El Tribunal Supremo ha publicado una sentencia muy relevante (STS 571/2025 de 9 de abril) porque, por primera vez, trata el tema de la negligencia grave en casos de estafas por phishing y las medidas de seguridad que deben adoptar las entidades bancarias. Y lo mejor de todo: la sentencia favorece al consumidor.
En este caso, Ibercaja tendrá que devolver más de 56.000 euros a un cliente al que le hicieron 15 transferencias fraudulentas, y que el banco no detectó.
La estafa se corresponde con la modalidad denominada SIM phishing o SIM swapping. Los delincuentes duplicaron la tarjeta SIM de la víctima, lograron acceso a su información confidencial y tomaron el control de su banca online.
La sentencia aclara varios puntos clave:
-
¿Qué se considera una “operación de pago no autorizada”?
Según la Ley de Servicios de Pago, en estos casos el banco tiene que demostrar que la operación fue autenticada, registrada con exactitud y contabilizada. Es decir, no basta con que la transferencia esté registrada en el sistema. El banco debe probar que fue realmente autorizada, que todo funcionó correctamente, y que no hubo fallos técnicos ni problemas en su servicio.
Además, el cliente no tiene que probar que fue víctima de una estafa. Es el banco el que tiene que demostrar que el cliente actuó con negligencia grave o de forma fraudulenta.
-
¿Qué se entiende por “deficiencia del servicio”?
El fallo del sistema no solo significa que haya un error técnico. También se considera deficiencia cualquier falta de diligencia o mala praxis en la prestación del servicio, que obliga a elevar el nivel de diligencia a un plano superior como es el del ordenado y experto comerciante.
Por ejemplo, si se detectan transferencias sospechosas (muchas operaciones seguidas, fuera de horario habitual, por importes o a destinatarios extraños), el banco debería activar una alerta o bloquear temporalmente la cuenta.
-
¿El cliente actuó con negligencia?
En este caso, no. El titular de la cuenta avisó de inmediato al banco cuando empezó a recibir mensajes SMS con códigos para validar transferencias que él no había solicitado. Esto demuestra que actuó con responsabilidad.
Lo grave fue que el banco no hizo nada después de ese aviso. No cambiaron claves ni investigaron. Esa falta de reacción muestra claramente que el banco prestó un mal servicio.
-
¿El banco queda libre de responsabilidad si no fue responsable de que se filtraran las claves del usuario?
No. Para que el la entidad bancaria pudiera liberarse de responsabilidad debería haber demostrado:
- Que el servicio se prestó correctamente (y no fue así).
- Que el cliente actuó con negligencia o de forma fraudulenta (tampoco fue el caso).
De hecho, el cliente fue muy cuidadoso y absolutamente diligente, ya que protegió sus datos y notificó al banco que alguien intentaba acceder a su cuenta con tres semanas de antelación.
Desde Ribón Abogados celebramos esta sentencia, es una buena noticia para los consumidores, porque refuerza la protección de los usuarios frente a las estafas digitales.
Si has sufrido un fraude bancario sigue estos pasos: ¿Qué hacer si he sido víctima de un fraude bancario?.
Si tienes dudas contacta con nosotros, en Ribón Abogados tendrás un equipo de abogados exertos en phishing que te guiarán en todo el proceso para recuperar el capital defraudado.
Imagen de Fakhruddin Memon en Pixabay
