-1.png?width=300&height=300&name=Logo%20Redes%20Halloween%20(1)-1.png "Editorial Jurídica Sepin")
El pasado 9 de abril la Sala 1ª del Tribunal Supremo dictó una esperada sentencia sobre la responsabilidad bancaria en casos de phishing.
Se trata de la sentencia 571/2025, de 9 de abril, que es relevante ya que es la primera que analiza el tema de la negligencia grave en casos de estafas por phishing y las medidas de seguridad que deben adoptar las entidades bancarias.
Esta resolución da respuesta a tres cuestiones clave que desarrollamos a continuación:
¿En qué consiste el régimen de responsabilidad cuasi objetiva establecido en la Ley de Servicios de Pago?
La reciente sentencia del Tribunal Supremo que analizamos aclara uno de los conceptos fundamentales relacionados con los fraudes bancarios, el concepto de responsabilidad cuasi objetiva, estableciendo que, conforme al Real Decreto-ley 19/2018 y la Directiva (UE) 2015/2366, cuando se producen estos fraudes la carga de la prueba corresponde al proveedor de los servicios de pago, es decir, a la entidad bancaria. De esta forma, cuando un cliente niega haber autorizado una operación de pago ya ejecutada, o alega que se realizó de manera incorrecta, corresponde al banco probar que la operación fue autenticada, registrada con exactitud y autorizada por el cliente. El simple registro no es suficiente para demostrar el consentimiento del ordenante ni que el usuario ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave.
Por lo tanto, el banco debe devolver el dinero si el cliente niega haber autorizado la operación, salvo que pruebe fraude o negligencia grave.
En contexto de los fraudes bancarios; ¿Qué debe entenderse por deficiencia del servicio?
La deficiencia del servicio se extiende a cualquier actuación, omisión o funcionamiento incorrecto por parte de la entidad bancaria que implique un incumplimiento de sus obligaciones legales, contractuales o de diligencia profesional en la prestación de servicios a sus clientes.
La sentencia del TS de 9-4-2025 deja claro que no se limita a un error o fallo del sistema informático, sino que la deficiencia del servicio alcanza a cualquier falta de diligencia o mala praxis en la prestación del servicio, que obliga a elevar el nivel de diligencia a un plano superior como es el del ordenado y experto comerciante.
Así, si la entidad no reacciona ante señales claras de fraude como puede ser transferencias inusuales, por ejemplo, en estos casos, y de acuerdo con la resolución de nuestro Alto Tribunal puede entenderse que ha existido una prestación defectuosa del servicio, aunque no haya habido un fallo técnico.
Y es que las buenas prácticas exigen que los bancos adopten todas las medidas de seguridad para prevenir los ciberfraudes. Esto implica que, ante la existencia de indicios de operaciones anómalas o inusuales, la entidad debe activar alertas automáticas o bloqueos temporales de la cuenta para proteger a sus clientes.
El acceso por un tercero a las claves de la banca digital ¿supone negligencia por parte del usuario?
El Alto Tribunal señala que el hecho de que la filtración o el conocimiento de las claves por el tercero no sea imputable a la entidad bancaria no la libera de obligación de responder ni traslada al usuario la obligación de soportar las pérdidas, ya que el proveedor de servicios de pago, además de demostrar que el servicio se prestó correctamente debe acreditar la concurrencia de fraude o incumplimiento deliberado o gravemente negligente por parte del usuario.
Para el TS el hecho de que el titular de la cuenta informase de forma inmediata al personal de la entidad de ciertas anomalías (recepción en su dispositivo móvil de SMS en los que se indicaban códigos para validar transferencias desde su cuenta y que él no había solicitado) demuestran que actúo de forma diligente.
Por el contrario, la pasividad por parte del empleado de la banca, que tras conocer tales hechos nada hizo y que hubieran debido motivar una reacción inmediata (cuando menos por la modificación de las claves y/o códigos) evidencian la defectuosa prestación del servicio por parte del proveedor, que no tomó en consideración la información recibida pese a su gravedad, y no adoptó medidas que posibilitaran la detección de eventuales maniobras fraudulentas.
En Sepín son muchos los meses que llevamos haciendo un seguimiento de este fenómeno, que por desgracia se repite con demasiada frecuencia como evidencian los datos oficiales sobre ciberseguridad, que indican un aumento alarmante y acelerado de los delitos relacionados las estafas informáticas.
Estas preguntas y muchas más se pueden encontrar en la guía práctica "Phishing y fraude bancario: claves del éxito para el abogado" que acabamos de publicar y que se encuentra disponible en nuestra tienda online.