Durante el año 2025 se han producido, en relación con el ciberfraude, novedades tanto jurisprudenciales como normativas que conviene tener en cuenta y que exponemos a continuación.
JURISPRUDENCIA
Sentencia del TS de 9 de abril de 2025
Empezando por la jurisprudencia, el pasado 9 de abril el Tribunal Supremo se pronunciaba por primera vez, en la sentencia 571/2025, sobre temas tan relevantes como la negligencia grave en casos de estafas por phishing y las medidas de seguridad que deben adoptar las entidades bancarias.
La sentencia aborda un supuesto en el que la entidad bancaria recurrente sostenía que posiblemente se había producido una suplantación de identidad o phishing, pero que las operaciones se autorizaron al haber cumplido el doble factor de autenticación, sin detectarse incidencia alguna.
La resolución destaca los siguientes puntos clave, manteniendo una postura proteccionista para el consumidor:
- El banco tiene que demostrar que la operación fue autenticada, registrada con exactitud y contabilizada. Que la transferencia esté registrada en el sistema no es suficiente, la entidad debe demostrar que la transferencia fue realmente autorizada y que todo el proceso funcionó correctamente y que no hubo fallos técnicos ni problemas en su servicio. Además, el hecho de que se usaran las claves habituales o un código enviado por SMS no significa automáticamente que el cliente autorizara la operación. Según el Supremo, el banco debe probar que hubo un consentimiento real del usuario y que no fue un tercero quien actuó sin su conocimiento.
- La responsabilidad del proveedor de servicios de pago es cuasi objetiva lo que implica que, una vez comunicada una operación no autorizada, el banco debe responder salvo que pruebe fraude del cliente.
- El fallo del sistema no solo significa que haya un error técnico, se extiende a los supuestos de mala praxis en la prestación del servicio. En nivel de diligencia exigible al banco es el del ordenado y experto comerciante, superior al del buen padre de familia.
Sentencia del TJUE DE 1 de agosto de 2025
La segunda sentencia que nos gustaría destacar es del TJUE, de 1 de agosto de 2025 (asunto C-665/23) y que está relacionada con una de las obligaciones que se imponen al usuario, que es la obligación de notificar el fraude sin demora indebida. Declara que el usuario debe vigilar periódicamente sus movimientos bancarios, y comunicar cualquier operación no autorizada sin demora una vez que tenga conocimiento de ella, siempre antes de que pasen 13 meses desde el adeudo.
Además, si existen varias operaciones no autorizadas, cada una debe analizarse de manera individual, y el usuario solo perderá el derecho a la devolución de aquellas en las que haya actuado con negligencia grave o haya comunicado el fraude demasiado tarde.
LEGISLACIÓN
Respecto a las novedades en materia legislativa destacar:
El Reglamento (UE) 2024/886
Este Reglamento entró en vigor en España el pasado 9 de octubre de 2025. Como novedad hay que destacar que el banco debe comprobar si el nombre del beneficiario coincide con el IBAN facilitado, por lo que en caso de discrepancia se produce un desplazamiento de la responsabilidad puesto que si la entidad financiera omite esta verificación o la realiza de forma defectuosa y la operación se dirige a un beneficiario no deseado, nace un derecho de reembolso inmediato y automático a favor del usuario para restablecer su saldo.
Orden TDF/149/2025, de 12 de febrero
Esta orden establece medidas para combatir las estafas de suplantación de identidad a través de llamadas telefónicas y mensajes de texto fraudulentos y obliga a las compañías telefónicas a realizar una serie de acciones para frenar posibles fraudes como:
- Obligación de detectar y bloquear llamadas fraudulentas. Esto obliga a los operadores a bloquear aquellas llamadas que presenten el campo del CLI (identificador de línea llamante) vacío, que tengan un formato incoherente o que utilicen números que no hayan sido asignados o adjudicados a ningún cliente.
- También se obliga los operadores a bloquear todos aquellos SMS/MMS/RCS que hagan uso de caracteres alfanuméricos(alias) que no consten en el Registro gestionado al efecto por la CNMC o que hayan sido emitidos por proveedores de servicios de mensajería.
- Llamadas comerciales: Se prohíbe el uso de numeración móvil para realizar este tipo de llamadas comerciales no solicitadas de servicio de atención al cliente, que solo podrán utilizar las líneas 800 o 900. Devolver la llamada a estas líneas será gratuito para los clientes.
En Ribón Abogados comprendemos la inquietud que surge al ser víctima de estas estafas. Ya sea por phishing u otros métodos fraudulentos, si tu dinero ha sido transferido sin tu consentimiento y la entidad bancaria no responde, estamos a tu disposición.
Contacta con nuestro equipo de expertos que, con más de 20 años de experiencia en la defensa de los derechos del consumidor, te acompañarán en cada paso para recuperar el capital defraudado.
Imagen de Gerd Altmann en Pixabay
