Qué es el phishing y por qué importa esta sentencia

El phishing es una estafa digital en la que delincuentes se hacen pasar por tu banco (o por otra empresa conocida) mediante correos, SMS o mensajes falsos para conseguir tus claves y vaciar tus cuentas. Durante años, los juzgados han resuelto estos casos de forma dispar, muchas veces aceptando el argumento de las entidades de que, si se usaron las credenciales del cliente, la operación debía considerarse autorizada.

La Sentencia 571/2025, de 9 de abril, de la Sala Primera del Tribunal Supremo, cambia el enfoque: refuerza la obligación de los bancos de prevenir y detectar operaciones fraudulentas y limita seriamente su margen para culpar al usuario cuando ha sido víctima de un fraude sofisticado.

Claves jurídicas de la resolución del Supremo

Esta sentencia establece varios principios que marcan un antes y un después en materia de fraudes digitales:

• El banco tiene la carga de la prueba: debe demostrar que la operación fue realmente autorizada por el cliente o que este actuó con dolo o negligencia grave; no basta con decir que se usaron sus claves o que hubo un SMS de confirmación.
• La mera filtración o conocimiento de las claves por un tercero no implica por sí sola negligencia grave del usuario; puede haber muchas explicaciones ajenas a su culpa.
• La entidad no puede escudarse en que su sistema cumplía formalmente la normativa si no activó alertas frente a operaciones anómalas (múltiples transferencias, horarios extraños, importes elevados, etc.).

En la práctica, el Supremo consolida una responsabilidad casi objetiva: si hay phishing y el banco no prueba una conducta gravemente imprudente del cliente ni acredita haber desplegado medidas de seguridad proactivas, debe reembolsar los cargos no autorizados.

Qué significa para ti como usuario de banca online

Esta doctrina es una gran noticia para cualquier persona que opera por Internet:

• Más responsabilidad para los bancos: las entidades están obligadas a contar con sistemas de seguridad robustos y a usarlos bien, no solo a tenerlos “sobre el papel”.
• Protección frente a fraudes sofisticados: si el engaño está bien construido y resulta razonable que un usuario medio pueda caer, no se puede trasladar automáticamente la culpa al cliente.
• Mayor probabilidad de recuperación del dinero: salvo que el banco pruebe que actuaste con una irresponsabilidad grave (por ejemplo, llevando apuntado el PIN junto a la tarjeta o facilitando tus claves de forma claramente imprudente), deberá reembolsar las cantidades robadas.

En cada caso concreto se analizará el nivel de sofisticación del fraude, las medidas de seguridad del banco (alertas, bloqueos, monitorización) y tu propio comportamiento como usuario.

Tu papel: cómo reducir riesgos y reforzar tu posición

Aunque la sentencia refuerza tu protección, el Supremo recuerda que el usuario también debe actuar con diligencia y cuidar sus credenciales. Eso significa:

• Desconfiar de correos, SMS o mensajes que pidan claves, códigos o datos bancarios, aunque parezcan de tu banco.
• No hacer clic en enlaces sospechosos ni descargar archivos de remitentes que no tengas totalmente identificados.
• Verificar siempre que la web donde introduces tus datos es la oficial (dirección correcta, candado de seguridad, acceso desde la app, etc.).
• Ante la mínima sospecha de fraude, contactar de inmediato con tu entidad, bloquear claves y tarjetas, y dejar constancia escrita de la reclamación.

Si ya has sido víctima de phishing, es clave actuar rápido: recopilar movimientos, pantallazos, comunicaciones con el banco y presentar una reclamación formal. Si la entidad se niega a devolverte el dinero alegando que la culpa es tuya, esta nueva doctrina del Supremo abre una vía sólida para exigir judicialmente el reembolso y defender tus derechos como usuario de servicios de pago.