El Supremo, en ocasiones, toma decisiones a favor de los ciudadanos. En una sentencia que marca un antes y un después en la protección de los usuarios bancarios frente al fraude digital, el Tribunal Supremo ha declarado que son las entidades financieras las responsables de reponer de inmediato las cuantías sustraídas de cuentas corrientes por estafas en Internet o vía móvil, salvo que demuestren que el cliente incurrió en una negligencia grave. El fallo, fechado el 9 de abril y firmado por el magistrado Manuel Almenar Belenguer, asienta una doctrina que refuerza la obligación de la banca de elevar sus estándares de seguridad y diligencia para detectar operaciones anómalas y bloquear fraudes, en aplicación directa de la Directiva europea de servicios de pago y su trasposición al derecho español.
El caso que dio origen al litigio tuvo por escenario una cuenta de Ibercaja, de la cual se sustrajeron 83.600 euros en quince transferencias y pagos por Bizum ejecutados en plena madrugada tras un ataque de phishing y duplicación fraudulenta de la tarjeta SIM de la esposa del cliente. Aun cuando el usuario notificó de inmediato al banco, tras recibir alertas de Google sobre accesos no autorizados a su correo y códigos SMS de validación, Ibercaja sólo logró recuperar algo más de 27.000 euros y rechazó reintegrar el resto, alegando que las órdenes habían sido “correctamente autorizadas” por quien se identificó con las credenciales legítimas.
Hace cuatro años, Diario16+ publicó en exclusiva los movimientos de la entidad aragonesa en relación con fraudes digitales a personas mayores en un caso similar al que ha dado lugar a esta sentencia.
El Supremo desestimó el recurso de casación de la entidad y confirmó la nulidad de la cláusula que eximía al banco de responsabilidad, pues la normativa impone a las entidades de pago una responsabilidad casi objetiva: deben devolver íntegramente las operaciones no autorizadas “de inmediato o a más tardar al final del siguiente día hábil” desde la reclamación del usuario, a menos que prueben que éste actuó con dolo o negligencia grave (por ejemplo, dejando sus claves anotadas junto a la tarjeta). En el caso analizado, no existió prueba alguna de grave descuido por parte del cliente: el acceso fraudulento a sus claves no le puede imputar responsabilidad, y la mera validez técnica de la doble autenticación (usuario y SMS) no equivale a un consentimiento verdadero cuando el sistema ha quedado comprometido.
La sentencia subraya que la banca debe reforzar sus sistemas de control automático para identificar patrones inusuales —importe elevado, frecuencia atípica, operaciones en horarios intempestivos o destinos poco habituales— y disparar alertas que detengan la cadena fraudulenta o exijan verificaciones adicionales. “Los avances de la tecnología actual hacen relativamente sencillo diseñar sistemas o aplicaciones informáticas idóneas para detectar ciertas anomalías en la prestación de los servicios de pago…”, señala el fallo, que añade que no puede considerarse “normal e irrelevante” que un cliente que nunca opera de madrugada realice diecisiete movimientos consecutivos en esas horas.
Con esta resolución, el Alto Tribunal recoge y amplía la doctrina de la Audiencia Provincial de Zaragoza de noviembre de 2022, otorgando firmeza a la exigencia de un estándar de diligencia reforzada por parte de los bancos. La decisión protege al usuario ante técnicas de suplantación —phishing, SIM swapping, malware— que permitan a terceros el acceso ilegítimo a credenciales. A partir de ahora, salvo que la entidad aporte indicios claros de que el cliente incumplió gravemente sus obligaciones, la restitución de fondos será automática, sin que el usuario deba soportar el riesgo de las vulnerabilidades de los sistemas de pago.
El pronunciamiento del Tribunal Supremo se convierte así en referencia obligada para juzgados y audiencias que tramiten reclamaciones por fraude digital, agilizando la resolución de conflictos y garantizando que la carga de la prueba recaiga sobre quien ostenta los medios técnicos y organizativos para prevenir el delito. A la vez, envía un mensaje contundente a las entidades: la era del “no podemos responder porque se autorizaron con clave y SMS” ha concluido. La banca debe invertir en herramientas de monitorización inteligente y protocolos de autenticación dinámica, o asumir las consecuencias económicas de cada caso de fraude que se produzca en sus plataformas.
Para los consumidores, la sentencia supone la tranquilidad de saber que, si actúan con la mínima diligencia de informar “tan pronto como tengan conocimiento” de movimientos extraños, recuperarán por completo su dinero sin litigios prolongados. Para los bancos, implica un desafío tecnológico y operativo: diseñar e implantar sistemas de detección de anomalías que, en palabras del fallo, incluyan controles sobre “número y sucesión de operaciones, intervalo, hora del día, importe o entidades de destino” capaces de generar avisos automáticos y frenar transferencias sospechosas antes de que consumen el perjuicio.
La jurisprudencia 571/2025 no solo aclarará miles de expedientes en curso, sino que establecerá el listón mínimo de seguridad exigible en la prestación de servicios de pago. En un entorno crecientemente digitalizado, la responsabilidad de la banca como garante de la integridad de las transacciones se refuerza: ya no bastará con ofrecer mecanismos de autenticación, sino que deberán demostrar de forma proactiva que velan eficazmente por la seguridad de sus clientes.