El Tribunal Supremo se pronuncia sobre la responsabilidad de los bancos en casos de phishing

El pasado 9 de abril de 2025, la Sala 1ª del Tribunal Supremo dictó una esperadísima sentencia. Hasta ahora, no teníamos resoluciones de nuestro Alto Tribunal abordando  la concreta responsabilidad de las entidades financieras  en casos de phishing, en cualquiera de sus formas, y nos veíamos abocados a la alusión constante de sentencias de nuestras Audiencias Provinciales que resolvían, generalmente, a favor del usuario de medios de pago cuando éste, habiendo informado a la mayor brevedad al banco de que había sufrido una detracción patrimonial fraudulenta, no había incurrido en actuaciones gravemente negligentes o fraudulentas que conllevaran al perfeccionamiento de la estafa.

Pues bien, la STS 571/2025 mantiene la doctrina menor en la materia y da la razón al cliente que ha sido víctima de phishing, confirmando la obligación del banco de responder de las cuantías defraudadas.

En este post, los abogado experto en phishing de Despacho Jurídico Valero Cuadra, analizan de forma sintética esta trascendente sentencia que, con total seguridad, abre la veda a la consolidación jurisprudencial de la doctrina en materia de responsabilidad de los bancos por pagos realizados con motivo de fraudes informáticos.

¿Quién debe responder por las operaciones de pago no autorizadas?

Tras un pormenorizado análisis de la normativa comunitaria y nacional (Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior, el Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017 y el Real Decreto Ley 19/2018, de servicios de pago, de transposición de la referida Directiva), así como de la jurisprudencia comunitaria recaída en la materia (STJUE de 2 de septiembre de 2021 (C-337/20), sobre el grado de diligencia exigible al usuario), nuestro Tribunal Supremo enumera la siguientes conclusiones:

1. OBLIGACIONES DEL USUARIO (art. 41 RDLSP): “El usuario de servicios de pago debe adoptar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas y, en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, ha de notificarlo al proveedor de servicios de pago de manera inmediata, tan pronto tenga conocimiento de ello.”
2. OBLIGACIÓN DE RECTIFICACIÓN POR PARTE DEL BANCO EN OPERACIONES DE PAGO NO AUTORIZADAS (art. 45.1 RDLSP): “En caso de que se produzca una operación de pago no autorizada o ejecutada incorrectamente, si el usuario de servicios de pago se lo comunica sin demora injustificada, el proveedor debe proceder a su rectificación y reintegrar el importe de inmediato, salvo que tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España.”
3. CARGA DE LA PRUEBA DE LA AUTENTICACIÓN DE LA OPERACIÓN (art. 44.1 RDLSP): “Cuando un usuario niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, incumbe al proveedor la carga de demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago”.
4. CARGA DE LA PRUEBA DEL FRAUDE Y LA NEGLIGENCIA GRAVE DEL USUARIO (art. 44.2 y 3 RDLSP): “El mero hecho del registro por el proveedor de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones, correspondiendo al proveedor la prueba de que el usuario del servicio de pago cometió fraude o negligencia grave.”

Responsabilidad cuasi objetiva del banco y negligencia grave del cliente

Así, la responsabilidad del proveedor de los servicios de pago, es decir, el banco, cuando estamos ante operaciones no autorizadas o ejecutadas incorrectamente, tiene carácter cuasi objetivo, en doble sentido:

1º “(…) notificada la existencia de una operación no autorizada o ejecutada incorrectamente, el proveedor debe responder salvo que acredite la existencia de fraude;

2º (…) cuando el usuario niegue haber autorizado la operación o alegue que ésta se ejecutó incorrectamente, corresponde al proveedor acreditar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio, sin que el simple registro de la operación baste para demostrar que fue autorizada ni que el usuario ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave.”

Es decir, en casos de phishing, el banco responderá del dinero defraudado cuando el cliente informe de la existencia de la operación de pago no autorizada tan pronto tenga conocimiento de éste y no concurra en el usuario negligencia grave.

Si quieres saber más sobre el grado de diligencia exigible al cliente en materia de ciberfraudes, te recomendamos la lectura de nuestro artículo “Reclamación por phishing: La negligencia grave del usuario en fraudes informáticos”.

Grado de diligencia exigible al banco. El concepto de operaciones no autorizadas y mala praxis financiera

No hay que olvidar que la base del sistema de responsabilidad en estos casos es el riesgo inherente a la facilitación por parte de las entidades financieras a sus clientes de medios de pago electrónicos, es decir, el propio servicio prestado por los bancos que, evidentemente, es susceptible de fallos técnicos y deficiencias en el servicio.

Sobre lo anterior, es de gran interés la interpretación realizada en la sentencia que analizamos ya que, partiendo de una conceptualización de operaciones no autorizadas (señalando que en éstas se incluyen “aquellas que se han iniciado con las claves de usuario y contraseña del usuario -necesarias para acceder al sistema de banca digital- y confirmado mediante la inserción del SMS enviado por el propio sistema al dispositivo móvil facilitado por el usuario, siempre que éste niegue haberlas autorizado, en cuyo caso el banco deberá acreditar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio que presta.”), aborda la diligencia exigible al proveedor de los servicios de pago (el banco).

Señala nuestro Supremo que “la mención «deficiencia del servicio» no significa error o fallo del sistema informático o electrónico -posibilidad que estaría prevista en el concepto de «fallo técnico»-, sino que abarca cualquier falta de diligencia o mala praxis en la prestación del servicio, en el entendimiento de que el grado de diligencia exigible al proveedor de los servicios de pago no es el propio del buen padre de familia, sino que la naturaleza de la actividad y los riesgos que entraña el servicio que se presta, sobre todo en una relación empresario/consumidor, obliga a elevar el nivel de diligencia a un plano superior, como es el del ordenado y experto comerciante.” y añade  que “las buenas prácticas pasan por adoptar las medidas de seguridad necesarias para garantizar el correcto funcionamiento del sistema de servicios de pago, entre las cuales destacan las orientadas a detectar de forma automática la concurrencia de indicios de que puede tratarse de una operación anómala y generar una alerta o un bloqueo temporal (v.gr. reiteración de transferencias sin solución de continuidad, horario en que se producen, importe de las mismas, destinatarios, antecedentes en el uso de la cuenta…), o las dirigidas a incrementar el control y vigilancia cuando se han recibido noticias o alertas de un posible aumento del riesgo.

De esta forma, la diligencia exigible al banco comprende la adopción de medidas de prevención y detección de operaciones anómalas, de modo que el fallo técnico o deficiencia en el servicio señalada en la norma no sólo alude a cuestiones técnicas, como pudieran ser fallos de seguridad en los sistemas.

En Despacho Jurídico Valero Cuadra somos abogados en expertos en estafas informáticas . Si has sido víctima de phishing  o cualquier otra estafa cometida a través de la tecnología, y necesitas un abogado experto en phishing, cuéntanos tu caso y te ayudaremos a recuperar el dinero que te han defraudado.