Baker Tilly Spain
Close
Webinar: Hacer negocios en España: una guía fiscal para gestionar tu empresa
¡Regístrate!
Adobe Stock 497954909
Publicaciones

Responsabilidad de los bancos ante phishing y fraudes online

Alicia Riverola Comín 28 may 2025
Artículo
Fiscal y Legal

Phishing y responsabilidad bancaria. STS 571/2025, de 9 de abril.

Hará unos tres años que me llegó el primer tema de phishing. La entidad bancaria se negaba a devolver importe alguno. Alguien se había apropiado de los datos de acceso de la banca online de mi clienta y había contratado tarjetas de crédito y ordenado transferencias bancarias. Le vaciaron la cuenta. El banco no bloqueó ninguna operación ni retrocedió los fondos en cuanto se le notificó el fraude. Fue el primero de muchos casos. Amigos y conocidos. La tipología de la estafa cambia, pero el resultado es el mismo. Cuentas bancarias vacías, desconcierto y culpabilidad del estafado y una negativa contumaz de los bancos a devolver el dinero. "Es su culpa, le han engañado a usted."

Hace tres años no había casi sentencias al respecto, pero tuve la suerte de encontrar la maravillosa sentencia redactada en gallego de la Audiencia de Pontevedra de 7 de abril de 2021 (Id Cendoj: 36057370062021100128) que me marcaría el camino. El recién horneado Real Decreto Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera aún no contaba con jurisprudencia y estaba ansioso por hacerse oír en salas. A mí me dio por leerlo, por aquello de ser jurista. Y me pareció muy claro: el banco debe asumir la responsabilidad de las pérdidas por estafas a menos que pruebe que hubo estafa o negligencia grave del Cliente. Expuse esa idea en una demanda de 50 páginas, por aquello de ser civilista y, hace pocos meses me llegó una sentencia preciosa del Juzgado de Primera Instancia nº 31 de Barcelona, de la magistrada, Judit Peries, que nos decía lo siguiente:

"Cabe destacar y reconocer que cualquier persona, cualquier de nosotros puede ser víctima de este delito cibernético o de cualquier otra estafa, sin que pueda presumirse como parece que hace la entidad bancaria, que por el hecho que un usuario sea víctima de este tipo de estafas ha incurrido en una conducta imprudente o negligente que exoneraría de responsabilidad civil a la entidad bancaria. Con ello, el legislador prevé esa indemnidad del usuario en casos de este tipo de estafa por el que terceros consiguen ejecutar operativas bancarias no consentidas por sus titulares en base a este tipo de suplantación de identidad. La entidad debe probar una conducta negligente grave en el usuario o una conducta fraudulenta, sin que por supuesto, el mero hecho de ser víctima o padecer el engaño pueda ser considerada conducta negligente en sí misma. Tampoco puede presumirse del hecho de ser víctima de estas estafas que el usuario no ha custodiado correctamente sus claves o dispositivos de pago. La entidad bancaria no acredita estos dos supuestos de exoneración legal de responsabilidad civil."

Claro que me gustó esa sentencia, me daba la razón (!!), pero además es que fija con mucha valentía el concepto de la obligación de proteger al ciudadano cuando es víctima de la estafa responsabilizando a la entidad gestora de los medios de pago de las pérdidas que haya podido sufrir. El hecho de ser víctima de una estafa no te atribuye la culpa de la pérdida patrimonial.

Por fin, y hace dos días, el Supremo resuelve por primera vez sobre el tema en la STS 571/2025, de 9 de abril (Id cendoj:28079110012025100563). Esta sentencia invoca las directivas y reglamentos europeos que dan origen a esta normativa protectora y establece la responsabilidad de la entidad bancaria, no solo por un defecto de seguridad, al no haber detectado las operaciones fraudulentas (muchas transferencias seguidas, en horas intempestivas y siendo una operación poco habitual), sino también por no haber adoptado medidas correctoras una vez el Cliente les notifica el fraude, y, fundamentalmente por no demostrar la concurrencia de fraude o incumplimiento deliberado o grave por parte del usuario:

"El hecho de que la filtración o el conocimiento de las claves por el tercero no sea imputable a la entidad bancaria tampoco la libera de obligación de responder ni traslada al usuario la obligación de soportar las pérdidas, ya que el proveedor de servicios de pago, además de demostrar que el servicio se prestó correctamente -lo que no sucedió-, debía acreditar la concurrencia de fraude o incumplimiento deliberado o gravemente negligente por parte del usuario, y, en relación con este extremo, las sentencias de instancia y de apelación coinciden en que no se ha probado fraude ni incumplimiento doloso o por negligencia grave de las obligaciones que correspondían al demandante, y, en concreto, las de tomar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas y de notificar al proveedor de servicios de pago la utilización no autorizada del instrumento de pago, tan pronto tuvo conocimiento de ello, lo que así hizo, participando las tentativas de acceso a su cuenta con una antelación de tres semanas. Obsérvese que, contra lo que mantiene por la recurrente, el que un tercero hubiera podido acceder a las claves de acceso a la banca digital del demandante no supone per se que haya incurrido en negligencia alguna, pudiendo existir múltiples explicaciones, muchas de las cuales resultan difícilmente atribuibles a título de negligencia, y menos aún, de negligencia grave."

Lamentablemente, las estafas bancarias son cada vez más frecuentes y falta información al respecto. El criminal es un profesional que se dedica a inventar constantemente nuevas formas de engaño digital. Compran datos y usurpan identidades. Son capaces de llamarte desde el número oficial de tu entidad bancaria o hacer una reproducción exacta de su página web. Invierten muchos recursos en esta tipología delictiva y es que es una modalidad delictiva que les permite estar lejos del lugar del crimen, eludir responsabilidades penales y obtener dinero con relativa facilidad.

Es un tema que me preocupa y quiero que la gente esté alerta, así que lo comento. Con todo el mundo. Cualquier excusa me vale. ¿A qué planta vas? A la novena, por cierto, sabes que hay una nueva estafa en la que ... Voy a la comisaría de los MMEE a hacer una asistencia y lo comento. Me fijo en que tienen una bandeja detrás del mostrador, con una etiqueta que pone "estafas bancarias". Desbordan los papeles. Me dice que no paran, que justo esa mañana una señora ... y qué ayer otro señor ... que no dan abasto. Lo mismo Guardia Civil y Policía Nacional. Y todos coinciden, la mayoría de casos se acaban archivando por falta de recursos para investigar.

Así que, sí, me parece bien que se proteja al consumidor, para los que esa sustracción puede suponer la pérdida de todos sus ahorros y que carecen (carecemos) de capacidad para defenderse completamente frente a la profesionalidad de esos ataques. Se sienten vulnerables, estúpidos y con miedo ante la invasión y el engaño sufrido. Les corresponde a las entidades bancarias que se lucran con la actividad de banca online, adoptar las medidas necesarias y suficientes para evitar los fraudes, y, sobre todo, deben actuar con mucha rapidez cuando el usuario les notifica la sustracción. He visto demasiadas ocasiones en las que, tras la notificación del fraude, la entidad no realiza ninguna actuación encaminada a parar las operaciones. Solo instan a su Cliente a denunciar los hechos a las autoridades. Ni acuerdan retrocesos de orden, ni contactan con las entidades receptoras de fondos para que paren la operación. 

Nada. Y ello, cuando una actuación rápida hubiera sido decisiva para evitar la pérdida. También les digo, hay entidades y entidades, y algunas se hacen oír más que otras.

¿Tienes alguna pregunta?
Baker Tilly en el mundo
$5,62 bn
ingresos mundiales
143
territorios
698
oficinas
43.515
Profesionales

Publicaciones

Artículo Sostenibilidad (ESG)
Real Decreto 214/2015 de huella de carbono: cuadro resumen de obligaciones
Jordi Martínez 27 may 2025
Artículo Sostenibilidad (ESG)
Nuevo calendario CSRD
Jordi Martínez 27 may 2025
Artículo Sostenibilidad (ESG)
Recordatorio: Planes de Movilidad Sostenible en Cataluña
Cristina Gascón 27 may 2025
Sostenibilidad (ESG)
Actualización de la norma UNE 19601 de compliance penal
Jordi Martínez 27 may 2025
Sostenibilidad (ESG)
El Reglamento (UE) 2024/3110 revoluciona el sector de la construcción
Alberto Pociello 27 may 2025
Artículo Fiscal y Legal
IRPF y administradores: nueva interpretación del TEAC sobre dietas
Arantxa Hernández 23 may 2025
Artículo Laboral
Impacto legal y empresarial del apagón eléctrico de abril
Daniel López 19 may 2025
Artículo Fiscal y Legal
Ayudas para el material escolar en Cataluña 2025
Raquel Sánchez 19 may 2025
Artículo Laboral
Permiso parental de 8 semanas en España
Ana Ascanio 16 may 2025
Newsletter de Baker Tilly
Conoce las últimas novedades que pueden afectar a tu empresa
Suscríbete