El Tribunal Supremo ha consolidado la doctrina sobre la responsabilidad de las entidades financieras en casos de fraude digital, reafirmando que los bancos deben devolver las cantidades sustraídas cuando las operaciones no fueron realmente autorizadas por el cliente. La Sentencia 571/2025, de 9 de abril, marca un antes y un después en la protección de los usuarios de servicios de pago.
Según el Alto Tribunal, un banco no puede eximirse de responsabilidad simplemente porque las operaciones fraudulentas se ejecutaran con códigos o credenciales válidas. Si no demuestra que el cliente prestó un consentimiento válido o actuó con negligencia grave, la entidad está obligada a asumir la pérdida económica.
El caso: un fraude por phishing y duplicación de SIM
El protagonista de esta sentencia fue un cliente de Ibercaja víctima de una sofisticada estafa digital. Los delincuentes accedieron a su correo electrónico y duplicaron la tarjeta SIM de su esposa, lo que les permitió recibir los códigos SMS de verificación y ejecutar 15 transferencias no autorizadas por más de 83.000 euros en una sola noche.
Aunque el cliente había advertido a la entidad sobre movimientos sospechosos días antes del ataque, el sistema de seguridad del banco no detectó anomalías. Solo se recuperó parcialmente el dinero defraudado (27.218,10 €). El afectado reclamó judicialmente el reembolso de 56.474,63 €, y tanto el juzgado como la Audiencia Provincial le dieron la razón.
Ibercaja recurrió al Supremo alegando que las transferencias se habían autenticado correctamente mediante doble factor, y que el contrato lo eximía de responsabilidad por accesos no autorizados.
Claves de la sentencia del Tribunal Supremo
El Supremo confirmó las resoluciones anteriores y rechazó el recurso del banco, fijando criterios relevantes para la interpretación del Real Decreto-ley 19/2018 y la Directiva (UE) 2015/2366 sobre servicios de pago:
- El uso de claves o códigos no implica consentimiento. El banco debe probar que el cliente autorizó las operaciones de forma expresa y consciente.
- La seguridad no basta si no se aplica con eficacia. Las entidades deben detectar transferencias anómalas o repetitivas por importes sospechosos.
- El cliente actuó con diligencia. Avisó previamente al banco, cambió contraseñas y denunció el fraude de inmediato.
- Responsabilidad casi objetiva de la entidad. Si el cliente niega la autorización, el banco solo se libera si demuestra fraude o negligencia grave.
- El sistema de autenticación no sustituye el consentimiento. La validación técnica no equivale a una aprobación voluntaria del cliente.
- Defecto en la prestación del servicio. La falta de reacción ante alertas previas o movimientos inusuales es una deficiencia de seguridad.
- Cláusulas abusivas sin validez. No pueden excluir la responsabilidad de la entidad frente a lo dispuesto por la normativa imperativa.
- Diligencia bancaria reforzada. Los bancos deben actuar con profesionalidad superior a la de un “buen padre de familia” y contar con mecanismos automáticos de detección de riesgo.
Impacto jurídico y práctico para los consumidores
Esta sentencia refuerza la seguridad jurídica de los usuarios de servicios de pago digitales. A partir de ella, los consumidores tienen garantizada la devolución de su dinero si son víctimas de fraudes online y han actuado con la debida diligencia.
El fallo aclara que el consentimiento no se presume por el uso de contraseñas o códigos de verificación, sino que debe existir una autorización real. Además, establece que los bancos no pueden ampararse en contratos que limiten derechos fundamentales del cliente reconocidos por ley.
Por último, la resolución impulsa la necesidad de que las entidades financieras evolucionen sus sistemas de detección de operaciones atípicas, implantando alertas automáticas que bloqueen transferencias dudosas con el fin de prevenir fraudes antes de que ocurran.