El Juzgado de Primera Instancia n.º 3 de Málaga ha dictado la sentencia n.º 350/2025, que condena a BBVA a devolver 8.400 euros a una clienta víctima de phishing bancario. La resolución declara no autorizada la operación y obliga al banco a restituir el importe más intereses, al no haber acreditado este la autenticación reforzada ni la diligencia debida en materia de seguridad.
La citada sentencia consolida la doctrina de que la entidad solo puede exonerarse si demuestra que el cliente actuó con dolo o negligencia grave, conforme al Real Decreto-Ley 19/2018 y la Directiva (UE) 2015/2366.
La controversia giró en torno a si la operación fue efectivamente autorizada y si el banco cumplió con las medidas de seguridad reforzada exigidas por la normativa.
El artículo 44 del Real Decreto-Ley 19/2018 impone al proveedor del servicio de pago la carga de demostrar que la operación fue autenticada y que el cliente no actuó con negligencia grave. La normativa europea, a través de la PSD2, añade que la negligencia grave supone algo más que un simple descuido: requiere una falta significativa de diligencia, como custodiar las credenciales junto al instrumento de pago.
El banco argumentó que la transacción se validó mediante sistema 3D Secure, combinando contraseña, dispositivo y firma biométrica. Sin embargo, el Juzgado consideró que no se acreditó la autenticación reforzada, ni se probó la validación mediante CVV1 o CVV2. Tampoco se justificó que el acceso desde un nuevo dispositivo fuera detectado o bloqueado. Cuando las entidades financieras no activan los mecanismos de verificación que la normativa impone, incumplen su obligación de diligencia profesional.
Además, este caso evidencia un riesgo añadido: la confusión generada por el uso del mismo canal de comunicación (SMS) por parte del banco y de los estafadores. La coexistencia de mensajes legítimos y falsos en un mismo hilo convierte al cliente en un objetivo indefenso. Resulta imprescindible que las entidades implementen canales diferenciados y sistemas de alerta inteligente, evitando que la apariencia de legitimidad sirva de instrumento para el engaño.
El fallo reconoce implícitamente que no puede exigirse al consumidor ser experto en ciberseguridad, mientras que el banco, que obtiene beneficio de su actividad, sí debe adoptar las medidas tecnológicas necesarias para prevenir estos riesgos.
En definitiva, la sentencia n.º 350/2025 reafirma un principio esencial del Derecho bancario moderno: quien obtiene beneficio de la intermediación financiera debe asumir también el riesgo tecnológico que ella implica.
La resolución de Málaga se alinea con una corriente consolidada en las Audiencias Provinciales. La SAP de Madrid (Sección 9ª, 4 de mayo de 2015), la SAP de Alicante (12 de marzo de 2018) y la SAP de Granada (20 de junio de 2022) han sostenido que la entidad solo se libera si prueba de forma concluyente la actuación fraudulenta o negligente del cliente.
Por tanto, no basta con afirmar que el cliente introdujo sus claves, el banco debe demostrar que la operación se validó con todos los factores de autenticación exigidos y que su sistema no presentó vulnerabilidades. En ausencia de tal prueba, la operación se considera no autorizada.
El Juzgado estimó íntegramente la demanda, condenando al BBVA a restituir los 8.400 euros y a pagar los intereses legales. La sentencia subraya que la entidad no alertó del incremento repentino del límite de crédito ni del acceso desde un nuevo dispositivo, incumpliendo sus deberes de supervisión.
