La responsabilidad de las entidades bancarias frente al phishing y sus implicaciones jurídicas: Análisis de la STS 571/2025 de 9 de abril de 2025.
Introducción: El auge del fraude digital y la necesidad de una respuesta jurídica.
El progresivo uso de las tecnologías de la información en el ámbito financiero ha traído consigo una notable mejora en la accesibilidad y comodidad de los servicios bancarios. Sin embargo, este avance también ha abierto las puertas a nuevas formas de fraudes que, con creciente sofisticación, ponen en jaque la seguridad de las operaciones digitales.
En este contexto se enmarca la reciente Sentencia del Tribunal Supremo n.º 571/2029, de 9 de abril, que siente un importante precedente al determinar que las entidades financieras están obligadas a responder por operaciones no autorizadas derivadas de ciber fraudes, salvo que acrediten que estos se han producido por negligencia grave o dolo del cliente afectado.
Los hechos: Estafa a través de la modalidad SIM swapping y una gestión bancaria deficiente.
El caso examinado por el Tribunal Supremo tiene como protagonista a un cliente que, junto con sus familiares, era titular de varias cuentas y contratos de banca online con la entidad Ibercaja Banco S.A. En el mes de marzo de 2021, y tras haber sido objeto de un ataque de phishing mediante la técnica conocida como SIM swapping asociada al teléfono móvil de la esposa del cliente, obteniendo así acceso a los códigos de autenticación necesarios para validar las operaciones.
Lo relevante del asunto es que, a pesar de que el cliente había alertado con anterioridad a su entidad bancaria sobre actividades sospechosas en su cuenta, como la recepción de códigos de seguridad no solicitados y cargos extraños en su tarjeta, el banco no adoptó medidas de seguridad adicionales.
Marco normativo: Real Decreto-ley 19/2018 y normativa europea.
La resolución del Tribunal Supremo se apoya en un análisis pormenorizado del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago, que transpone al derecho interno la Directiva 2015/2366, del Parlamento Europeo y del Consejo.
En particular, el artículo 44 del mencionado RDL, señala que, si un usuario niega haber autorizado una operación de pago, corresponde al proveedor del servicio demostrar que la operación fue autenticada, registrada con exactitud y que no se vio afectada por un fallo técnico o una deficiencia del servicio. Y añade que la mera utilización de las credenciales del cliente no basta para presumir que este autorizó la operación ni que actuó con dolo o negligencia grave.
Sobre la concreción del término “deficiencia del servicio” y delimitación de la responsabilidad del cliente.
Uno de los aspectos más interesantes de la sentencia es la extensión del concepto de “deficiencia del servicio”. El Alto Tribunal aclara que no debe limitarse a errores técnicos o fallos del sistema informático, sino que abarca cualquier omisión en la actuación diligente que quepa esperar de una entidad bancaria que opera en el entorno digital actual.
El Tribunal Supremo exige a los bancos no actuar como simples receptores pasivos de órdenes digitales, sino como los operadores activos que deben velar por la seguridad del servicio que prestan. En este sentido, introduce un estándar de diligencia superior al medio, propio del “ordenado y experto comerciante”, que implica prever y prevenir los riesgos inherentes al servicio que se ofrece.
Otro de los elementos clave de la Sentencia es la delimitación de la responsabilidad del cliente. El Tribunal establece con claridad que la responsabilidad del cliente por operaciones fraudulentas solo puede apreciarse si demuestra que este incurrió en dolo o negligencia grave, siendo que no se puede presumir la culpa del usuario por el sólo hecho de que se utilizaran sus credenciales de acceso y autenticación de la banca online.
Implicaciones para la práctica bancaria y contractual.
La Sentencia tiene importantes implicaciones prácticas, en tanto que, en primer lugar, se pone en tela de juicio la eficacia de las cláusulas contractuales que atribuyen al cliente toda la responsabilidad por las operaciones realizadas con sus claves. Y, en segundo lugar, obliga a las entidades a revisar sus protocolos de seguridad, su gestión de incidentes y sus mecanismos de control y alerta de actividades sospechosas.
También se refuerza el derecho de los consumidores a reclamar por vías tanto extrajudiciales como judiciales cuando sufran un fraude de estas características, y, de hecho, este pronunciamiento, sin duda alguna, abrirá la puerta a una gran oleada de reclamaciones similares por parte de usuarios que, hasta ahora se hayan visto desprotegidos ante este tipo de delitos.
Conforme a lo antedicho, los clientes que hayan sido víctimas de operaciones no autorizadas tienen abiertas diversas vías para reclamar a su entidad bancaria:
- Reclamación previa al servicio de atención al cliente de la entidad.
- Reclamación administrativa, ante el Banco de España, que podrá emitir un informe favorable.
- Acción judicial de responsabilidad contractual, en la que el cliente tendría que acreditar que no autorizó la operación, recayendo sobre el banco la carga de probar dolo o negligencia grave del cliente.
El plazo para reclamar, en virtud de lo dispuesto en el artículo 43 del RDL, es de 13 meses desde la fecha del adeudo, y la acción puede ejercitarse incluso si el banco se niega inicialmente a restituir el importe.
En conclusión, la STS 571/2025 supone un hito en la construcción de un sistema de garantías adaptado a la realidad de las operaciones bancarias digitales. Con esta resolución, el Tribunal Supremo reequilibra las posiciones entre bancos y clientes, exigiendo a las entidades no solo el cumplimiento formal de protocolos, sino una actuación diligente, proactiva y acorde con los riesgos de su actividad propia