El supuesto de hecho sometido a enjuiciamiento resulta cada vez más común en la práctica bancaria contemporánea. Un cliente fue víctima de un ataque de phishing, mediante el cual los delincuentes obtuvieron sus credenciales de acceso a la banca electrónica. Posteriormente, utilizando técnicas de SIM swapping, duplicaron su tarjeta SIM y tomaron el control de su número de teléfono, lo que les permitió interceptar los códigos de verificación necesarios para completar varias transferencias bancarias de elevado importe.
El banco, tras recibir la reclamación del cliente, rechazó su responsabilidad. Alegó que las operaciones habían sido válidamente autenticadas mediante los mecanismos habituales —usuario, contraseña y códigos de verificación—, y que, en consecuencia, no existía fallo en sus sistemas de seguridad.
Sin embargo, tanto la Audiencia Provincial como el Tribunal Supremo fallaron a favor del cliente, condenando a la entidad bancaria a la devolución de las cantidades sustraídas.
Los fraudes digitales, en especial el phishing, se han consolidado como una de las principales amenazas en el ámbito de la banca online y el comercio electrónico. Este tipo de estafa consiste en engañar al usuario mediante correos electrónicos, mensajes de texto o llamadas falsas, suplantando la identidad de entidades legítimas con el objetivo de obtener claves de acceso, contraseñas o datos bancarios.
Ante este panorama, se exige una mayor concienciación por parte de los usuarios, pero también una actuación diligente por parte de los bancos. No basta con imponer la carga de la vigilancia al consumidor: las entidades financieras deben disponer de sistemas que bloqueen o alerten sobre operaciones atípicas, especialmente si no guardan coherencia con el perfil del usuario o con su historial transaccional.
La reciente sentencia del Tribunal Supremo número 571/2025, de 9 de abril, marca un hito en la defensa de los derechos de los consumidores frente a las estafas digitales, concretamente aquellas conocidas como phishing. En este fallo, el Alto Tribunal establece que las entidades bancarias deben reembolsar las cantidades sustraídas mediante fraudes informáticos, salvo que consigan probar que el cliente actuó con negligencia grave o cometió fraude doloso. En particular, se destaca que el simple hecho de que un tercero haya accedido a las credenciales del usuario no implica automáticamente una actuación negligente por parte del titular de la cuenta.
El Tribunal Supremo pone de relieve la responsabilidad activa de las entidades financieras, en su condición de proveedores especializados de servicios de pago, lo que implica no solo la puesta a disposición de herramientas de seguridad, sino también la implementación de mecanismos eficaces para la prevención y detección de operaciones inusuales o sospechosas. La sentencia subraya que la entidad bancaria debe no solo implementar sistemas de autenticación fuerte, sino también monitorizar de forma efectiva el comportamiento transaccional del cliente, de modo que operaciones anómalas puedan ser detectadas y sometidas a medidas adicionales de verificación.
En este caso, las transferencias se realizaron desde una dirección IP distinta de la habitual, a beneficiarios no recurrentes, y por importes significativamente superiores a los movimientos ordinarios del cliente. A juicio del Alto Tribunal, estas señales eran suficientes para activar alertas de seguridad que el banco debió considerar para paralizar las operaciones o requerir confirmación expresa del titular por medios alternativos.
La sentencia tiene implicaciones relevantes sobre la carga de la prueba. Aunque formalmente corresponde al cliente demostrar que no autorizó la operación, el Tribunal reconoce que, una vez alegado y probado el fraude, el banco debe acreditar que actuó con la diligencia exigible y que su sistema de seguridad fue suficiente para prevenir el ataque. En caso contrario, será responsable de los daños sufridos por el usuario.
En concreto, el Alto Tribunal establece que, cuando el cliente ha sido víctima de una estafa sin haber incurrido en negligencia grave, el banco debe responder por los daños sufridos como consecuencia del incumplimiento de su obligación de proteger adecuadamente los sistemas de pago y garantizar la seguridad de las operaciones.
Tanto el phishing como el SIM swapping son técnicas extendidas y documentadas, respecto de las cuales los bancos tienen un deber reforzado de vigilancia, prevención y reacción.
