14 mayo 2025

Responsabilidad de los bancos ante fraudes digitales: nueva sentencia del Tribunal Supremo

Vanesa Fernandez Por Vanesa Fernández

El Tribunal Supremo refuerza la protección de los usuarios de servicios de pago frente a fraudes digitales. En una sentencia clave (STS 571/2025 de 9 de abril), que marca un precedente, el Alto Tribunal obliga a los bancos a asumir la responsabilidad por operaciones no autorizadas, derivadas de suplantación de identidad, incluso si se utilizaron las credenciales del cliente cuando no logran prevenir operaciones sospechosas como múltiples transferencias en horarios inusuales por grandes cantidades. En este caso, se subraya la importancia de la diligencia bancaria, la validez del consentimiento y la nulidad de cláusulas abusivas. A continuación, analizamos los hechos, la decisión del Tribunal y sus implicaciones.

Supuesto de hecho

Un cliente de Ibercaja fue víctima de un fraude informático que combinó técnicas de phishing y duplicación de la tarjeta SIM. En una sola noche, los delincuentes realizaron 15 transferencias bancarias no autorizadas por un total de más de 83.000 €. El banco solo consiguió recuperar la 27.218,10 €. El ataque se produjo después de que los estafadores accedieran al correo electrónico del cliente y duplicaran la SIM de su esposa. Esto les permitió recibir los códigos SMS necesarios para confirmar las operaciones bancarias.

Semanas antes del fraude, el cliente ya había alertado al banco sobre mensajes sospechosos y cargos no reconocidos. Sin embargo, el sistema de seguridad de la entidad no detectó ninguna anomalía y permitió que se completaran las transferencias fraudulentas.

El cliente presentó una reclamación contra el banco exigiendo el pago de 56.474,63 € más los intereses correspondientes, argumentando que la entidad no cumplió con sus obligaciones contractuales. Tanto en primera como en segunda instancia, los tribunales le dieron la razón y condenaron al banco a pagar la cantidad solicitada.

Ibercaja recurrió entonces al Tribunal Supremo. En su defensa, alegó que las transferencias se realizaron con un sistema de autenticación válido (doble factor), que era responsabilidad del cliente proteger sus dispositivos, y que el contrato firmado lo eximía de responsabilidad en caso de accesos no autorizados.

¿Qué ha dicho el Tribunal Supremo?

 El Tribunal Supremo ha rechazado el recurso de Ibercaja y confirmado que debe devolverse al usuario el dinero sustraído. Estos son los 10 puntos clave de la sentencia:

  1. Protección al usuario, incluso si usan sus claves: aunque se usaron códigos SMS, eso no prueba que el cliente autorizara las transferencias. El banco debe demostrar que hubo consentimiento, que su sistema funcionó correctamente y que el cliente actuó con negligencia grave o fraude.
  2. No basta con tener seguridad, hay que aplicarla bien: el sistema del banco era legal, pero no detectó operaciones sospechosas como múltiples transferencias en horarios inusuales por grandes sumas.
  3. El cliente actuó con diligencia: avisó al banco, cambió contraseñas y solicitó medidas de seguridad. Además, denunció el fraude de inmediato. No fue negligente.
  4. Responsabilidad cuasi objetiva del banco: conforme al Real Decreto-ley 19/2018 y la Directiva (UE) 2015/2366, el banco debe devolver el dinero si el cliente niega haber autorizado la operación, salvo que pruebe fraude o negligencia grave.
  5. La autenticación no sustituye el consentimiento: usar códigos válidos no significa que el cliente haya dado su aprobación, si niega haber autorizado las operaciones. El consentimiento debe ser expreso y consciente.
  6. El banco debe probar que todo fue correcto: Ibercaja no logró demostrar que las operaciones fueron legítimas ni que su sistema funcionó sin fallos ni que el cliente actuó con negligencia grave o fraude.
  7. Deficiencia del servicio bancario: Ibercaja no reaccionó ante señales claras de fraude, como alertas previas del cliente y transferencias inusuales, por lo que incurrió en una prestación defectuosa del servicio, aunque no haya fallo técnico.
  8. El cliente fue diligente: advirtió al banco con antelación y actuó rápidamente tras el fraude, solicitó la cancelación de su tarjeta y el cambio de claves. Denunció inmediatamente al detectar las transferencias, lo que descarta la negligencia grave.
  9. Los contratos no pueden anular derechos legales: las cláusulas que eximen al banco de responsabilidad son inválidas si contradicen normativa imperativa.
  10. El banco debe tener un alto nivel de diligencia: se espera que actúe como un profesional experto, no como un “buen padre de familia”, lo implica disponer de sistemas capaces de detectar operaciones sospechosas automáticamente y en este aso el banco no reaccionó a tiempo.

¿Qué significa para los usuarios de servicios de pago?

La sentencia dictada es relevante para los consumidores porque refuerza su protección frente a los fraudes digitales sofisticados que logran burlar los sistemas de autenticación de los bancos.

El uso de contraseñas o códigos no implica automáticamente que el cliente haya dado su consentimiento; este debe ser real y consciente. Si el cliente niega haber autorizado la operación, el banco tiene la obligación de demostrar lo contrario.

Asimismo, establece límites claros a la responsabilidad de los usuarios ya que los clientes solo responden si se demuestra que actuaron con fraude, negligencia grave o incumplimiento deliberado.

La sentencia insiste en la invalidación de las cláusulas contractuales que liberan al banco de responsabilidad en caso de accesos ilegítimos.

Por último, obliga a las entidades financieras a mejorar sus sistemas de seguridad, exigiendo que detecten operaciones sospechosas, activen alertas automáticas y bloqueen movimientos inusuales para proteger mejor a sus clientes

Conclusión

En resumen, si eres víctima de un fraude y has actuado con responsabilidad, el banco está obligado a devolverte el dinero. No pueden culparte solo porque se usaron tus claves: tu consentimiento a las operaciones debe ser real, no asumido.

Además, las entidades financieras deben contar con sistemas eficaces para detectar operaciones sospechosas e inusuales y reaccionar con rapidez. Las cláusulas contractuales que eximen al banco de responsabilidad no son válidas si contradicen la ley.

En un contexto donde los fraudes digitales son cada vez más frecuentes, esta sentencia refuerza tus derechos como usuario de los servicios de pago.

Comparte:

Icono Blog Derecho(s) Consumidores

Blog de Derecho de los Consumidores

Este blog nace con una finalidad práctica para atender y dar respuesta a los temas más actuales que preocupan a los consumidores, abordando aspectos relevantes sobre sus derechos, formas de articularlos, normativa é incluyendo cuestiones novedosas como la protección del consumidor en el entorno digital. Se trata de una forma más de acercar la Abogacía a los ciudadanos. Autores: Juan Pablo Busto Landín, Rubén Carballo, Carlos Hernández Guío, Vanesa Fernández, Mateo Juan GómezJosé MiraÓscar Molinuevo, David Muñoz, Jesús Sánchez GarcíaFernando Sánchez PérezSonsoles ValeroCristina Vallejo

Ultimas entradas

24 julio, 2025 La fecha de presentación de la demanda como garantía procesal

16 julio, 2025 El complemento de brecha de género: distinto nombre, misma discriminación

25 junio, 2025 ¿Puede el acreedor embargar la vivienda habitual durante el plan de pagos?

11 junio, 2025 El Supremo respalda a los consumidores en la devolución de gastos hipotecarios: BBVA da marcha atrás

28 mayo, 2025 ¿En qué casos es legal el vencimiento anticipado en un préstamo al consumo?