Las entidades bancarias deben asumir las pérdidas por estafas digitales salvo que el cliente actúe con negligencia grave
El Tribunal Supremo se pronuncia
El Tribunal Supremo (TS), mediante su sentencia nº 571/2025, de 9 de abril, ha confirmado que las entidades bancarias deben asumir la responsabilidad por fraudes digitales del tipo «SIM swapping«, salvo que se acredite una negligencia grave por parte del cliente. Este pronunciamiento se enmarca dentro de una línea jurisprudencial que refuerza la protección del usuario de servicios financieros digitales, especialmente en casos donde ha actuado con diligencia.
El caso concreto: fraude mediante duplicado de tarjeta SIM
Los hechos objeto del litigio se inician cuando un cliente bancario sufre el acceso no autorizado a su correo electrónico. Tras modificar la contraseña, continúa recibiendo mensajes de confirmación de operaciones que no ha ordenado. Al comunicar lo sucedido a su entidad bancaria, esta no detiene la operativa ni extrema medidas de seguridad. Finalmente, se ejecutan cargos por valor de casi 84.000 euros, empleando para ello una tarjeta SIM duplicada sin autorización del titular.
Aunque la entidad logra recuperar algo más de 27.000 euros, el afectado decide demandar al banco por incumplimiento contractual, alegando que no se garantizó adecuadamente la seguridad del servicio de banca digital ni de su cuenta corriente.
La sentencia de instancia y la postura de la audiencia provincial
En primera instancia, el juzgado estima la demanda, entendiendo que el banco debe reintegrar el importe defraudado, dado que no quedó acreditada una actuación negligente grave por parte del cliente. La resolución enfatiza que los usuarios no están obligados a prever ni identificar las nuevas formas de fraude digital y que, ante la ausencia de culpa grave, el proveedor del servicio debe asumir las consecuencias del fallo.
La audiencia provincial confirma la condena. En su valoración, señala que el fraude fue cometido por terceros que duplicaron la tarjeta SIM de la esposa del perjudicado, accediendo así a información confidencial y controlando su banca digital, configurando una estafa del tipo «SIM swapping». Añade que el banco no detectó el fraude, no reaccionó adecuadamente tras ser alertado, y no extremó las medidas de seguridad.
Argumentos del banco en su recurso de casación
La entidad bancaria interpone recurso de casación, alegando que las operaciones fueron correctamente ejecutadas según los procedimientos pactados, incluyendo el doble factor de autenticación: acceso con clave personal y confirmación mediante código temporal por SMS enviado al número facilitado por el cliente.
Según su defensa, si un tercero obtuvo y utilizó las credenciales a través del móvil del actor, la responsabilidad no debería recaer sobre la entidad, dado que no puede controlar el uso indebido de los dispositivos del cliente.
Doctrina del Tribunal Supremo sobre la responsabilidad en fraudes digitales
El Tribunal Supremo desestima el recurso y reitera su doctrina conforme a la normativa comunitaria, señalando que:
- El usuario debe proteger diligentemente sus credenciales y notificar de inmediato cualquier uso no autorizado de su instrumento de pago.
- Cuando se comunica una operación no autorizada, el proveedor debe rectificarla y reembolsar el importe sin demora, salvo que acredite que el usuario actuó de forma fraudulenta o con negligencia grave.
- Corresponde al proveedor demostrar que la operación fue autorizada, correctamente registrada y no afectada por fallos técnicos o del sistema.
- El hecho de que la operación haya sido registrada en los sistemas del proveedor no implica que fuera autorizada por el usuario ni prueba por sí solo la negligencia de este.
Análisis del caso resuelto
En este supuesto, el Supremo concluye que el cliente actuó con diligencia, al comunicar los hechos a su entidad en reiteradas ocasiones. La entidad bancaria, en cambio, no detectó ni previno la maniobra fraudulenta, pese a haber sido alertada.
Aunque el conocimiento de las claves por parte de un tercero no es imputable directamente a la entidad, esto no exime a la misma de su obligación de respuesta, ya que tampoco se ha acreditado que el usuario actuara con fraude o negligencia grave. En consecuencia, la pérdida debe ser asumida por el banco, que no prestó un servicio conforme a los estándares de seguridad exigibles.
consulta o descarga la sentencia aquí
Haz clic aquí para descargar la sentencia nº 571/2025 del Tribunal Supremo, de 9 de abril reseñada en este artículo.
En resumen…
Esta decisión consolida la jurisprudencia que impone a las entidades bancarias el deber de asumir las consecuencias de las estafas digitales, salvo prueba de culpa grave o fraude por parte del cliente. El fallo refuerza la exigencia de estándares altos de diligencia en los servicios financieros digitales, especialmente en contextos donde el usuario ha actuado conforme a sus deberes de seguridad y notificación.
En definitiva, el principio de protección del cliente financiero prevalece cuando este demuestra un comportamiento diligente, y se exige al banco la carga de la prueba para exonerarse de responsabilidad en fraudes como el «SIM swapping».
¿Quieres recibir el mejor asesoramiento en materia económica, fiscal, mercantil o laboral? En Moya&Emery podemos ayudarte
No olvides que en Moya&Emery contamos con un equipo multidisciplinar de profesionales que pueden ofrecerte el asesoramiento que necesitas en materia fiscal, mercantil y laboral y los asuntos que más te interesen. No lo dudes y ponte en contacto con Moya&Emery
Llámanos para concertar cita o envía un correo a info@moyaemery.com y nos pondremos en contacto contigo.
También puedes visitar nuestras oficinas:
- C/ Pere Dezcallar i Net, 11 (Palma)
- C/ Córdoba, 2 (Son Caliu)
www.moyaemery.com
