Sentencia Del Tribunal Supremo 9 abril 2025: fraudes informáticos y banca
ArtículosTribunal Supremo

Sentencia Del Tribunal Supremo 9 abril 2025: fraudes informáticos y banca

By 4 de septiembre de 2025No Comments

La sentencia del T.S. refuerza la protección del consumidor en los fraudes informáticos frente a la Banca.

 

    1. Phishing bancario y responsabilidad de las entidades tras la STS 571/2025: hacia una doctrina de seguridad reforzada.

La STS 571/2025, en adelante, la sentencia, refuerza el principio de confianza legítima del usuario en los sistemas bancarios y envía un mensaje claro a los consumidores: están protegidos frente a las nuevas formas de ciberdelito.

Los avances en la prestación de servicios de pago y transacciones a distancia, a la par que ventajas, también han multiplicado los riesgos en materia de seguridad.

Uno de los fenómenos más alarmantes en este contexto es el denominado phishing bancario, una modalidad de fraude digital que aprovecha técnicas de “ingeniería social” y suplantación de identidad para acceder a las cuentas de los usuarios y operar con apariencia de legalidad.

La sentencia delimita y aclara la responsabilidad de las entidades bancarias en los fraudes digitales, reforzando la protección del consumidor.

    1. Los hechos juzgados y objeto de recurso ante el TS

El asunto resuelto por el Tribunal Supremo tiene su origen en un caso de SIM Swapping, una técnica de fraude en la que los delincuentes consiguen duplicar la tarjeta SIM del titular de una línea telefónica mediante engaño al operador. Con el control de dicha tarjeta, los estafadores acceden a los SMS con códigos de verificación para operaciones bancarias, lo que les permite sortear los mecanismos de autenticación reforzada exigidos por la normativa europea.

En este caso, el cliente de la entidad Ibercaja Banco S.A. sufrió la sustracción de más de 83.000 euros a través de quince operaciones realizadas sin su autorización. Diez de ellas fueron mediante Bizum y las cinco restantes, mediante transferencias por” Ibercaja Directo”. A pesar de que el cliente había advertido previamente de conductas sospechosas, la entidad no activó medidas de seguridad adicionales ni bloqueó las operaciones irregulares. Tras la negativa del banco a reintegrar el importe no recuperado, el cliente acudió a la vía judicial.

    1. Marco legal aplicable

El litigio gira en torno a la responsabilidad que incumbe a la entidad financiera cuando se producen operaciones no autorizadas como consecuencia de una suplantación de identidad digital. La cuestión se regula principalmente por:

    • La Directiva (UE) 2015/2366, conocida como PSD2, sobre servicios de pago en el mercado interior.
    • El Real Decreto-ley 19/2018, de servicios de pago y dinero electrónico.
    • La Ley 16/2009, ya derogada, pero aplicable a casos anteriores.
    1. Las “cuestiones clave” de esta sentencia:
    1. ¿Qué debe hacer el usuario de servicios de pago, el cliente?

El Alto Tribunal recuerda, que, en aplicación de la normativa vigente, cuando se produzca una operación de pago no autorizada, el usuario lo debe comunicar al banco sin demora injustificada, y, solicitar el bloqueo o la cancelación del instrumento de pago utilizado para el fraude, para impedir futuras operaciones fraudulentas. Es conveniente hacerlo por vía telefónica, y, además, por correo electrónico, al Servicio de Atención al Cliente de la entidad, para, así tener la prueba de la notificación

    1. ¿Qué obligaciones tienen los usuarios de servicios de pago?

Los clientes o usuarios deben adoptar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas y, en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, han de notificarlo al proveedor de servicios de pago de manera inmediata, tan pronto tenga conocimiento de ello.

Al mismo tiempo, la sentencia aclara que se otorga protección al usuario, pese al uso indebido de sus claves en la comisión del fraude.

En el caso analizado, el TS recuerda que el cliente no actuó negligentemente. Avisó al banco cuando empezó a sospechar, cambió las contraseñas, solicitó medidas de seguridad adicionales, y tras consumarse el fraude denunció de inmediato.

    1. ¿Qué debe hacer el Banco una vez que los clientes ponen en su conocimiento operaciones no autorizadas por ellos?

Esta es una cuestión fundamental de la sentencia. La responsabilidad del banco es “cuasi objetiva”, debe devolver el dinero si el cliente niega haber autorizado la operación.

El TS aclara que es la entidad sobre la que recae la carga de la prueba: “es el banco quien debe probar que el cliente actuó negligentemente”

El consentimiento del cliente en cada operación de pago ha de ser “expreso y consciente”. El uso en el fraude de las credenciales correctas (Códigos SMS, claves, o cualquier otra) por sí solo no prueba la autorización del cliente a la operación.

Por tanto, el proveedor de servicios de pago debe proceder a su rectificación y reintegrar el importe de inmediato, salvo que tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España.

    1. ¿Y si el Banco no paga tras la reclamación: qué hay que tener en cuenta en el procedimiento judicial?

La sentencia, ratifica lo ya previsto en la legislación nacional y europea: incumbe al proveedor la carga de demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago, sin que el simple registro de la operación baste para demostrar que fue autorizada ni que el usuario ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave.

El TS aclara los conceptos normativos de “operaciones no autorizadas” y “deficiencia en el servicio”

Uno de los aspectos más relevantes de esta resolución es cómo el Tribunal Supremo interpreta el concepto dedeficiencia del servicio. No se limita a los errores técnicos o informáticos, sino que abarca cualquier omisión o falta de diligencia que comprometa la seguridad del sistema. Así, la sentencia reprocha al banco no haber detectado la anormalidad de las operaciones -reiteradas, por importe elevado y realizadas de madrugada- y destaca que fue otro banco (el Santander) quien avisó de un ingreso sospechoso, lo que finalmente llevó al cliente a descubrir el fraude.

Según el Tribunal Supremo «Operaciones no autorizadas» incluye aquellas que se han iniciado con las claves de usuario y contraseña del usuario -necesarias para acceder al sistema de banca digital- y confirmado mediante la inserción del SMS enviado por el propio sistema al dispositivo móvil facilitado por el usuario, siempre que éste niegue haberlas autorizado. En este caso, el banco deberá acreditar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio que presta. Se otorga protección al consumidor pese al uso fraudulento de sus claves. Es decir, el hecho de haberse utilizado para la comisión del fraude, las claves, códigos SMS o cualquier otra, por sí sólo no prueba la autorización del cliente a la operación. Debe constar un consentimiento del cliente “expreso y consciente”

Otro aspecto clave es que el Tribunal Supremo declara ineficaces las cláusulas contractuales que pretendan exonerar de responsabilidad al banco por usos indebidos si estos se deben a deficiencias del sistema. Nada nuevo: el TS viene, con carácter reiterado, declarando nulas estas cláusulas de los contratos bancarios bajo condiciones generales de la contratación.

    1. Jurisprudencia consolidada: hacia una protección reforzada del usuario financiero

La STS 571/2025 se apoya en una línea jurisprudencial europea y nacional que ha ido configurando un modelo de responsabilidad prácticamente objetiva para los prestadores de servicios de pago.

En este sentido, destaca la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) de 2 de septiembre de 2021, asunto C-337/20 (Deutsche Bank), la cual reitera que:

La mera utilización de las credenciales de seguridad personalizadas no basta para probar que el usuario del servicio de pago ha autorizado la operación. El proveedor debe acreditar además la ausencia de fallos en su sistema de seguridad.”

En coherencia con este criterio, el Tribunal Supremo determina que la autenticación mediante doble factor (usuario y contraseña, más código SMS) no es suficiente si dicho sistema ha sido vulnerado por terceros sin participación ni negligencia grave del usuario.

El Tribunal advierte que los sistemas de seguridad deben ser capaces de detectar patrones anómalos y activar mecanismos de bloqueo o alerta preventiva. No basta con aplicar el protocolo estándar; es imprescindible adaptarlo al riesgo real. Deben implementar no sólo medidas técnicas, sino también protocolos de comportamiento y vigilancia inteligente para identificar actividades atípicas, como:

    • Operaciones repetidas de elevado importe en horarios atípicos.
    • Uso de canales nuevos o dispositivos no registrados.
    • Activación súbita de múltiples servicios.

A este respecto, sería suficiente un control automático de determinados factores, como el número y sucesión de operaciones, el intervalo en que se ejecutan, la hora del día, su importe, entidades de destino…, para generar un aviso que reforzara los requisitos de confirmación y minimizara los posibles riesgos

No puede considerarse como normal e irrelevante que una persona que jamás efectúa operaciones de madrugada, de repente, proceda a llevar a cabo hasta diecisiete operaciones seguidas y por un importe tan elevado. Del mismo modo que el sistema rechazó dos de Bizum por exceder del máximo diario, el proveedor de servicios de pago ha de adoptar las medidas de seguridad que garanticen su correcto funcionamiento y minimicen los riesgos y los efectos nocivos de su materialización.

    1. ¿Qué implica esta sentencia para los usuarios?
    1. Protección reforzada: El usuario solo es responsable si actúa con negligencia grave o fraude. El uso de sus claves por terceros no basta para trasladarle la culpa.
    1. Carga probatoria. ¿Quién debe probar?: Corresponde al banco demostrar que no hubo fallos ni negligencia en su sistema, así como la falta de diligencia por parte del cliente.
    1. Importancia de la notificación inmediata: el cliente debe avisar sin demora de cualquier operación sospechosa

En términos prácticos, la resolución incentivará la mejora de los sistemas de seguridad, la formación del personal bancario, el desarrollo de algoritmos predictivos y la implementación de procesos de revisión humana cuando se detecten patrones atípicos.

En definitiva, este fallo no sólo resuelve un caso concreto, sino que pone el foco en la protección del consumidor frente a un entorno digital cada vez más expuesto a fraudes sofisticados. Reafirma el principio de que los usuarios de servicios bancarios no tienen por qué soportar las consecuencias económicas de una tecnología que no ofrece garantías suficientes frente a la creciente sofisticación del delito informático.

La sentencia, por otro lado, reitera y aclara lo ya previsto en el marco normativo vigente, especialmente la normativa europea y su transposición al ordenamiento español

También envía un mensaje claro al sector bancario: las obligaciones de seguridad y vigilancia no pueden entenderse como meramente formales, y deben adaptarse a los nuevos riesgos con la misma rapidez con que evolucionan las técnicas delictivas.

 

Tags:

Recommended For You

ArtículosCláusulas abusivasCláusulas suelo

Juzgado Granada condena a Banco Santander: devolución por cláusula suelo

Fco. Javier Jiménez Chacón
Fco. Javier Jiménez Chacón4 de septiembre de 2025
ArtículosContratos vinculados

Préstamos y seguros vinculados: ¿obligación, abuso o libertad?

María Dolores Honrubia
María Dolores Honrubia4 de septiembre de 2025
ADICAE-SERJURArtículosHipotecas

“El pan para hoy y hambre para mañana” sobre las nuevas medidas de la moratoria hipotecaria.

Laura Morató Pascual
Laura Morató Pascual11 de enero de 2023