Phishing y Smishing: Los Bancos, Responsables Ante Fraudes Digitales
En un entorno digital, cada vez más expuesto a sofisticadas formas de fraude como el phishing y el smishing, la Justicia española ha establecido un auténtico punto de inflexión en la protección del consumidor financiero. El Tribunal Supremo ha redefinido la responsabilidad de las entidades bancarias frente a estos fraudes sufridos por sus clientes, fijando una doctrina contundente: siempre que el usuario no haya incurrido en negligencia grave, el banco estará obligado a reintegrar las cantidades sustraídas por estafas digitales.
De este modo, las entidades financieras asumen el deber de responder por los perjuicios cuando no han implantado medidas de seguridad eficaces para prevenir el acceso no autorizado a las cuentas de sus clientes. La carga de la prueba recae ahora sobre los bancos, quienes deben acreditar una conducta gravemente imprudente por parte del usuario para eximirse de responsabilidad, lo que refuerza la obligación de anticipar, vigilar y actuar con máxima diligencia ante las amenazas digitales.
Este precepto no solo ofrece una protección efectiva a los consumidores, sino que también redefine el equilibrio de responsabilidades en los servicios financieros digitales españoles, sentando las bases para una banca más segura, transparente y orientada a la confianza del usuario.
Sentencia del Tribunal Supremo 571/2025, de 9 de abril
La Sentencia nº 571/2025, de 9 de abril del Tribunal Supremo resuelve un caso paradigmático de fraude bancario digital perpetrado a través de la técnica conocida como SIM swapping. Los hechos acreditados detallan cómo los delincuentes duplicaron la tarjeta SIM de la esposa del perjudicado, tras obtener sus credenciales de acceso a la banca electrónica a través de una campaña de phishing, accediendo a su información confidencial y asumiendo el control de la banca digital de la víctima. Aprovechando este acceso, los delincuentes ejecutaron en una sola noche quince transferencias fraudulentas por un importe superior a 80.000 euros, sin que los sistemas de alerta del banco detectasen actividad anómala. Incluso tras avisos previos del cliente sobre SMS sospechosos y advertencias de seguridad, la entidad bancaria no reforzó las medidas preventivas ni bloqueó cuentas o accesos comprometidos.
El Tribunal Supremo basa su decisión en varios argumentos clave, que refuerzan la responsabilidad de la entidad financiera:
- Carga de la prueba: el Supremo reafirma que, ante una operación bancaria no autorizada, corresponde al banco probar que el cliente fue gravemente negligente o actuó de forma fraudulenta. El Tribunal considera que el simple hecho de haber caído en la trampa del phishing no constituye una negligencia grave por parte del cliente y que el banco debe acreditar que no existió ningún fallo o deficiencia en sus sistemas y que actuó con la debida diligencia.
- Respuesta deficiente del banco: se valora negativamente que el sistema de alertas fallase y que la entidad no respondiera diligentemente ante las primeras señales de advertencia, agravando el perjuicio económico sufrido por la víctima. El fallo subraya que los bancos tienen la obligación de contar con sistemas de seguridad capaces de detectar patrones de comportamiento sospechosos.
- Nulidad de cláusulas exoneratorias: el Tribunal rechaza la validez de cláusulas contractuales que exoneran globalmente al banco, declarando que no pueden contravenir la normativa imperativa de protección al usuario de servicios de pago.
Real Decreto-ley 19/2018 y Normativa Europea de Servicios de Pago (PSD2) como Base Jurídica
El Real Decreto-ley 19/2018, de 23 de noviembre, junto con la Directiva (UE) 2015/2366 (PSD2), constituyen el pilar normativo fundamental de la regulación actual sobre servicios de pago en España. Estas normas fueron creadas específicamente para adecuar el marco legal a los progresos tecnológicos, fortaleciendo la protección del usuario, su seguridad y la obligación de las entidades frente a posibles fraudes en el entorno digital.
Esta normativa busca reforzar la protección de los consumidores en operaciones electrónicas, introduciendo tres pilares clave:
- Autenticación reforzada: las entidades financieras están obligadas a implementar sistemas de autenticación reforzada para cualquier operación significativa, como pagos o accesos a cuentas, exigiendo combinaciones de contraseña y código SMS. Esto dificulta el éxito de fraudes como el phishing, smishing y SIM swapping, ya que eleva el nivel de exigencia en la identificación del usuario.
- Limitación de responsabilidad para el cliente: La ley reduce la responsabilidad máxima del usuario afectado por un pago no autorizado a 50 euros, salvo casos de negligencia grave por su parte. Además, los proveedores de servicios de pago están obligado a atender y resolver cualquier reclamación presentada en un máximo de 15 días hábiles.
- Obligaciones del proveedor de servicios de pago: las entidades deben garantizar la seguridad de los instrumentos de pago y tener procedimientos sólidos para detectar y actuar frente a usos fraudulentos o no autorizados. Se refuerza también la obligación de ofrecer información clara y accesible a los usuarios, así como procedimientos ágiles para la resolución de disputas y reclamaciones.
El régimen sancionador incluido en la norma contempla sanciones para aquellas entidades que no cumplan las obligaciones de seguridad y protección establecidas. La implantación de la PSD2 en España busca, además, crear un marco armonizado a nivel europeo, favoreciendo tanto la confianza como la transparencia en el sector financiero.
En conjunto, tanto el Real Decreto-ley 19/2018 como la PSD2 refuerzan la protección del usuario y establecen un estándar de diligencia para bancos y proveedores de servicios de pago, sirviendo como base legal para las recientes decisiones jurisprudenciales que fortalecen la responsabilidad de los bancos ante fraudes digitales.
Consecuencias Para Particulares y Entidades Financieras
La evolución normativa en materia de servicios de pago y la creciente atención del legislador y los tribunales a la protección frente a fraudes digitales han generado consecuencias de gran relevancia para todos los actores del sistema financiero, modificando de forma sustancial la relación entre los usuarios y las entidades bancarias.
Para los particulares, este nuevo marco representa un avance significativo en la salvaguarda de sus derechos e intereses. Los consumidores cuentan ahora con una protección más sólida frente a amenazas digitales como el phishing, el smishing o el SIM swapping, con la seguridad de que, en caso de producirse una operación no autorizada, su responsabilidad económica quedará limitada, salvo que se acredite una negligencia grave por su parte. Además, se han racionalizado los procedimientos de reclamación, exigiéndose a las entidades financieras que ofrezcan una respuesta rápida y eficaz, lo que agiliza la recuperación de los fondos sustraídos y refuerza la confianza en el ecosistema digital.
Por su parte, las entidades financieras se enfrentan ahora a un marco normativo y jurisprudencial mucho más exigente, que les impone una responsabilidad reforzada en materia de fraude digital. Las organizaciones están obligadas, no solo a implementar sistemas de autenticación reforzada y tecnologías para identificar transacciones inusuales, sino también a llevar a cabo una supervisión constante de sus plataformas, mejorar continuamente sus procesos y perfeccionar los canales de atención e información al cliente. Ya no es suficiente con demostrar que los sistemas técnicos funcionaron correctamente, conforme a la doctrina consolidada por el Tribunal Supremo, recae sobre la entidad la carga de probar que actuó con la máxima diligencia y que el cliente incurrió, en su caso, en un comportamiento gravemente negligente. Esta inversión de la carga probatoria representa un cambio profundo en la forma de abordar los conflictos vinculados a fraudes digitales.
A ello se suma un régimen sancionador más estricto. El incumplimiento de las obligaciones impuestas por la normativa vigente puede acarrear consecuencias económicas significativas y daños reputacionales considerables para las entidades, especialmente en un entorno caracterizado por una alta competencia y una sensibilidad creciente a la confianza del usuario. Este nuevo escenario, en consecuencia, actúa como motor de transformación para el sector financiero, impulsando la mejora continua de los estándares de seguridad, prevención y atención al cliente.
En definitiva, el actual marco legal y jurisprudencial configura un escenario más equilibrado entre la protección del consumidor y las obligaciones de la banca. Se consolida así un modelo basado en la confianza, la transparencia y la responsabilidad compartida, que no solo contribuye a hacer frente con mayor eficacia a los riesgos del entorno digital, sino que también fortalece la solvencia del sistema y garantiza un entorno más seguro para el desarrollo de los servicios financieros en la era tecnológica.
