Golpe del Supremo a la banca sobre el ‘phishing’: si no hay pruebas negligentes contra el cliente, la responsabilidad es del banco

El phishing se está convirtiendo en un quebradero de cabeza para los usuarios cuando ven que sus cuentas bancarias han sido desvalijadas por terceros. Tal y como se comentó hace una semanas en el último Congreso de Derecho de Consumo, celebrado en el Ilustre Colegio de la Abogacía de Madrid (ICAM) por la Asociación Española de Derecho de Consumo y SEPI, el phishing es el nuevo problema de ciudadanos y personas jurídicas.

En dos de sus primeras sentencias como magistrado de la Sala Primera del Tribunal Supremo, Manuel Almenar, ha dejado claro cuáles son las responsabilidades de las entidades bancarias en este tipo de estafas.

Así lo explica la abogada Vanesa Fernández, experta en derecho de los consumidores y miembro del Consejo Asesor de la Comisión de Consumo del ICAM. En sus artículos en el blog del Colegio General de la Abogacía Española (CGAE) explica con claridad la problemática de las estafas online.

Esta jurista recuerda que el magistrado Almenar el pasado mes de marzo, en una sentencia de 27 de marzo, sentencia n.º 507/2025, hubo otro fallo judicial relacionado con la estafa a conocida man-in-the-middle, donde ese atacante se posiciona entre dos usuarios que se están comunicando, interceptando su comunicación. El atacante puede espiar, modificar o incluso falsificar la información intercambiada, haciéndolos creer que se están comunicando directamente. “Aplicaba la Ley de Servicios de Pago anterior a la actual. En este caso se rechazaba el recurso de la empresa atacada”, comenta.

La otra sentencia, n.º 571/2025, de 9 de abril del 2025, es más contundente con la entidad bancaria. El fallo confirma la sentencia de la Audiencia Provincial de Zaragoza y la del Juzgado de Primera Instancia número 7 en el 2021, de dicha ciudad. En este caso Ibercaja es quien tendrá que devolver con intereses los más de 83.000 euros que perdió un usuario que denunció el expolio de una de sus cuentas en un pleito que, hasta llegar al Supremo, ha supuesto una lucha judicial en cuatro años. También ratifica la condena en costas a Ibercaja.

Sobre este fallo, Fernández indica que las tesis de la Sala son claras: “Si un cliente pierde sus ahorros mediante una estafa de phishing y no hay pruebas de que la culpa sea de la víctima, la entidad tendrá que hacerse cargo del dinero, al menos hasta que el criminal sea encontrado y condenado, el banco solo queda exonerado de responder de este dinero «de inmediato» si se demuestra que ha sido el cliente el que ha provocado el robo con una actuación negligente o, incluso, fraudulenta”.

Además, en esta resolución judicial se confirma una vez más la responsabilidad cuasi objetiva del banco: conforme al Real Decreto-ley 19/2018 y la Directiva (UE) 2015/2366, el banco debe devolver el dinero si el cliente niega haber autorizado la operación, salvo que pruebe fraude o negligencia grave.

Según queda probado en la sentencia, en este caso el demandante, que llevó al banco por la vía Civil para reclamar el dinero perdido, empezó a recibir primero avisos de Google sobre accesos no autorizados a su cuenta de correo y, después, mensajes SMS para materializar transferencias que no había ordenado, de los que avisó al banco. Lo siguiente, un mes después, fue levantarse de la cama y encontrar unos cargos en su cuenta y hasta 83.000 euros en bizums. El dinero salió de su banco y llegó a cuentas de “delincuentes conocidos por la Policía”, realizado gracias a una tarjeta SIM de su esposa duplicada en Murcia. La víctima vivía en Zaragoza.

El afectado, a través de Ibercaja, consiguió recuperar unos 27.000 euros, pero acudió a los tribunales para exigir que la entidad le devolviera el resto del dinero estafado, porque el banco se justificaba que no había incurrido en ningún incumplimiento y aunque reconocía que “posiblemente” había sido víctima de “una suplantación de identidad o phishing”, todas las operaciones fueron autorizadas “al haber cumplido el doble factor de autenticación”. No es trabajo del banco, añadía Ibercaja en sus alegaciones, saber si esas transferencias “las autentificó un cliente o un tercero”.

El ‘phishing’ es una práctica cada vez más fraudulenta que afecta a consumidores y personas jurídicas. (Imagen: E&J)

Una sentencia concluyente

Vanesa Fernández subraya los aspectos más relevantes de este fallo de la Sala Civil del Supremo: “Uno de ellos hace referencia al consentimiento. En la resolución señala que el consentimiento del usuario de servicios de pagos debe ser real y consciente. Usuario es tanto el particular como la persona jurídica. Eso significa que, aunque utilicen tus claves y esas claves sean las correctas, si el usuario niega haber prestado ese consentimiento, no puede presumirse que se haya dado, aunque hayan utilizado esas claves bancarias”.

En este tipo de situaciones “ante la negativa del cliente a realizar esa operación, el banco debe demostrar que hubo un consentimiento expreso por parte de éste, además de que su sistema actuó correctamente y el usuario actuó por ello con negligencia. Es un tema clave el consentimiento en este fallo judicial que ahora posiblemente otros tribunales, al amparo de este fallo, lo consideren mucho más que antes”.

Para esta jurista “el otro tema clave es el hecho de que hace referencia la sentencia al nivel de referencia de la entidad bancaria como profesional experto y ello implica que disponga de sistemas que puedan detectar lo que se llaman operaciones no habituales del cliente que tienen un carácter sospechoso. En este caso y en otros muchos, no se detectan esas operaciones fraudulentas, aunque se hagan en horarios inusuales o a destinatarios que están en otros países donde el cliente no opera”.

En un contexto en el que al usuario, tanto particular como persona jurídica, son obligados a utilizar la banca online para todo “está claro que el banco debe garantizar que ese sistema funcione y de que el usuario tenga tranquilidad al utilizar ese sistema digital. La entidad financiera, debe tener, por tanto, recursos para detectar aquellas operaciones fraudulentas que son denunciadas por sus clientes y no son habituales. En el fallo también se habla de la diligencia del cliente. En este caso, el afectado advirtió al banco de dichas operaciones extrañas, cuestión que no es habitual, pero es importante”.

Hubo un servicio bancario defectuoso

En su opinión otro aspecto a destacar de esta resolución es que “se habla de una prestación defectuosa del servicio bancario”.

Así se indica en los fundamentos jurídicos de la sentencia cuando se dice que: “Llegado este punto, nos encontramos, de un lado, ante una conducta diligente del titular de la cuenta, que informó, inmediata y reiteradamente, al personal de entidad de lo que estaba sucediendo, cumpliendo la obligación que expresamente le imponía la normativa comunitaria y nacional; y, de otro lado, ante un servicio que se presta defectuosamente por el proveedor, tanto por no tomar en consideración la información recibida pese a su gravedad, como por omitir la adopción de medidas que posibilitaran la detección de eventuales maniobras fraudulentas. Por consiguiente, no se aprecia infracción del art. 36.1 del Real Decreto Ley 19/2018, lo que comporta la desestimación del motivo”.

Vanesa Fernández, abogada experta en derecho de consumo, nos da las claves de este importante fallo judicial. (Imagen: cesión propia)

Esta jurista recuerda que “con la actual Ley de Servicios de Pago el cliente afectado puede pedir las cantidades que han sido sustraídas más los intereses y todos aquellos gastos ocasionados por esa mala praxis. Es más complicado lograr una compensación por daños morales por parte del usuario afectado. Si estamos ejercitando una acción del artículo 45 de la Ley de Servicios de Pago, las cantidades las determina la ley, otra cosa es que luego se puedan acreditar otros daños, pero será más complejo conseguirlos”.

La sentencia ha generado un gran impacto mediático por la claridad de planteamientos del ponente, Manuel Almenar. Según fuentes del gabinete Técnico del Supremo el asunto se admitió a trámite por lo novedoso, para aclarar el posicionamiento del Supremo.

También comentan que hay otros tres asuntos en la propia Sala a punto de resolverse sobre phishing, lo que podría generar jurisprudencia, si alguno de ellos va en la misma dirección que éste. “El Supremo tiene que posicionarse sobre estos temas como ya hizo en varias ocasiones con la problemática de las tarjetas revolvían”, afirma Fernández.

En el fallo se confirma la jurisprudencia del Supremo en que “en aquellas cláusulas contractuales que el banco incorpora en su contrato de prestación de servicios con terceros, donde dice que se exime de responsabilidad ante cualquier ataque o fraude, no son válidas al ser contrarias a la normativa imperativa. En muchos bancos se han modificado los términos y condiciones de la banca online para incorporar este tipo de cláusulas totalmente abusivas en caso de fraude informático. Pero en la práctica son nulas”.

Para esta jurista “la cuestión de la negligencia grave del usuario es una problemática sobre la que debería pronunciarse. Es la justificación de muchos recursos de las entidades bancarias para no tener que abonar ninguna cantidad a su cliente afectado por dicha práctica fraudulenta. Nuestro consejo es que si uno es víctima de fraude lo comunique lo antes posible al banco y denuncie. El banco con esta sentencia está obligado a devolverle el dinero, sin necesidad de acudir a la vía judicial, siempre que no haya actuado con negligencia o fraude”.

Esta resolución representa un hito en la defensa de los derechos de los usuarios de banca digital y contribuye a delimitar las obligaciones activas de los bancos en la prevención de fraudes cibernéticos. Refuerza la interpretación de que el riesgo tecnológico no puede trasladarse al consumidor cuando el proveedor del servicio no actúa con la diligencia exigible.