normas técnicas de regulación se deberían especificar exenciones de la aplicación de los requisitos de seguridad», como establece el artículo 98 de la misma Directiva. Así, los artículos 2 y 11 del Reglamento Delegado 2018/389, leídos a la luz de los considerandos 9 y 11 de este, determinan en qué medida esos proveedores pueden no aplicar la regla de la autenticación reforzada para esos pagos sin contacto.
104 Sin embargo, tal como señala el Abogado General en los puntos 60 y 61 de sus conclusiones, si un proveedor de servicios de pago pudiera eludir su responsabilidad alegando simplemente que se halla en la imposibilidad de bloquear el instrumento de pago o de impedir su futura utilización, podría fácilmente, proponiendo una oferta técnicamente mediocre, hacer recaer sobre el usuario de sus servicios los riesgos derivados de los pagos no autorizados. Esa transferencia de los riesgos y sus consecuencias adversas no sería conforme ni con el objetivo de proteger a los usuarios de los servicios de pago, y, más concretamente, a los consumidores, ni con la regla según la cual los proveedores de servicios de pago asumen la responsabilidad de adoptar las medidas de seguridad adecuadas, los cuales constituyen la base del régimen establecido por la Directiva 2015/2366.
105 Esta interpretación del artículo 63, apartado 1, letra a), de la Directiva 2015/2366 no queda desvirtuada por las alegaciones de DenizBank según las cuales este análisis limitaría el desarrollo de nuevos modelos comerciales en el ámbito de los servicios de pagos de escasa cuantía y menoscabaría la libertad de los proveedores para proponer una tarjeta de pago respecto de la cual se limitasen a declarar que no puede ser bloqueada, sea cual sea el motivo. En efecto, estas alegaciones son contrarias tanto al tenor de esta disposición como al sistema general de esta Directiva y a los objetivos perseguidos por la normativa en la que se inscribe la referida disposición.
106 En consecuencia, procede responder a la tercera cuestión prejudicial que el artículo 63, apartado 1, letra a), de la Directiva 2015/2366 debe interpretarse en el sentido de que un proveedor de servicios de pago que pretenda acogerse a la excepción prevista en dicha disposición no puede limitarse a afirmar que resulta imposible bloquear el instrumento de pago en cuestión o impedir que se siga utilizando, siendo así que, habida cuenta del estado objetivo de los conocimientos técnicos disponibles, no puede demostrarse tal imposibilidad.
Sobre la limitación en el tiempo de los efectos de la presente sentencia
107 En sus observaciones escritas, DenizBank solicitó, en esencia, que el Tribunal de Justicia limitase en el tiempo los efectos de su sentencia, en particular, en el caso de que declarase que la función NFC de una tarjeta bancaria multifuncional personalizada no constituye un «instrumento de pago» en el sentido del artículo 4, punto 14, de la Directiva 2015/2366. En apoyo de esta petición, invocó las importantes repercusiones económicas que la sentencia podría acarrear y el hecho de que las empresas afectadas podían haber confiado legítimamente en que se adoptase otra interpretación.
108 A este respecto, procede recordar que, según reiterada jurisprudencia, solo con carácter excepcional puede el Tribunal de Justicia, aplicando el principio general de seguridad jurídica inherente al ordenamiento jurídico de la Unión, limitar la posibilidad de que los interesados invoquen una disposición por él interpretada con el fin de cuestionar relaciones jurídicas establecidas de buena fe. Para poder decidir dicha limitación, es necesario que concurran dos criterios esenciales, a saber, la buena fe de los círculos interesados y el riesgo de trastornos graves (véanse, en particular, las sentencias de 10 de julio de 2019, WESTbahn Management, C‑210/18, EU:C:2019:586, apartado 45, y de 3 de octubre de 2019, Schuch-Ghannadan, C‑274/18, EU:C:2019:828, apartado 61 y jurisprudencia citada).
109 Además, es importante señalar que parece que la petición de DenizBank solo se ha formulado para el caso de que el Tribunal de Justicia responda negativamente a la segunda pregunta prejudicial, letra a), cosa que no ha sucedido. En todo caso, DenizBank no ha aportado ninguna prueba concreta y precisa que demuestre la procedencia de su petición, ya que se ha limitado a formular alegaciones de carácter general.
110 En consecuencia, no procede limitar en el tiempo los efectos de la presente sentencia.
Costas
111 Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional nacional, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del procedimiento principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.
En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Primera) declara:
1) El artículo 52, punto 6, letra a), de la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) n.o 1093/2010 y se deroga la Directiva 2007/64/CE, leído en relación con el artículo 54, apartado 1, de esta, debe interpretarse en el sentido de que regula la información y las condiciones que deberán ser proporcionadas por los proveedores de servicios de pago que deseen acordar, con el usuario de sus servicios, una presunción de aceptación en lo que concierne a la modificación, con arreglo a las modalidades previstas en esas disposiciones, del contrato marco celebrado entre ellos, pero no establece limitación alguna en lo que concierne a la condición del usuario o al tipo de cláusulas contractuales que pueden ser objeto de tal acuerdo, sin perjuicio, no obstante, de que, cuando el usuario tenga la condición de consumidor, se proceda a un eventual control del carácter abusivo de tales cláusulas a la luz de las disposiciones de la Directiva 93/13/CEE del Consejo, de 5 de abril de 1993, sobre las cláusulas abusivas en los contratos celebrados con consumidores.
2) El artículo 4, punto 14, de la Directiva 2015/2366 debe interpretarse en el sentido de que la función de comunicación de campo cercano (Near Field Communication) de que está dotada una tarjeta bancaria multifuncional personalizada, que permite efectuar pagos de escasa cuantía con cargo a la cuenta bancaria asociada a dicha tarjeta, constituye un «instrumento de pago», tal como se define en dicha disposición.
3) El artículo 63, apartado 1, letra b), de la Directiva 2015/2366 debe interpretarse en el sentido de que un pago de escasa cuantía realizado sin contacto mediante la función de comunicación de campo cercano (Near Field Communication) de una tarjeta bancaria multifuncional personalizada constituye una utilización «anónima» del instrumento de pago de que se trata, en el sentido de esta excepción.
4) El artículo 63, apartado 1, letra a), de la Directiva 2015/2366 debe interpretarse en el sentido de que un proveedor de servicios de pago que pretenda acogerse a la excepción prevista en dicha disposición no puede limitarse a afirmar que resulta imposible bloquear el instrumento de pago en cuestión o impedir que se siga utilizando, siendo así que, habida cuenta del estado objetivo de los conocimientos técnicos disponibles, no puede demostrarse tal imposibilidad.
Firmas