Desistimiento de la entidad bancaria en casación tras un fallo demoledor sobre fraude electrónico

En una de las resoluciones más reveladoras sobre la responsabilidad de las entidades financieras frente al fraude digital, la entidad bancaria ha desistido del recurso de casación que había interpuesto en el procedimiento judicial en el que se reclamaba la devolución de 63.981,82 euros sustraídos mediante operaciones bancarias no autorizadas.

La retirada del recurso, notificada el 9 de mayo de 2025, se produjo tras la reciente sentencia 571/2025 del Tribunal Supremo, que resolvió otro litigio idéntico también perdido por la entidad y dirigido por el mismo letrado de la parte actora que suscribe el presente artículo.

Pero más allá del desenlace procesal, el verdadero valor de este caso radica en el examen crítico de los hechos probados y los fundamentos jurídicos que pusieron en evidencia graves deficiencias en los protocolos de la entidad bancaria. Las resoluciones judiciales no se limitaron a acoger la tesis del consumidor: desmontaron punto por punto la actuación bancaria, acusándola de negligente, tardía y contraria al marco normativo de servicios de pago y prevención del blanqueo.

El fraude: un patrón incompatible con el perfil del cliente

Los días 12 y 13 de abril de 2021, desde la plataforma digital del banco se ejecutaron 16 transferencias y varias operaciones Bizum que drenaron más de 69.600 euros de las cuentas de dos clientes –padre e hija—, ambos con contratos de banca electrónica en vigor.

Los importes eran elevados, repetitivos y dirigidos a beneficiarios con nombres genéricos (“Juanjo”, “Raúl”, “Pele”), sin vinculación aparente con los titulares. El padre, de 83 años, no tenía ningún historial de operaciones similares ni conocimientos técnicos suficientes para operar en banca digital.

La extracción masiva, en un brevísimo intervalo, constituye por sí sola un indicio de alarma. Sin embargo, el banco no bloqueó las operaciones ni solicitó confirmación adicional ni activó ningún protocolo preventivo.

Reproche del Juzgado: negligencia flagrante y pasividad ante el fraude

La sentencia de Primera Instancia fue tajante: el banco había incumplido de forma grave sus obligaciones contractuales y legales. El juez subrayó:

• Que la entidad no detectó ni evitó operaciones inusuales y de alto riesgo que, por su naturaleza, exigían un control reforzado;
• Que el cliente había sido víctima de un duplicado de tarjeta SIM desde Barcelona, circunstancia que desencadenó el acceso no autorizado;
• Que, a pesar de la denuncia inmediata, el banco no reaccionó con la celeridad debida ni colaboró activamente con las autoridades en el bloqueo de fondos;
• Que la entidad receptora del dinero –la propia entidad bancaria demandada incluida en algunos casos– no bloqueó las cuentas destinatarias hasta un mes después de recibir el requerimiento policial.

Las estafas bancarias a través de Bizum son cada vez más frecuentes. (Imagen: E&J)

La Audiencia refuerza la condena: quebranto de deberes legales y contractuales

El recurso de apelación del banco fue rechazado íntegramente por la Audiencia Provincial de Zaragoza, en su sentencia 55/2023, que mantuvo la condena en todos sus términos.

La Sala calificó la actuación de la entidad como un incumplimiento sistémico de su deber de seguridad y supervisión, señalando expresamente: “El legislador (…) traslada (los riesgos) al gran beneficiario del sistema, al que tiene unos notorios beneficios por utilizar unos sistemas y medios de trabajo que le serán rentabilísimos, pero que son altamente vulnerables, sin que los prestadores de servicios hayan logrado crear canales seguros de comunicación en términos que permitan la confiabilidad plena del sistema y den certeza a la autenticidad de las órdenes de pago.”

El tribunal también se hizo eco de una investigación en curso sobre una organización criminal dedicada a estafas masivas, en la que los clientes fueron uno de muchos afectados. En este contexto, se destacó la inacción del banco frente a las instrucciones de la Guardia Civil, que solicitó el bloqueo de las cuentas receptoras el 14 de abril. El banco no actuó hasta el 12 de mayo, cuando los fondos ya habían sido completamente evadidos.

La estrategia del banco en casación: negación del fraude y defensa contractual

A pesar de estas circunstancias, la entidad bancaria decidió interponer recurso de casación, argumentando que las operaciones se habían realizado mediante los mecanismos de autenticación pactados y que debían considerarse autorizadas por defecto.

Sin embargo, en su oposición, esta parte desmontó esa tesis recordando que la normativa europea (PSD2) y el Real Decreto-ley 19/2018 exigen que la carga de la prueba sobre la autenticación, ejecución y autorización recaiga en la entidad, y que la diligencia debida no puede ser sustituida por cláusulas contractuales predispuestas.

El golpe final: STS 571/2025 y retirada del recurso

El punto de inflexión llegó el 9 de abril de 2025, cuando el Tribunal Supremo dictó la sentencia 571/2025 en un caso paralelo, confirmando que la responsabilidad en fraudes cometidos mediante ingeniería social y vulneraciones externas no puede recaer en el cliente si el banco no acredita haber desplegado todas las medidas técnicas, jurídicas y operativas razonables.

Pocos días después, el banco presentó escrito de desistimiento del recurso en el caso, lo que fue aceptado por decreto el 14 de mayo de 2025, con condena en costas.

(Imagen: E&J)

Conclusión: una lección de diligencia, control y responsabilidad

Este caso no solo refuerza la jurisprudencia favorable al usuario bancario en contextos de fraude, sino que pone de relieve los puntos ciegos de la operativa bancaria:

• Ausencia de mecanismos de análisis de riesgo transaccional en tiempo real;
• Falta de reacción ante indicios externos y alertas de seguridad;
• Descoordinación entre oficinas, departamentos jurídicos y órganos de cumplimiento;
• Y una errónea concepción del consentimiento contractual como escudo frente al fraude digital.

La lección es clara: en el ecosistema bancario actual, no basta con firmar un contrato de banca online. La entidad debe prevenir, identificar y actuar. No hacerlo, como ya han dicho reiteradamente nuestras Audiencias Provinciales y confirma el Supremo, equivale a asumir el coste del fraude.