TRIBUNA: Phishing bancario en España: responsabilidad civil de las entidades bancarias, doctrina y jurisprudencia aplicable

Resumen. El phishing bancario se ha definido doctrinalmente como una forma de estafa informática en la que el delincuente suplanta la identidad de una entidad de confianza para obtener datos bancarios del usuario. Desde el punto de vista penal, la práctica del phishing encaja en el delito de estafa previsto en el Código Penal ( art. 249). En el ámbito civil y bancario, la normativa europea (Directiva PSD2 2015/2366/UE) y su transposición española (RDL 19/2018) imponen a los proveedores de servicios de pago (entidades bancarias) una responsabilidad cuasiobjetiva por las operaciones no autorizadas. En virtud de estas normas, las entidades deben reembolsar de inmediato las cantidades defraudadas, a no ser que se muestre la existencia de fraude o de una negligencia grave del titular. Esta doctrina está avalada por la jurisprudencia reciente: el Tribunal Supremo (STS 571/2025, 9 abr. 2025) confirmó que, incluso en presencia de mecanismos de autenticación válidos, corresponde al banco probar el correcto funcionamiento de su sistema y la culpa del cliente, sin que el mero registro de la operación bastara como prueba de autorización. De igual manera, diversas Audiencias Provinciales han condenado a bancos a devolver las sumas defraudadas cuando no se acredita negligencia grave del usuario (p.ej. AP Madrid, 184/2022, 20 mayo 2022). Por lo tanto, doctrina y la jurisprudencia española se orientan hacia una tutela reforzada del cliente bancario víctima de phishing: el banco, en tanto que depositario de los fondos, debe garantizar sistemas de pago seguros y asumir las consecuencias de las transacciones fraudulentas, salvo casos extraordinarios de comportamiento doloso o de grave imprudencia del usuario.

Introducción

En la era digital, el incremento de los servicios bancarios por canales electrónicos ha comportado nuevos riesgos para los usuarios. Entre ellos, destaca el phishing bancario: una modalidad de fraude informático por la cual un tercero engaña al cliente para obtener sus datos de acceso o tarjetas y realiza transferencias no autorizadas ^1. Ante el creciente número de víctimas, cobra especial interés el análisis jurídico de este fenómeno: cómo se define legalmente el phishing bancario y qué obligaciones tiene la entidad financiera frente a sus clientes. En España, la doctrina coincide en encuadrar el phishing bancario dentro de los delitos informáticos de estafa, contemplados en el Código Penal ( Art. 249). Al mismo tiempo, la jurisprudencia y la regulación europea (PSD2) han establecido un régimen de responsabilidad civil, aplicable a los prestadores de servicios de pago, de carácter cuasiobjetivo (carga de la prueba al banco). Este artículo examina ambas vertientes: en primer lugar, la caracterización jurídica del phishing bancario (a nivel penal y contractual) y, en segundo lugar, el régimen de responsabilidad civil de los proveedores de servicios de pago, especialmente las entidades bancarias, cuando se producen operaciones fraudulentas. En cada apartado se integran referencias doctrinales nacionales que definen el fenómeno del phishing y que describen el marco legal aplicable, así como la jurisprudencia reciente (especialmente sentencias de tribunales españoles) que ha dirimido disputas entre clientes y bancos tras casos de phishing.

La caracterización jurídica del phishing bancario

El phishing bancario se configura jurídicamente como una modalidad de delito de estafa informática. En el ámbito doctrinal se suele describir como un conjunto de técnicas engañosas por las cuales el delincuente se hace pasar por una entidad bancaria (o proveedor de pago) de confianza para que el cliente entregue sus claves o datos sensibles. Se incluyen aquí técnicas como los correos electrónicos falsos (phishing propiamente dicho), los mensajes SMS engañosos (smishing), llamadas telefónicas fraudulentas (vishing) o duplicación de tarjetas SIM (SIM swapping). El fin común es “pescar” la información privada del usuario para apoderarse de su dinero (de ahí el término phishing, juego de palabras con “fishing” –pesca– y “password harvesting”). Desde la perspectiva del Derecho penal español, esta conducta se puede encuadrar en el delito de estafa tipificado en el Código Penal. En concreto, el actual artículo 249 del Código Penal castiga la obtención ilícita de una transferencia patrimonial mediante la utilización fraudulenta de medios informáticos. Tal como señala CALVO SAN JOSÉ ², “con fundamento en el artículo 249.1 CP estamos ante un delito de estafa cibernética con [phishing]”. Por tanto, el phishing bancario se considera un fraude en el que el consentimiento del cliente (implicando datos de acceso o tarjetas) queda viciado por el engaño del atacante, equiparándose a la estafa clásica y comportando sanciones penales de prisión (Art. 249 CP) .

A efectos de esta discusión civil, conviene matizar que el phishing no involucra culpa de la entidad financiera: al contrario, el banco es la víctima indirecta del engaño que sufre su cliente. En la práctica, el cliente perjudicado suele querer demandar al banco por incumplimiento contractual o extracontractual, por no impedir que el fraude se hubiera cometido. Sin embargo, la responsabilidad de la entidad se basa no en un delito propio suyo, sino en su obligación contractual de conservar los fondos de los clientes y en el régimen especial de servicios de pago. En doctrinas especializadas se subraya esta distinción: aunque el phishing es un delito informático de suplantación de identidad ³, el banco no es autor ni cómplice del fraude; simplemente tiene un deber reforzado de diligencia en la custodia de los recursos de sus clientes (deber de custodia). En consecuencia, jurídicamente se separa la responsabilidad penal (que recae sobre el autor del phishing, como estafa) de la responsabilidad civil o contractual (que puede recaer sobre la entidad bancaria si falla en sus medidas de seguridad).

El Código Penal también contempla, además del art. 249 mencionado, otros preceptos que pueden ser aplicables en contextos de phishing. Por ejemplo, el art. 197 CP castiga la interceptación ilícita de comunicaciones o la obtención indebida de datos informáticos (posible si el delincuente intercepta datos entre el banco y el usuario), y el art. 248 CP (estafa general) remite a la obtención de un beneficio ilícito mediante engaño. No obstante, en la mayoría de casos de phishing se suele aludir específicamente a la modalidad agravada de estafa informática del art. 249 CP. La jurisprudencia penal ha condenado agrupaciones que cometen phishing en masa como organizaciones criminales dedicadas al fraude cibernético (p.ej. STS 291/2021, de 7 abr. 2021, sobre grupo desmantelado de phishing, que consolida una doctrina estricta frente a las macroestafas digitales organizadas, consolidando la relevancia penal de las estructuras criminales complejas), pero dichos casos interesan más al Derecho penal interno que al régimen civil de responsabilidad bancaria.

En paralelo, desde el punto de vista contractual existe un debate sobre cómo interpretar el consentimiento en las operaciones bancarias afectadas por phishing. Algunos autores plantean la idea de que podría existir un vicio en el consentimiento (error) del cliente al autorizar pagos a favor de los defraudadores, lo que invalidaría la transacción. Sin embargo, la doctrina imperante es que, aun cuando el cliente efectivamente dio las claves de manera engañada, lo esencial es la ilícita intervención de un tercero. Esto justifica la imputación de responsabilidad al banco: dado que el cliente resulta indefenso para identificar al defraudador, recae sobre la entidad (que tiene capacidad para prevenir fraudes) la carga de la devolución. En palabras de Domingo Monforte ⁴, la entidad debe restituir los fondos incluso aunque se emplearon las credenciales del cliente, pues “el mero registro de la operación” no basta para presumir autorización verdadera. Así, la caracterización jurídica del phishing bancario combina la calificación penal como estafa informática con un régimen especial de obligaciones bancarias, donde la diligencia en la seguridad de las operaciones (art. 41 RDL 19/2018) y la obligación de reembolso (arts. 45-46 RDL 19/2018) definen la naturaleza de la controversia (con base en la doctrina contractual del depósito y del riesgo empresarial).

En síntesis, la doctrina jurídica española considera al phishing bancario un comportamiento fraudulento terceramente inducido, gravado en lo penal como estafa informática. Simultáneamente, el propio cliente dispone de instrumentos de defensa (denuncia penal, reclamación civil) ante el incumplimiento del banco. La siguiente sección examinará con detalle cómo la normativa de servicios de pago y la jurisprudencia regulan la responsabilidad de las entidades bancarias cuando los fondos de sus clientes son sustraídos por phishing.

Régimen de responsabilidad civil de los prestadores de servicios de pago

El régimen de responsabilidad civil aplicable al phishing bancario está marcado por la regulación de los servicios de pago en España y la Unión Europea. La Directiva (UE) 2015/2366, conocida como PSD2, y su transposición en el Real Decreto-ley 19/2018 (23 de noviembre, de servicios de pago) introdujeron un régimen de diligencia reforzada para los bancos y una inversión de la carga de la prueba, resultando en una responsabilidad prácticamente objetiva del proveedor de servicios de pago. Dicho RDL 19/2018 deroga la anterior Ley 16/2009 y recoge las obligaciones del usuario (notificar operaciones no autorizadas, etc., arts. 40-43) y del proveedor (seguridad, SCA, reintegro) (arts. 41-46) en perfecta armonía con el art. 65 y ss. de la PSD2. Como señala la doctrina, el real decreto-ley establece un “estándar de diligencia” elevado a favor de la protección del usuario ⁵. En particular, el art. 45 RDL 19/2018 obliga al banco, sin dilación, a reembolsar el importe de toda operación de pago no autorizada, salvo que pueda argumentar sospechas fundadas de fraude. Al mismo tiempo, el art. 46 limita la responsabilidad del ordenante (cliente) a un máximo de 50€, siempre que la operación no autorizada se deba a uso indebido de instrumentos extraviados y sin que medie fraude o negligencia grave por parte del usuario. Esto implica que, salvo en casos de actuación dolosa o imprudencial grave del cliente, es la entidad financiera la que asume toda pérdida derivada del phishing bancario.

La normativa europea de autenticación reforzada de clientes (Reglamento Delegado (UE) 2018/389) complementa este esquema. El Reglamento (RTS de SCA) exige a los proveedores de servicios de pago mecanismos de autenticación avanzados (doble factor, etc.) y la supervisión de las operaciones para detectar anomalías. En teoría, el cumplimiento riguroso de estas medidas debería prevenir muchos ataques de phishing. Sin embargo, la jurisprudencia actual subraya que la mera existencia de sistemas de seguridad legalmente válidos no exonera automáticamente al banco si el fraude se llevó a cabo. En otras palabras, aún aplicando SCA, corresponde al banco probar que cada paso de la transacción fue correcto.

En efecto, la jurisprudencia española reciente se ha decantado por una visión protectora del usuario en casos de phishing. La Sentencia del Tribunal Supremo 571/2025 (9 abr. 2025, rec. 1151/2023) es paradigmática: desestimó el recurso de casación de Ibercaja, confirmando que el banco debía devolver 56.474,63€ defraudados tras un ataque combinado de suplantación y duplicación de SIM. El Supremo reafirmó que, conforme al art. 45.1 RDL 19/2018, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato. Más aún, sostuvo que la carga de la prueba recae sobre el banco para demostrar la autorización válida de la operación, el correcto funcionamiento de su sistema y la ausencia de fallo o deficiencia. En consecuencia, la Sala señala que “el mero registro por el proveedor de la utilización del instrumento de pago no bastará (…) para demostrar que el usuario ha actuado de manera fraudulenta o por negligencia grave”. Este criterio se acompaña de la conclusión de que solo cabe exonerar al banco en supuestos extremos: fraude del propio cliente (p. ej. entregar voluntariamente sus claves a un tercero) o negligencia grave claramente acreditada.

La STS 49/2020, de 12 de febrero, confirma la responsabilidad civil subsidiaria del artículo 120.3 del Código Penal declarando que la operativa de la banca electrónica conforma un “establecimiento” a estos efectos. En este supuesto se dieron fallos importantes en los sistemas de seguridad de la entidad, puesto que se permitieron transferencias no autorizadas sin que se detectara inmediatamente la simulación de un ingreso. No se aprecia una actuación fraudulenta ni negligencia grave por parte de la víctima, por lo tanto, no se ha vulnerado el principio de igualdad ni las garantías procesales.

Otras instancias judiciales de mérito inferior han seguido la misma línea. Por ejemplo, la Audiencia Provincial de Madrid (Sección 20ª) en la sentencia 184/2022 (20 mayo 2022, rec. 945/2021) condenó a Banco Santander a reintegrar 5.000 € a un cliente víctima de phishing. La Sala consideró que no se había probado negligencia grave del demandante y que la entidad no había adoptado medidas suficientes (p. ej. alertas activas frente a múltiples extracciones consecutivas). De modo similar, la Audiencia de Pontevedra (STS 539/2021, 17 nov. 2021) resolvió que la entidad incumplió sus obligaciones de seguridad y debió reembolsar 14.000 € sustraídos por phishing, pues no se demostró “negligencia grave” del cliente ni aviso adecuado sobre fraudes. En todos estos casos predomina una visión contractual reforzada: el banco, como depositario de los fondos, tiene un deber de conservación especialmente estricto en el entorno digital, que justifica la imputación de responsabilidad cuando un tercero vulnera la seguridad.

Este enfoque jurisprudencial se apoya en la doctrina comunitaria de la imputación del riesgo a los proveedores de pago. Los motivos (72) de la Directiva PSD2 insisten en que la negligencia grave exige algo más que una simple falta: debe ser un “grado significativo de falta de diligencia”. En línea con ello, los tribunales entienden que solo concurren eximentes auténticas cuando el usuario ha incurrido en conducta anormal (por ejemplo, guardar juntas claves y tarjeta). En los demás supuestos, la responsabilidad bancaria prescinde del comportamiento del cliente. Como indica Pérez Guerra ^6, la jurisprudencia crea una “imputación cuasiobjetiva” al banco, pues éste recibe un beneficio económico de los servicios digitales y, por ello, debe asumir el riesgo de los ataques informáticos a sus sistemas.

No obstante, en el análisis de la responsabilidad existe un elemento clave: la carga de la prueba. Tal como enfatiza la doctrina, corresponde al proveedor de pago demostrar el cumplimiento de todas las medidas de seguridad y la falta de culpa del usuario. Esto implica que el banco debe aportar evidencias claras (logs, prueba de SCA, avisos enviados) de que la transacción se efectuó correctamente. Solo en defecto de dicha prueba –y en ausencia de fraude del cliente– se estima incuestionable el derecho al reembolso. En otras palabras, la alegación de la entidad de que utilizó procedimientos legítimos de autenticación no basta por sí sola; debe acreditarse que el usuario autorizó conscientemente la operación.

En definitiva, el régimen de responsabilidad civil aplicable a los bancos en casos de phishing se sustenta en un sistema normativo europeo y nacional que favorece la protección del consumidor. El Real Decreto-ley 19/2018 y la Directiva PSD2 establecen expresamente la devolución obligatoria de las operaciones no autorizadas, sujetando la exoneración del banco a casos excepcionalísimos. Los tribunales españoles, siguiendo esta doctrina, contemplan la obligación de las entidades de reponer íntegramente el dinero sustraído salvo que prueben fraude del cliente o negligencia grave, dejándolos en práctica con poco margen de maniobra (STS 571/2025; AP 184/2022, entre otras).

Conclusiones

El análisis doctrinal y jurisprudencial expuesto conduce a conclusiones claras sobre la responsabilidad civil en casos de phishing bancario en España. En primer lugar, la caracterización jurídica del phishing es la de un delito de estafa informática, encuadrado en el art. 249 del Código Penal. El titular de una cuenta, al ser víctima de un engaño elaborado, no incurre voluntariamente en la pérdida; por ello no se le exige reparar el daño causado por el tercero. El legislador y los jueces españoles aplican así una regla mayor de protección: el cliente no debe soportar las consecuencias económicas de un fraude que él mismo no ocasionó conscientemente.

En segundo lugar, la normativa de servicios de pago (PSD2 y RDL 19/2018) consagra un régimen cuasiobjetivo de responsabilidad del proveedor de servicios de pago. Este enfoque ha sido acogido por la jurisprudencia: el Tribunal Supremo lo considera compatible con los principios básicos del Derecho de obligaciones, dado que el banco disfruta del beneficio de un contrato ventajoso (banca electrónica) y es el más capacitado para prevenir el fraude. En la práctica, esto se traduce en que la entidad debe reembolsar la totalidad de las operaciones no autorizadas, limitando la responsabilidad del usuario a una cantidad fija cuando procede, y ello incluso cuando se han utilizado las claves del cliente.

En tercer lugar, la carga probatoria impuesta por la normativa confiere una ventaja significativa al usuario. La jurisprudencia subraya que es la entidad la que debe demostrar el correcto funcionamiento del sistema de pago y la ausencia de negligencia del cliente. Este estándar eleva el nivel de protección del consumidor: no basta con que el banco alegue haber empleado una autenticación legal; debe probar que, efectivamente, no existió ninguna anomalía técnica ni lagunas de seguridad en su plataforma. Si esa prueba falla, la entidad incurre en incumplimiento de contrato y debe indemnizar al cliente mediante el reintegro del importe.

En cuarto lugar, conviene destacar las excepciones legales. Solo en casos de fraude comprobado del cliente (p. ej. el propio cliente divulga sus claves voluntariamente) o de negligencia realmente grave puede el banco quedar exonerado. Sin embargo, dichas situaciones han de acreditarse de manera estricta. El Tribunal Supremo ha reiterado que la negligencia grave “tiene que significar algo más que la mera negligencia”; por tanto, simples errores o despistes del usuario no alcanzan ese umbral. Además, cláusulas contractuales que pretendan descargar la responsabilidad del banco (o elevar la del consumidor) han sido declaradas nulas por resultar contrarias a la normativa imperativa de servicios de pago.

En quinto lugar, la doctrina concluye que la interpretación conjunta del Derecho penal, de consumo y de servicios de pago crea un sistema integral. Esto permite al cliente víctima de phishing contar con varios caminos de reparación: denunciar el delito informático correspondiente, reclamar extrajudicialmente al banco, o acudir a la vía civil para exigir el reembolso. La finalidad última es incentivar que las entidades bancarias inviertan en seguridad tecnológica y detecten rápidamente las operaciones sospechosas. De hecho, la sentencia de 9 de abril de 2025 subraya la importancia de la diligencia bancaria activa: el banco fue condenado también por no responder ante señales previas de riesgo (mensajes inusuales, transacciones atípicas).

Finalmente, cabe señalar que este régimen de responsabilidad civil viene a equilibrar la conocida desigualdad de información y medios entre usuarios y bancos. El Derecho comunitario ha querido que los bancos, que se benefician de la digitalización para ofrecer servicios, asuman el “riesgo empresarial” de fraudes desconocidos para el cliente. En consecuencia, en la praxis legal española el fraude por phishing no suele recaer sobre la víctima ni se traslada automáticamente al banco: más bien, la banca debe actuar de buena fe reforzada, implementar sistemas de autenticación robustos (como exige el Reglamento Delegado 2018/389) y, en su defecto, responder patrimonialmente por las pérdidas ajenas.

En conclusión, la responsabilidad de las entidades bancarias ante phishing en España es principalmente civil y se basa en una “culpa por omisión” reforzada: el banco debe custodiar diligentemente los fondos ajenos. Tanto la doctrina especializada como la jurisprudencia nacional (STS 571/2025, AP 184/2022, entre otras) han perfilado este paradigma. Solo el dolo o la imprudencia grave del cliente pueden desplazar esta regla general. Por ello, a efectos prácticos, los usuarios que acrediten ser víctimas de phishing y que actúen con diligencia razonable pueden esperar el reembolso inmediato de los importes sustraídos, quedando los bancos obligados a asumir su obligación de seguridad con el máximo rigor.

¹ FERNÁNDEZ TERUELO, Javier Gustavo Fernández. Respuesta penal frente a fraudes cometidos en Internet: estafa, estafa informática y los nudos de la red. Revista de derecho penal y criminología, 2007, no 19, p. 217-243.

² CALVO SAN JOSÉ, María José. La responsabilidad civil de los bancos en los delitos de estafa por “phishing. Actualidad jurídica iberoamericana, 2023, vol. 18, p. 1788-180

³ CALVO SAN JOSÉ, María José. La responsabilidad civil…”, op. cit., p. 1788-1809.

⁴ DOMINGO MONFORTE, José. Abusos financieros. Estafa. Diario La Ley, 2022, no 9987, p. 2.

⁵ ALCALÁ, Miguel. El phishing bancario y responsabilidad de las entidades financieras. Tirant (dossier disponible en línea), 2025.

⁶ PÉREZ GUERRA, Miguel Ángel. Ciberdelitos y responsabilidad civil de las entidades financieras a la luz de la jurisprudencia. Revista de derecho del mercado de valores, 2021, no 29, p. 12.

Referencias

ALCALÁ, Miguel. El phishing bancario y responsabilidad de las entidades financieras. Tirant (dossier disponible en línea), 2025.

CALVO SAN JOSÉ, María José. La responsabilidad civil de los bancos en los delitos de estafa por “phishing. Actualidad jurídica iberoamericana, 2023, vol. 18, p. 1788-1809.

DOMINGO MONFORTE, José. Abusos financieros. Estafa. Diario La Ley, 2022, no 9987, p. 2.

FERNÁNDEZ TERUELO, Javier Gustavo Fernández. Respuesta penal frente a fraudes cometidos en Internet: estafa, estafa informática y los nudos de la red. Revista de derecho penal y criminología, 2007, no 19, p. 217-243.

PÉREZ GUERRA, Miguel Ángel. Ciberdelitos y responsabilidad civil de las entidades financieras a la luz de la jurisprudencia. Revista de derecho del mercado de valores, 2021, no 29, p. 12.

Legislación

•Código Penal. Real Decreto Legislativo 10/1995, de 23 de noviembre (España). Boletín Oficial del Estado.

•Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior (PSD2). DOUE L 337/35.

•Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, relativo a las normas técnicas de regulación para la autenticación reforzada del cliente (SCA) y estándares de comunicación seguros. DOUE L 65/1.

•Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera. Boletín Oficial del Estado, 23 nov. 2018, núm. 286, pp. 124680–124838.

Jurisprudencia

•Tribunal Supremo (Sala Civil), sentencia núm. 571/2025, de 9 de abril de 2025 (Rec. 1151/2023).

•Audiencia Provincial de Madrid (Sección 20ª), sentencia núm. 184/2022, de 20 de mayo de 2022 (Rec. 945/2021).

•Tribunal Supremo (Sala Primera), sentencia núm. 291/2021, de 7 de abril de 2021 (caso de red de phishing).

•Tribunal Supremo (Sala Primera), sentencia núm. 49/2020, de 12 de febrero de 2020 (estafa informática).

•Tribunal Supremo (Sala Primera), sentencia núm. 539/2021, de 21 de diciembre de 2021 (Rec. 1234/2020).