El Tribunal Supremo fija doctrina sobre el “SIM swapping”: los bancos deben devolver el dinero sustraído si el cliente actuó con diligencia

El Tribunal Supremo ha vuelto a pronunciarse sobre la responsabilidad de las entidades bancarias en casos de fraude digital, esta vez centrado en la modalidad conocida como SIM swapping, una técnica de suplantación telefónica que permite a los ciberdelincuentes acceder a la banca online de las víctimas. La sentencia n.º 571/2025, de 9 de abril, establece que los bancos deben reintegrar las cantidades sustraídas a sus clientes, salvo que se pruebe que el afectado actuó con negligencia grave.

Qué ocurrió en este caso

El supuesto analizado por el Alto Tribunal parte de un cliente cuya cuenta fue objeto de múltiples transferencias fraudulentas por un total cercano a 84.000 euros. Los delincuentes obtuvieron acceso mediante una duplicación no autorizada de la tarjeta SIM, lo que les permitió interceptar los códigos de verificación enviados por SMS para confirmar las operaciones.

El afectado había alertado de inmediato al personal de su sucursal tras detectar intentos sospechosos de acceso y solicitó medidas de protección adicionales. Aun así, las operaciones se ejecutaron y solo una parte del dinero —poco más de 27.000 euros— pudo recuperarse. Ante la negativa del banco a asumir el resto de las pérdidas, el cliente interpuso demanda por responsabilidad contractual derivada del servicio de banca electrónica.

Los tribunales inferiores dan la razón al cliente

Tanto el juzgado de primera instancia como la Audiencia Provincial consideraron que la entidad debía responder, al no existir ninguna evidencia de negligencia por parte del cliente. Además, las resoluciones destacaron las deficiencias del sistema de seguridad bancario, que no activó alertas ni reaccionó adecuadamente pese a las comunicaciones del afectado.

La Audiencia confirmó que las transferencias fueron ejecutadas por terceros que clonaron la SIM de la esposa del perjudicado, accediendo a los datos confidenciales y controlando su banca digital. En palabras del tribunal, “el cliente no tiene obligación de prevenir ni descubrir las sofisticadas formas de riesgo que conlleva el sistema”.

El argumento del banco y la respuesta del Supremo

La entidad interpuso recurso de casación alegando que todas las operaciones incluían doble factor de autenticación y que, por tanto, habían sido correctamente autorizadas. Según su tesis, si los delincuentes conocían las credenciales, la responsabilidad debía recaer sobre el usuario.

El Supremo rechaza esta posición y recuerda la normativa europea sobre servicios de pago: el proveedor es quien debe demostrar que la operación fue auténtica y que el servicio se prestó sin fallos. Además, el banco solo quedaría exonerado si acreditara que el usuario actuó con fraude o negligencia grave, lo que no ocurrió en este caso.

La clave de la sentencia: diligencia del cliente y fallo del servicio

El Alto Tribunal subraya que el cliente cumplió con sus deberes al avisar de inmediato a la entidad y tratar de bloquear posibles operaciones. En cambio, el banco no adoptó medidas efectivas para evitar nuevas transferencias ni demostró que el sistema funcionara correctamente.

Por tanto, incluso aunque las claves de acceso hubieran sido conocidas por terceros, ello no implica automáticamente negligencia por parte del usuario. La responsabilidad se mantiene en el proveedor de servicios de pago, que debe devolver las cantidades perdidas.

Qué significa esta resolución para clientes y bancos

Esta sentencia consolida la doctrina del Tribunal Supremo en materia de fraudes digitales y operaciones no autorizadas. En esencia:

El banco responde del dinero sustraído si no acredita negligencia grave del cliente.
El registro de una operación en los sistemas informáticos no demuestra que haya sido autorizada.
Los clientes deben actuar con diligencia, pero no se les puede exigir prever ataques tecnológicos complejos.
Las entidades financieras están obligadas a reforzar sus mecanismos de detección de fraude y a reaccionar de inmediato ante cualquier aviso.

Conclusión

El Tribunal Supremo deja claro que en los casos de SIM swapping y otros fraudes cibernéticos, la carga de la prueba recae sobre la entidad bancaria. Cuando el cliente actúa con diligencia y comunica el incidente sin demora, el banco debe asumir la responsabilidad y restituir las pérdidas ocasionadas. Este fallo marca otro paso importante hacia la protección del consumidor financiero en el entorno digital.

Últimos posts

Comunidad de propietarios condenada a pagar casi 8.000 € por filtraciones desde una terraza privativa que actúa como cubierta

11 de mayo de 2026

El TJUE redefine el límite de pastiche: cuándo puedes usar obras ajenas sin permiso en 2026

8 de mayo de 2026

¿Quién paga cuando falla la inteligencia artificial? Claves legales de una responsabilidad cada vez más compleja

7 de mayo de 2026

El Tribunal Supremo fija criterio favorable para clientes banca online: en casos de phishing, el banco debe devolver el dinero robado salvo que demuestre negligencia grave del usuario y que sus sistemas de seguridad eran eficaces.

5 de mayo de 2026

La Audiencia Provincial de Madrid obliga a una aseguradora a pagar la indemnización por invalidez absoluta, más elevados intereses moratorios por haber negado la cobertura durante años.

4 de mayo de 2026