Las entidades bancarias responden de las estafas digitales salvo negligencia grave del cliente

El Tribunal Supremo en su sentencia n.º 571/2025, de 9 de abril, ECLI:ES:TS:2025:1671, se ha pronunciado sobre la responsabilidad de las entidades bancarias respecto del dinero perdido por un cliente a través de fraudes digitales, llegando a la conclusión que los bancos deben responder de las cantidades perdidas siempre que no se aprecie en el cliente negligencia o culpa graves.

A este nuevo pronunciamiento en materia de phishing se llega tras los hechos que se exponen a continuación. 

Un cliente de una entidad bancaria sufre una vulneración de su cuenta de correo electrónico, al recibir los correspondientes avisos procede a cambiar la contraseña. A pesar de ello, ese mismo día y otros posteriores recibió mensajes con códigos para la materialización a través del sistema digital de transferencias que no obedecían a órdenes suyas, es por ello que se lo comunicó al personal de la sucursal bancaria correspondiente.

A pesar de todos sus esfuerzos, fueron varios los cargos que se hicieron de distintas maneras en su cuenta bancaria alcanzando un importe total de casi 84.000 euros. Para realizar los movimientos se utilizó una tarjeta SIM duplicada sin autorización de su titular. 

Ante estos hechos, el demandante efectúa la correspondiente reclamación al banco el cual procede, a su vez, a reclamar la devolución de las cantidades a las distintas entidades de destino, pero solo consigue la devolución de poco más de 27.000 euros. Por este motivo, el demandante ejercita una acción de responsabilidad contractual frente a la entidad bancaria por los daños y perjuicios causados por el incumplimiento de las obligaciones asumidas por la demandada en el contrato de banca a distancia y en el contrato de cuenta corriente y/o depósito del que aquel es titular.

La sentencia de instancia estima la demanda y condena a la demandada a abonar al actor la cantidad reclamada, en tanto «(...) aunque el sistema de banca electrónica de la demandada y la operativa del mismo se adecúa a la legislación aplicable, lo cierto es que, al no haberse acreditado negligencia grave del usuario, la entidad bancaria debe responder del reintegro de las cantidades dispuestas de forma fraudulenta, sin que corresponda a los clientes/usuarios prevenir ni averiguar las modalidades de riesgos que el sistema conlleva».

La entidad bancaria presenta recurso de apelación desestimado por la audiencia provincial la cual «(...) declara probado que las transferencias fueron realizadas por delincuentes, que duplicaron la tarjeta SIM de la esposa del perjudicado, accediendo a la información confidencial almacenada en ella y tomando el control de su banca digital, en lo que se conoce como una modalidad de estafa denominada "SIM swapping"». En tanto el banco no pudo acreditar la negligencia del demandante, concluye la audiencia que el banco debe responder, máxime teniendo en cuenta las deficiencias del servicio prestado, ya que la entidad bancaria no fue consciente de lo que estaba sucediendo, ni saltaron las alarmas, ni cuando fue informada por el actor adoptó las medidas adecuadas extremando las precauciones.

A la vista de todo ello, la entidad bancaria formula recurso de casación basado, fundamentalmente, en que las operaciones realizadas habían sido correctamente autorizadas y registradas en los sistemas informáticos de la entidad, en cumplimiento de las condiciones contractuales pactadas. Al respecto insiste la recurrente en lo siguiente:

«(...) en todas transferencias se llevó a cabo la identificación correcta del usuario con un doble factor de autenticación, que consistió (i) en que el titular accede al sistema digital con su clave de usuario y contraseña o clave de firma, y (ii)se envía mediante SMS, de forma exclusiva y con validez temporal «por unos momentos», un código para confirmar la operación, al teléfono móvil que el titular ha facilitado en la oficina para operar a través de la banca on line. Si tales credenciales eran conocidas por terceros y las emplearon para, a través del móvil del actor, ejecutar las operaciones en la banca digital, no cabe imputar responsabilidad alguna a la demandada».

¿Qué resuelve el Tribunal Supremo al respecto? En la misma línea que las resoluciones previas el Alto Tribunal desestima el recurso de casación. 

Así, ante la controversia de determinar quién debe responder por las operaciones de pago no autorizadas realizadas por un tercero que, utilizando las credenciales del usuario que ha obtenido por cualquier medio, suplanta su identidad y accede electrónicamente a su cuenta sin su consentimiento, el Tribunal Supremo recuerda la normativa y jurisprudencia europea y tras ello declara:

• El usuario de servicios de pago debe adoptar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas y, en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, ha de notificarlo al proveedor de servicios de pago de manera inmediata.
•  En caso de una operación de pago no autorizada o ejecutada incorrectamente, si el usuario de servicios de pago se lo comunica sin demora injustificada, el proveedor debe proceder a su rectificación y reintegrar el importe de inmediato.
• Ante operaciones incorrectas, corresponde al proveedor la carga de demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado.
• El mero hecho del registro por el proveedor de la utilización del instrumento de pago no bastará para demostrar que la operación de pago fue autorizada por el ordenante, ni que este ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones, correspondiendo al proveedor la prueba de que el usuario del servicio de pago cometió fraude o negligencia grave.

En definitiva, en el caso que se resuelve se observa, de un lado, una conducta diligente del titular de la cuenta, que informó, inmediata y reiteradamente, al personal de entidad de lo que estaba sucediendo, cumpliendo con su obligación; y, de otro lado, un servicio que se presta defectuosamente por el banco que ni toma en consideración la información recibida pese a su gravedad, ni adopta medidas que posibilitaran la detección de eventuales maniobras fraudulentas. 

Aun cuando la filtración o el conocimiento de las claves por un tercero no sea imputable a la entidad bancaria, esto no la libera de obligación de responder ni traslada al usuario la obligación de soportar las pérdidas, ya que el proveedor de servicios de pago, además de demostrar que el servicio se prestó correctamente, debía acreditar la concurrencia de fraude o incumplimiento deliberado o gravemente negligente por parte del usuario lo cual no sucede en este caso. Así pues, el que un tercero hubiera podido acceder a las claves de acceso a la banca digital del demandante no supone per se que haya incurrido en negligencia alguna. 

Concluye el TS que corresponderá en este caso a la entidad bancaria responder de las pérdidas que sufre su cliente por cuanto no se aprecia en la actuación de este negligencia alguna y el servicio prestado fue defectuoso.