BBVA, condenado a devolver 8.400 euros a una clienta estafada por ‘phishing’ bancario
La justicia refuerza la responsabilidad de la banca ante los fraudes digitales
(Imagen: BBVA)
BBVA, condenado a devolver 8.400 euros a una clienta estafada por ‘phishing’ bancario
La justicia refuerza la responsabilidad de la banca ante los fraudes digitales
(Imagen: BBVA)
El Juzgado de Primera Instancia n.º 3 de Málaga ha dictado la sentencia n.º 350/2025, que condena al BBVA a devolver 8.400 euros a una clienta víctima de phishing bancario. La resolución declara no autorizada la operación y obliga al banco a restituir el importe más intereses, al no haber acreditado la autenticación reforzada ni la diligencia debida en materia de seguridad.
La sentencia, dictada por la magistrada Estefanía Zapico Martín, consolida la doctrina que impone a las entidades financieras una responsabilidad cuasi objetiva en operaciones fraudulentas. La entidad solo puede exonerarse si demuestra que el cliente actuó con dolo o negligencia grave, conforme al Real Decreto-Ley 19/2018 y la Directiva (UE) 2015/2366.
Un fraude sofisticado y una apariencia legítima
Los hechos ocurrieron en octubre de 2021. La clienta, titular de una cuenta en BBVA, comenzó a recibir mensajes SMS en el mismo hilo que el banco utiliza para comunicarse con sus clientes. En ellos se le informaba de “actividad inusual” y del “bloqueo temporal” de su tarjeta, acompañados de un enlace HTTPS que aparentaba ser de la entidad.
Confiando en su autenticidad, accedió al enlace y facilitó sus credenciales. En cuestión de minutos, su dispositivo se bloqueó. Desde otro terminal comprobó que se había abierto sesión en su cuenta desde un nuevo dispositivo denominado “Angélica”, se había ampliado el límite de su tarjeta hasta 9.000 euros y se había efectuado una operación de 8.400 euros a favor del comercio wirexapp.com.
La clienta denunció los hechos ante la Guardia Civil y formuló reclamación ante BBVA. La entidad, tras devolver inicialmente la cantidad, la retiró alegando que la operación había sido “autorizada mediante clave OTP enviada por SMS al teléfono de la actora”.
(Imagen: E&J)
El deber de diligencia y la carga de la prueba
La controversia giró en torno a si la operación fue efectivamente autorizada y si el banco cumplió con las medidas de seguridad reforzada exigidas por la normativa.
El artículo 44 del Real Decreto-Ley 19/2018 impone al proveedor del servicio de pago la carga de demostrar que la operación fue autenticada y que el cliente no actuó con negligencia grave. La normativa europea, a través de la PSD2, añade que la negligencia grave supone algo más que un simple descuido: requiere una falta significativa de diligencia, como custodiar las credenciales junto al instrumento de pago.
El banco argumentó que la transacción se validó mediante sistema 3D Secure, combinando contraseña, dispositivo y firma biométrica. Sin embargo, el Juzgado consideró que no se acreditó la autenticación reforzada, ni se probó la validación mediante CVV1 o CVV2. Tampoco se justificó que el acceso desde un nuevo dispositivo fuera detectado o bloqueado.
Reflexión profesional: la vulnerabilidad del usuario frente a la tecnología
El auge del phishing plantea un desafío jurídico y ético: ¿hasta qué punto puede exigirse al consumidor medio discernir entre un mensaje legítimo y una sofisticada suplantación? La respuesta judicial de Málaga es clara: el cliente no tiene el deber de ser un experto en ciberseguridad; el banco sí tiene el deber de protegerle.
Las entidades financieras gestionan sistemas complejos y disponen de los recursos técnicos necesarios para detectar patrones anómalos —como accesos desde dispositivos nuevos, incrementos súbitos del límite de crédito o transferencias internacionales inusuales—. Cuando no activan los mecanismos de verificación que la normativa impone, incumplen su obligación de diligencia profesional.
Además, este caso evidencia un riesgo añadido: la confusión generada por el uso del mismo canal de comunicación (SMS) por parte del banco y de los estafadores. La coexistencia de mensajes legítimos y falsos en un mismo hilo convierte al cliente en un objetivo indefenso. Resulta imprescindible que las entidades implementen canales diferenciados y sistemas de alerta inteligente, evitando que la apariencia de legitimidad sirva de instrumento para el engaño.
Desde una perspectiva ética, esta resolución reivindica un equilibrio necesario: el consumidor debe ser prudente, pero la banca debe ser responsable. No basta con advertir del peligro; es necesario prevenirlo con tecnología y vigilancia activa.
El fallo reconoce implícitamente que no puede exigirse al consumidor ser experto en ciberseguridad, mientras que el banco, que obtiene beneficio de su actividad, sí debe adoptar las medidas tecnológicas necesarias para prevenir estos riesgos. No basta con advertir del peligro: la entidad debe disponer de herramientas de detección y verificación activa.
En definitiva, la sentencia n.º 350/2025 no solo restituye una pérdida económica, sino que reafirma un principio esencial del Derecho bancario moderno: quien obtiene beneficio de la intermediación financiera debe asumir también el riesgo tecnológico que ella implica.
(Imagen: E&J)
La jurisprudencia consolida la responsabilidad cuasi objetiva de la banca
La resolución de Málaga se alinea con una corriente consolidada en las Audiencias Provinciales. La SAP de Madrid (Sección 9ª, 4 de mayo de 2015), la SAP de Alicante (12 de marzo de 2018) y la SAP de Granada (20 de junio de 2022) han sostenido que la entidad solo se libera si prueba de forma concluyente la actuación fraudulenta o negligente del cliente.
Esta doctrina ha configurado una responsabilidad cuasi objetiva, que traslada a la entidad el riesgo operativo de su actividad tecnológica. El usuario, en cambio, queda protegido frente a la opacidad y complejidad de los sistemas digitales bancarios.
La sentencia de Málaga aplica con rigor ese principio: no basta con afirmar que el cliente introdujo sus claves. El banco debe demostrar que la operación se validó con todos los factores de autenticación exigidos y que su sistema no presentó vulnerabilidades. En ausencia de tal prueba, la operación se considera no autorizada.
Un fallo con valor ejemplar
El Juzgado estimó íntegramente la demanda, condenando al BBVA a restituir los 8.400 euros y a pagar los intereses legales. La jueza subraya que la entidad no alertó del incremento repentino del límite de crédito ni del acceso desde un nuevo dispositivo, incumpliendo sus deberes de supervisión.
Esta resolución no solo devuelve a la víctima lo que le corresponde, sino que reafirma un principio esencial del derecho bancario contemporáneo: la protección de la confianza del consumidor es un bien jurídico digno de tutela reforzada.
En un contexto en el que los fraudes digitales se multiplican, las entidades financieras deben entender que la tecnología no solo genera beneficios, sino también responsabilidades. Quien intermedia en el tráfico económico debe garantizar que sus sistemas sean seguros y que los clientes puedan operar con tranquilidad.
La sentencia de Málaga no es solo una victoria individual, sino una advertencia al sector: la diligencia no se presume, se demuestra.
