El Supremo protege a los clientes frente a fraudes digitales

/en /por

En los últimos años los fraudes digitales se han disparado. Un SMS que parece del banco, un enlace “seguro” o la duplicación de la tarjeta SIM del móvil (lo que se conoce como SIM swapping) son algunas de las técnicas que utilizan los delincuentes para vaciar cuentas en cuestión de minutos.

El phishing es un ciberataque mediante el que se suplanta la identidad de una persona, o empresa, para engañar a los usuarios de banca digital, a fin de obtener información confidencial con la que disponer del dinero de los clientes del banco (contraseñas, datos bancarios, …). Normalmente se lleva a cabo a través de mails o SMS falsos, que aparentan ser reales, con los que se intenta que el cliente haga un clic y permita introducir un archivo infectado para acceder a la información. 

Hasta ahora, muchos bancos se escudaban en que las operaciones se habían hecho con usuario, contraseña y código SMS correctos. Es decir, daban por sentado que, si el sistema había validado la operación, el cliente debía asumir la pérdida.

La Sentencia del Tribunal Supremo 571/2025, de 9 de abril, cambia por completo este panorama.

El asunto juzgado fue el siguiente:

Un cliente de Ibercaja sufrió la duplicación de su tarjeta SIM. En una sola noche, los estafadores realizaron 15 transferencias por más de 83.000€.

El cliente había avisado semanas antes de movimientos sospechosos y de SMS extraños, pero el banco no activó ninguna medida de seguridad. Ibercaja solo recuperó parte del dinero (27.000€) y se negó a devolver el resto alegando que las operaciones estaban bien autenticadas.

Tras un recorrido judicial que pasó por el Juzgado de Zaragoza y la Audiencia Provincial, el asunto llegó al Supremo.

Lo que dice el Tribunal Supremo

El fallo es muy claro y supone un antes y un después:

  • El banco debe devolver el dinero sustraído en fraudes digitales, salvo que demuestre que el cliente actuó con dolo o negligencia grave.
  • La responsabilidad es cuasi objetiva: se parte de que el banco responde, y solo se libra si prueba lo contrario.
  • No basta con que se hayan usado claves correctas (usuario, contraseña y SMS). Eso no significa que el cliente haya autorizado la operación.
  • Se considera “deficiencia del servicio” que el banco no detecte operaciones inusuales (como 15 transferencias de madrugada a destinatarios sospechosos) o que no reaccione cuando el cliente avisa de incidencias.

¿Qué supone para los usuarios?

Más protección: si eres víctima de phishing, SIM swapping u otro fraude digital y actúas con diligencia (avisando cuanto antes, por ejemplo), el banco debe reintegrarte el dinero.

No tienes que demostrar que no autorizaste la operación: es la entidad la que debe probar que actuaste de forma negligente grave.

Puedes reclamar con más garantías, incluso si los estafadores usaron correctamente tus claves y códigos.

¿Y para los bancos?

No les basta con cumplir formalmente protocolos técnicos, si no que están obligados a implantar sistemas que detecten operaciones anómalas y actuar de forma preventiva.

Tienen que reaccionar inmediatamente cuando un cliente avisa de incidencias o recibe alertas sospechosas.

Conclusión

La STS 571/2025 refuerza la confianza de los ciudadanos en la banca digital y traslada a las entidades financieras la obligación de ofrecer un sistema seguro y de responder frente a los fraudes, en lugar de atribuir las consecuencias de la pérdida sobre el consumidor.

Se trata de una gran noticia para los usuarios y una llamada de atención a la banca: la digitalización no solo es comodidad, también exige un alto nivel de seguridad y responsabilidad.

Si has sufrido un engaño de este tipo, no dudes en ponerte en contacto con el Despacho San José Abogados, porque podemos ayudarte a recuperar tu dinero.