[Actualizado en mayo de 2025] Cuando apenas han transcurrido unos pocos meses desde que analizamos la responsabilidad de los bancos frente al phishing y otros fraudes digitales en este artículo, el Tribunal Supremo ha emitido una sentencia clave (STS 1671/2025, de 9 de abril) que refuerza la protección a los usuarios frente a estos delitos.

En esta sentencia, el Tribunal Supremo establece que los bancos son responsables de demostrar que las operaciones de pago fueron autorizadas de manera segura y explícita por el usuario, y que no hubo fallos en su sistema de seguridad que permitieran el fraude. Además, aclara que la negligencia grave por parte del cliente debe ser manifiesta y evidente, y que la carga de la prueba recae sobre la entidad bancaria, lo que significa que el banco debe demostrar que el cliente actuó de manera imprudente al manejar sus credenciales. Si no es capaz de probar tales extremos, el banco responderá del daño causado por la ciberestafa.

Patricia Sahuquillo Mondría, abogada de Sebastiá Abogados y Economistas, analiza la responsabilidad de los bancos en los casos de fraudes bancarios y ciberestafas.

El avance de las tecnologías y el aumento de las transacciones digitales han dado lugar a un aumento alarmante de los fraudes bancarios. Entre las prácticas más comunes empleadas por los ciber-delincuentes, destaca la suplantación de identidad a través de modalidades como el Phising, el Smishing, el Vishing o el SIM-Swapping, en las que, por medio de engaño, los estafadores consiguen que las víctimas introduzcan sus datos personales en páginas web fraudulentas (creadas ad hoc para perpetrar la estafa) o que faciliten estos datos de manera inconsciente en llamadas telefónicas en las que las víctimas son astutamente manipuladas.

Estos ciber-delincuentes han llegado, incluso, a duplicar tarjetas SIM de usuarios con el fin de interceptar los códigos de verificación que envían los propios bancos. 

Este tipo de ciberestafas están afectando a miles de usuarios en todo el mundo, exponiendo las vulnerabilidades de los sistemas financieros y obligando a las entidades bancarias a reforzar sus medidas de seguridad. 

Ciberestafas: ¿operaciones autorizadas por el usuario?

Sin embargo, la realidad es que muchas entidades no aplican estas medidas con el nivel de exigencia adecuado, lo que aumenta el riesgo de fraude y pone en peligro la seguridad financiera de los clientes. Además, gran parte de las entidades bancarias tratan de eludir su responsabilidad argumentando que la operación fue autorizada por el usuario —de lo que no aportan prueba alguna—, lo que les facultaría, según su criterio, a no devolver los fondos sustraídos. 

En este escenario, deviene fundamental conocer los derechos de los usuarios, la responsabilidad de los proveedores de servicios de pago y el marco legal que protege a los afectados. 

El Real Decreto-Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (LSP), establece un régimen de responsabilidad civil cuasi-objetiva que impone a las entidades bancarias o proveedores de estos servicios de pago la obligación de restituir a los clientes las cantidades sustraídas en operaciones fraudulentas, salvo que se pruebe la negligencia grave del usuario o que ha sido el propio usuario el responsable de una acción fraudulenta. 

De esta normativa, conviene destacar dos de sus preceptos. En primer lugar, el artículo 45 LSP, que establece que, si una operación de pago no ha sido autorizada por el usuario, las entidades bancarias deben devolver inmediatamente al cliente el importe defraudado. Y, en segundo lugar, el artículo 46 LSP, que impone la carga de la prueba a la propia entidad financiera: a ella le corresponde acreditar que el usuario ha incumplido gravemente con su obligación de custodia de las claves o credenciales de seguridad o, lo que es lo mismo, que ha actuado con negligencia grave. 

"Negligencia grave"

El Tribunal Supremo, en sus sentencias 379/2019, de 23 de julio, y 51/2020, de 17 de febrero, ha reforzado esta obligación de las entidades bancarias, aclarando, en todo caso, qué debe entenderse por "negligencia grave" del usuario frente a este tipo de estafas informáticas. 

Los tribunales han interpretado de manera restrictiva este concepto de "negligencia grave" (esto es, en favor de los usuarios) y han destacado, además, que la sofisticación de estas modalidades de fraude informático hace que resulten difícilmente detectables por la mayoría de los usuarios promedio. 

La Sala Penal del Tribunal Supremo tiene declarado, además, que el “phishing” es una estafa informática en la que se integran todos los elementos del tipo penal del actual artículo 249 CP (en la sentencia en cuestión se hacía referencia al antiguo art. 248.2, vigente en aquel momento): el ánimo de lucro, la manipulación informática, el acto de disposición y el engaño bastante. Con respecto al “engaño bastante” el Tribunal Supremo afirma que “el engaño no tiene que quedar neutralizado por una diligente actividad de la víctima”.

A lo que habría añadido que no debe atribuirse indebidamente sobre los perjudicados, los usuarios, la responsabilidad de comportamientos en los que la intención de engañar es manifiesta y el autor ha conseguido su objetivo, que es lucrarse en perjuicio de su víctima. 

Ideas que se han ido asentando entre nuestros tribunales y que han promovido sentencias como la de la Audiencia Provincial de Madrid de 19 de abril de 2024, que habría definido la "negligencia grave" del usuario como “una conducta que se produce por iniciativa del usuario y no por consecuencia del engaño realizado por un delincuente profesional”.

Obligación de restituir las cantidades defraudadas en la ciberestafa

De todo ello se puede deducir que la existencia de un engaño bastante sería suficiente para que el usuario no fuera considerado culpable de ese acceso ilegítimo a sus cuentas bancarias, lo que permite atribuir a la entidad bancaria la obligación de restituir las cantidades defraudadas. Ello con una única salvedad, ya apuntada antes: que se acredite que el usuario actuó con fraude o negligencia grave en la protección de sus credenciales y en la comunicación del pago no autorizado.

La finalidad de este sistema de responsabilidad es evitar el abuso por parte de las entidades bancarias que, no en pocas ocasiones, se desentienden del problema, trasladando la culpa al cliente y dejándolo totalmente desprotegido; sobre todo teniendo en cuenta que las denuncias (vía penal) que se interponen no tienen mucho recorrido y acaban archivándose por imposibilidad de identificar a los autores. Algo que deja solamente como vía “eficaz” la de reclamar al banco por lo civil. 

En SEBASTIÁ Abogados y Economistas hemos podido constatar que el éxito en la devolución de los fondos sustraídos frente al banco está íntimamente ligado a la actuación sin demora y al asesoramiento especializado desde el primer momento. Las actuaciones aisladas del usuario suelen ser ignoradas por las entidades bancarias, que se “lavan las manos” ante estas situaciones. 

Patricia Sahuquillo Mondría

Abogada de Sebastiá Abogados y Economistas