AP de A Coruña: nueva condena a una entidad bancaria por fraude online

La Audiencia Provincial de A Coruña, en su sentencia de 28 de enero de 2026, rec. 271/2023, revoca la sentencia de primera instancia estimando el recurso de apelación de un cliente frente a una entidad bancaria por múltiples operaciones de pago no autorizadas realizadas a través de la banca electrónica.

El recurso se interpuso contra la sentencia del Juzgado de Primera Instancia n.º 1 de Betanzos (actual plaza n.º 1 de la Sección Civil y de Instrucción del Tribunal de Instancia de Betanzos), que había desestimado una reclamación de cantidad por responsabilidad contractual y había impuesto las costas a la parte demandante.

En apelación, tras la práctica de una prueba pericial de reconocimiento de voz que fue denegada en la primera instancia pero admitida en segunda, el tribunal concluye que las operaciones litigiosas fueron consecuencia de un fraude de terceros y que la entidad bancaria no acreditó ni fraude ni negligencia grave imputables al cliente, por lo que debe reintegrar íntegramente las cantidades dispuestas.

Hechos relevantes: fraude en banca electrónica y actuación del banco

El cliente persona física y la sociedad que representa eran titulares de tres cuentas bancarias en la entidad demandada, siendo aquel el único autorizado para disponer de los fondos. Sobre dichas cuentas suscribieron un contrato de banca electrónica, recibiendo claves y sistema operativo asociado a un número de teléfono móvil.

Entre el 3 y el 22 de mayo de 2019 se realizaron numerosas transferencias y traspasos con cargo a esas cuentas, por un total de 212.445,39 dólares y 67.141,30 euros, que los actores negaron haber autorizado (reconocían solo una operación propia de su actividad empresarial).

El cliente comunicó a la entidad los movimientos no autorizados y, por indicación del banco, formuló manifestación ante el Consulado de España en Bogotá y posterior denuncia ante la policía colombiana, remitiendo copia al banco. La entidad rechazó el reembolso.

Consta un informe interno de la Oficina de Prevención de Pérdidas y Fraude de la entidad que detalla las operaciones entre el 14 y el 22 de mayo de 2019 y refleja que el propio sistema de alarma del banco detectó conexiones y operativas sospechosas desde el 14 de mayo: accesos inusuales de madrugada, intentos de transferencias que no llegaron a ejecutarse por horario, intento de cambio de datos personales y, especialmente, la instalación de la app de banca electrónica en un nuevo dispositivo móvil tras una llamada de alguien que se hizo pasar por el cliente.

En esa llamada, la operadora permitió la instalación de la aplicación sin exigir medidas reforzadas de autenticación, facilitando un código alternativo cuando el supuesto cliente dijo no recibir el SMS, pese a que ya existían avisos del sistema de monitorización de fraude y a que se trataba de un dispositivo distinto del inicialmente registrado.

Marco normativo: responsabilidad cuasi objetiva del proveedor de servicios de pago

La Audiencia Provincial fundamenta la resolución en el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, que transpone la Directiva (UE) 2015/2366 y configura un régimen de responsabilidad cuasi objetiva para los proveedores de servicios de pago.

Cita además la sentencia del Tribunal de Justicia de la UE, n.º C-337/20, de 2 de septiembre de 2021, ECLI:EU:C:2021:671, que describe un sistema basado en obligación de notificación del usuario, carga de la prueba a cargo del proveedor y responsabilidad de este en caso de falta de prueba.

También se remite a la STS n.º 571/2025, de 9 de abril, ECLI:ES:TS:2025:1671, que sistematiza los criterios para imputar las pérdidas derivadas de operaciones no autorizadas por suplantación de identidad en banca digital.

Valoración de la prueba y aplicación de la carga probatoria al banco

La audiencia considera que el recurso debe estimarse porque la entidad bancaria no ha cumplido la carga probatoria que le impone el art. 44 del Real Decreto-ley 19/2018, de 23 de noviembre. El banco se limitó a acreditar que las transferencias se realizaron mediante las credenciales y la línea telefónica asociadas al cliente, pero:

• No aportó prueba de que el usuario hubiera actuado con fraude o negligencia grave.
• No demostró la ausencia de deficiencias en el servicio, pese a los indicios de fallo en los protocolos de seguridad.
• No consta comunicación a los organismos supervisores que evidencie sospecha formal de fraude imputable al cliente.

Por el contrario, el propio informe interno de prevención de fraude del banco revela, como ya se ha dicho, actuaciones sospechosas. 

Además, la pericial de reconocimiento de voz practicada en la segunda instancia concluye que la voz grabada en la conversación del 14 de mayo, en la que se gestionó la nueva instalación de la app, no corresponde al cliente, lo que refuerza la hipótesis de suplantación de identidad a través de duplicado de tarjeta SIM o medios similares, y excluye que pudiera presumirse, sin más, la colaboración del usuario.

La audiencia destaca que la tesis de la entidad (que el propio autorizado pudo facilitar claves y teléfono a terceros para luego negar las operaciones) es una mera hipótesis no probada, insuficiente frente al estándar legal, especialmente cuando el propio sistema del banco ya había detectado indicios de intento de fraude y, aun así, se permitió operar sin exigir medidas reforzadas.

La AP de A Coruña no solo constata que la parte demandante cumplió el requisito de comunicación sin demora injustificada, sino que añade que no puede imputarse al cliente negligencia grave por el simple hecho de que las operaciones se hayan realizado con sus credenciales, y recuerda el criterio del Tribunal Supremo: el acceso de un tercero a las claves no implica automáticamente negligencia del usuario, pudiendo deberse a múltiples causas no imputables a este.

Fallo: obligación de reintegro y refuerzo de la protección del usuario

En definitiva, la audiencia estima el recurso de apelación, revoca la sentencia de primera instancia y condena a la entidad bancaria a reintegrar a los demandantes las cantidades detraídas de sus cuentas más los intereses moratorios calculados desde el 23 de mayo de 2019. Asimismo, se imponen a la entidad bancaria las costas de la primera instancia, sin especial pronunciamiento sobre las costas de la apelación. La sentencia es recurrible en casación ante el Tribunal Supremo.

La resolución consolida, en línea con la doctrina del Tribunal Supremo y la normativa europea, un criterio muy exigente para exonerar de responsabilidad a las entidades financieras en casos de fraude en banca electrónica:

• El banco no se libera solo demostrando que las operaciones se hicieron con usuario, PIN y SMS; debe probar ausencia de fallos o deficiencias en el servicio y la existencia de fraude o negligencia grave del usuario.
• La existencia de alertas internas de fraude y la falta de reacción adecuada (refuerzo de autenticación, bloqueos, verificaciones adicionales) puede ser determinante para apreciar deficiencia del servicio.
• Se refuerza la idea de que el deber del cliente es de diligencia razonable, pero la responsabilidad por diseñar, supervisar y actualizar sistemas de autenticación fuerte y monitorización inteligente de riesgos recae primordialmente en el proveedor de servicios de pago.