El Tribunal Supremo ha emitido una sentencia clave que refuerza la protección de los consumidores frente al fraude bancario digital. En una resolución de gran relevancia jurídica, ha dictaminado que las entidades bancarias deben asumir la responsabilidad en los casos de sustracción de fondos mediante técnicas como el SIM Swapping, siempre que el cliente no haya incurrido en negligencia grave.
El caso que origina este fallo afecta a Ibercaja Banco S.A., tras una estafa en la que se realizaron 15 transferencias no autorizadas en una sola noche, utilizando una tarjeta SIM duplicada en Murcia perteneciente a la esposa del afectado, quien residía en Zaragoza. Las operaciones fraudulentas, que alcanzaron los 83.000 euros, fueron realizadas a través de la banca digital, tras un claro episodio de suplantación de identidad.
Una decisión con base europea
El magistrado Manuel Almenar Belenguer, ponente de la sentencia, se ha apoyado en la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo sobre servicios de pago en el mercado interior, más conocida como PSD2, para fundamentar el deber de responsabilidad de los proveedores de servicios de pago. Esta normativa establece que, si el usuario no ha actuado de forma fraudulenta o con negligencia grave, el banco debe reembolsar de forma inmediata cualquier operación no autorizada.
La Sala de lo Civil ha subrayado que el usuario tiene el deber de custodiar adecuadamente sus credenciales, pero una vez detectada una operación sospechosa y notificada al banco, es éste quien debe reaccionar con medidas de protección adecuadas. En este caso, el afectado notificó irregularidades con antelación —como accesos extraños a su correo y SMS sospechosos—, y la entidad no tomó ninguna medida de prevención.
Cambio de paradigma en la jurisprudencia
El Supremo deja claro que la autenticación técnica de una operación —como el doble factor o el registro en sistemas internos— no basta para demostrar que fue autorizada por el cliente. La entidad debe probar que el cliente participó activamente en la operación o actuó de forma imprudente. En ausencia de esta prueba, el banco debe reintegrar el importe sustraído, en este caso, más de 56.000 euros.
Asimismo, la sentencia afirma que las cláusulas que eximen a los bancos de responsabilidad en operaciones no autorizadas deben considerarse nulas, lo que supone un cambio importante en la interpretación contractual de los servicios financieros.
Un precedente importante frente al fraude electrónico
Esta resolución del Supremo sienta jurisprudencia y representa una advertencia clara a las entidades financieras, obligándolas a implementar sistemas de seguridad más proactivos y a asumir su papel como garantes del dinero de sus clientes. En un contexto donde las estafas por SIM Swapping, phishing y suplantaciones van en aumento, esta sentencia refuerza los derechos del consumidor ante delitos digitales cada vez más complejos.
Además, coincide con el esfuerzo del Gobierno de España y el Ministerio de Transformación Digital por combatir el fraude electrónico, como lo demuestra la reciente prohibición de las llamadas comerciales no solicitadas o el desarrollo de normativas de ciberseguridad más estrictas.
En definitiva, esta sentencia marca un punto de inflexión: la tecnología avanza, y con ella, también lo hace la obligación de los bancos de proteger a sus clientes. Y si fallan en esa protección, ahora deberán responder con su propio bolsillo.
