El Tribunal Supremo de España acaba de fallar a favor de los usuarios y en contra de la banca en uno de los temas más recurrentes de los últimos años: las estafas a través de internet. Declara que la banca es la principal responsable en estos casos de fraude, estando obligada a reponer de forma inmediata todo dinero sustraído al cliente.

 

 

El Supremo obliga a los bancos a responsabilizarse de los robos por phishing si el cliente no ha sido descuidado

En este caso el demandante, que llevó al banco por la vía civil para reclamar el dinero perdido, empezó a recibir primero avisos de Google sobre accesos no autorizados a su cuenta de correo y, después, mensajes SMS para materializar transferencias que no había ordenado, de los que avisó al banco. Lo siguiente, un mes después, fue levantarse de la cama y encontrar unos cargos en su cuenta y hasta 83.000 euros en 'bizums'. El dinero salió de su banco y llegó a cuentas de “delincuentes conocidos por la Policía”, realizado gracias a una tarjeta SIM de su esposa duplicada en Murcia. La víctima vivía en Zaragoza. 

El afectado, a través de Ibercaja, consiguió recuperar unos 27.000 euros pero acudió a los tribunales para exigir que la entidad le devolviera el resto del dinero estafado. El banco alegaba que no había incurrido en ningún incumplimiento y aunque reconocía que “posiblemente” había sido víctima de “una suplantación de identidad o phishing”, todas las operaciones fueron autorizadas “al haber cumplido el doble factor de autenticación”. No es trabajo del banco, añadía Ibercaja en sus alegaciones, saber si esas transferencias “las autentificó un cliente o un tercero”. 

Los tribunales aragoneses entendieron que esas transferencias “fueron realizadas por delincuentes, que duplicaron la tarjeta SIM de la esposa del perjudicado” , accediendo así a la “información confidencial” y “tomando el control de su banca digital”. La estafa conocida como “SIM swapping”. El resultado, confirma ahora el Tribunal Supremo, es que el banco debe pagar los más de 50.000 euros que todavía tenía pendientes de recuperar. No sólo el cliente no fue negligente: incluso advirtió con antelación de los mensajes que estaba recibiendo y el banco no tomó ninguna medida preventiva de seguridad. 

Casi 60.000 euros, de vuelta al bolsillo. A menos que pueda demostrarse que el cliente actuó de forma negligente, el banco está obligado a asumir responsabilidad y devolver el dinero de inmediato. En este caso, Ibercaja Banco S.A. deberá reintegrar a un cliente 56.474,63 euros sustraídos de su cuenta mediante SIM Swapping, un sistema para suplantar nuestra identidad robando el número telefónico.

El magistrado Manuel Almenar Belenguer se vale de la Directiva Europea ante los servicios de pago, así como la normativa española, concluyendo que en caso de no haber negligencia, la única obligación del usuario es notificar a la entidad bancaria acerca de cualquier tipo de operación no autorizada.

 La nueva jurisprudencia. Este caso sienta un precedente fundamental ya que establece que, a partir de ahora, las entidades bancarias serán las principales responsables en casos de phishing bancario. En consecuencia, deberán responder por operaciones no autorizadas por el usuario, marcando así un cambio significativo en la protección de los clientes frente al fraude electrónico.

“Los avances de la tecnología actual hacen relativamente sencillo diseñar sistemas o aplicaciones informáticas idóneas para detectar ciertas anomalías en la prestación de los servicios de pago. Operaciones que, tratándose de empresas o sociedades con un concreto objeto social, pueden calificarse como ordinarias, deben inmediatamente levantar sospechas y dar lugar a una respuesta cuando afectan a personas físicas ajenas a tales actividad.”

Los bancos ya no tendrán excusa. En base a la judisprudencia, se expone que deben ser declaradas nudas las cláusulas contractuales que exoneren a las entidades bancarias de su responsabilidad con los usuarios respecto a las operaciones no autorizadas.

Hasta ahora, los bancos podían escudarse en supuestas malas prácticas llevadas a cabo por el usuario, como haber introducido sus datos en webs o enlaces maliciosos. Tras esta sentencia, son responsables de toda operación no autorizada.

Una plaga con la que el Gobierno intenta acabar. Las estafas por llamada y SMS son una plaga. Tanto, que el Ministerio de Transformación Digital lleva más de un año intentando ponerles freno. El fin de las llamadas comerciales llegó en febrero de 2025 bajo orden ministerial, pero esta es solo una parte minúscula en la tarta de las ciberestafas.

La responsabilidad del usuario. Pese a la protección adicional que gozarán los clientes de las entidades en caso de ciberestafa, cae sobre el techo del usuario no caer en prácticas que puedan acabar considerándose como negligencia. Estas no se han establecido, pero no está de más no introducir nuestro teléfono, correo electrónico personal en webs cuya procedencia no tenemos clara.

En caso de usar Android, somos también responsables de lo que descargamos y de dónde lo descargamos, así como de los permisos que le damos a las aplicaciones. Protegerse va más allá de posibles sustracciones de dinero: es especialmente fácil acabar dándole todos nuestros datos a los ciberestafadores.

 

La responsabilidad del banco

La Sala de lo Civil del Supremo reconoce que el cliente tiene la obligación de ser cuidadoso con sus datos bancarios. “Debe adoptar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas”, explica. Y si detecta alguna operación sospecha, “sin demora” debe comunicárselo a la entidad. A partir de ahí, añade, es responsabilidad del banco tomar las medidas necesarias: “El proveedor debe proceder a su rectificación y reintegrar el importe de inmediato, salvo que tenga motivos razonables para sospechar la existencia de fraude”.

Si un cliente, como sucede habitualmente en casos de 'phishing' o suplantaciones bancarias, denuncia que no ha realizado esa transferencia sospechosa, es trabajo de la entidad demostrar que todo se hizo correctamente y que no existió ni un falló técnico “u otra deficiencia del servicio”. Que la operación esté registrada no sirve para demostrar que fue autorizada o que el afectado es culpable y “ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave”.

El banco no se puede limitar a probar que la salida sospecha de dinero, en este caso unas 15 transferencias en una sola noche, fue “autenticada, registrada con exactitud y contabilizada”. Eso, dicen los jueces, “no es suficiente para eximirle de responsabilidad”. Tiene que probar que el cliente no incurrió en “fraude, incumplimiento deliberado o negligencia grave”.

En este caso el Supremo no tiene dudas de que el cliente fue víctima de una estafa y que el banco no hizo nada. “Alguien había conseguido acceder a las cuentas, y, por ende, disponía de sus claves de usuario y contraseña, lo que hubiera debido motivar una reacción inmediata, que pasaba cuando menos por la modificación de las claves y/o códigos. Nada se hizo”, reprochan los jueces.

Fuentes:

https://www.xataka.com/legislacion-y-derechos/tribunal-supremo-acaba-resolver-quien-responsable-cuando-te-roban-todo-tu-dinero-phishing-banco

https://www.eldiario.es/economia/supremo-obliga-bancos-responsabilizarse-robos-phising-si-cliente-no-sido-descuidado_1_12278081.html