Estafas bancarias
Ls STS 1671/2025 y el régimen de responsabilidad de las entidades bancarias en casos de phishing: un paso definitivo hacia la protección del usuario
Cada vez en más ocasiones los usuarios de servicios bancarios nos vemos obligados a utilizar la banca electrónica y los medios de pago digitales.

1.- La problemática de las ciberestafas bancarias (especialmente el phishing)
Cada vez en más ocasiones los usuarios de servicios bancarios nos vemos obligados a utilizar la banca electrónica y los medios de pago digitales.
Los ciberdelincuentes no son ajenos a este fenómeno y ello ha propiciado que las estafas bancarias hayan aumentado exponencialmente en los últimos años, especialmente las relacionadas con el phishing bancario (que consiste en suplantar la identidad del banco de diversas formas para obtener las claves y datos personales de los usuarios con la finalidad de acceder y apropiarse de sus fondos depositados en el banco de diversas formas: transferencias, pagos por Bizum, creación de tarjetas virtuales o pagos realizados con las tarjetas de crédito de la víctima.
Ya la Directiva (UE)2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior afirmaba que: “En los últimos años, han aumentado los riesgos de seguridad de los pagos electrónicos, debido a la mayor complejidad técnica de estos, el incesante incremento del volumen de pagos electrónicos en todo el mundo y los nuevos tipos de servicios de pago. Disponer de servicios de pago fiables y seguros es condición esencial para el buen funcionamiento del mercado de servicios de pago, por lo que los usuarios de esos servicios deben gozar de la debida protección frente a tales riesgos. Los servicios de pago son esenciales para el mantenimiento de actividades económicas y sociales de vital importancia.”
Esta directiva fue traspuesta al ordenamiento español mediante el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera que establece un régimen de responsabilidad cuasi objetivo de las entidades bancarias para los casos de pagos no consentidos por el usuario, de forma que la entidad bancaria debe devolver al cliente el importe de estos pagos.
Sin embargo, de forma reiterada los bancos deniegan las reclamaciones previas de las víctimas de estos delitos que, de la noche a la mañana, se ven desprovistos de sus fondos mediante pagos que ellos no han autorizado.
Los tribunales no han puesto remedio a esta circunstancias, pues no son pocas las Sentencias que, a lo largo y ancho de nuestra geografía, aprecian negligencia en los clientes víctimas de phishing y estafas bancarias (por no apreciar que no custodiaron debidamente sus credenciales) y terminan denegando el reintegro de los fondos.
Aun así, otros órganos jurisdiccionales han puesto cordura en el debate y aprecian esta responsabilidad de los bancos establecida tanto en la citada directiva como en la normativa nacional y condenan a los bancos a devolver a los usuarios el dinero objeto de los pagos no consentidos. Es el caso, por ejemplo, de la Sentencia 369/2023 de 9 de junio de la AP Ourense (Sección 1ª) y que además resume de forma brillante la normativa y jurisprudencia en la materia.
En este contexto se ha dictado la reciente Sentencia del Tribunal Supremo (Sala Primera) núm. 1671/2025, de 9 de abril objeto del presente análisis.
Esta sentencia muestra una importante evolución en el tratamiento jurídico de las operaciones no autorizadas derivadas de fraudes por phishing, específicamente en la modalidad de duplicado de SIM (SIM swapping). Este fallo constituye un avance en la consolidación de un régimen de responsabilidad cuasi objetiva para las entidades financieras, y pone de manifiesto la necesidad de que los bancos adopten medidas de protección activa y no meramente pasiva frente a los crecientes riesgos del entorno digital.
2. Los hechos del caso: más allá del consentimiento aparente
El demandante, cliente de Ibercaja Banco S.A., sufrió una serie de transferencias no autorizadas que se ejecutaron entre la noche del 17 y la mañana del 18 de marzo de 2021 por un importe superior a 83.000 euros. Las transferencias se efectuaron a través de Bizum y de la plataforma de banca digital Ibercaja Directo, utilizando los datos de autenticación del titular y los códigos de confirmación enviados mediante SMS.
No obstante, previamente a la ejecución de estas operaciones, el cliente había advertido al banco de diversas señales de riesgo: había recibido mensajes SMS de confirmación de operaciones que no había solicitado, había sufrido cargos no autorizados en su cuenta vinculados a servicios de Google y, días antes, su esposa recibió un correo alertando de un intento de acceso no autorizado a su cuenta. Esta cadena de hechos fue comunicada al banco en tiempo y forma, solicitando la cancelación de la tarjeta y medidas de seguridad adicionales.
A pesar de ello, el banco no adoptó ninguna medida preventiva. No bloqueó la operativa, no reforzó la autenticación, ni siquiera emitió una alerta. Fue otra entidad bancaria (Banco Santander), la que advirtió a Ibercaja de una transferencia sospechosa, lo que permitió descubrir el fraude. Solo entonces se inició el procedimiento de recuperación de los fondos, con éxito parcial.
3. La cuestión jurídica: ¿basta con cumplir formalmente los protocolos?
La cuestión que el Tribunal Supremo aborda con profundidad es si el cumplimiento formal de los protocolos de autenticación —usuario, contraseña y código SMS— exime a la entidad bancaria de responsabilidad cuando el cliente niega haber autorizado las operaciones y se han vulnerado las medidas de seguridad mediante suplantación de identidad.
La respuesta es clara: no.
El Alto Tribunal recuerda que, conforme al artículo 36 del Real Decreto-ley 19/2018, en concordancia con la Directiva PSD2 (UE) 2015/2366 y su desarrollo reglamentario (Reglamento Delegado UE 2018/389), una operación solo puede considerarse autorizada si el usuario ha dado su consentimiento real, no meramente formal. Y si el cliente niega haber autorizado la operación, la carga de la prueba recae en el banco, que debe demostrar no solo que la operación fue autenticada, registrada y ejecutada correctamente, sino también que no se vio afectada por fallos técnicos o deficiencias del servicio prestado (art. 44 RDL 19/2018).
En este sentido, el Tribunal Supremo es contundente: el hecho de que las operaciones fueran validadas mediante credenciales correctas no basta para considerar que el consentimiento fue otorgado por el titular, sobre todo cuando concurren indicios de fraude previamente comunicados por el usuario.
4. El estándar de diligencia: del buen padre de familia al ordenado y experto comerciante
Uno de los aportes más significativos de la sentencia es la definición del nivel de diligencia exigible a las entidades bancarias en el contexto digital. Se supera la clásica referencia al "buen padre de familia" para establecer que el banco, como profesional del sector, debe actuar conforme al estándar del "ordenado y experto comerciante".
Esto implica que la entidad no puede limitarse a verificar que se introdujeron correctamente usuario, contraseña y código, sino que debe analizar el contexto de la operación: volumen, frecuencia, horario, destinatarios, historial del cliente, etc. No es razonable que no se active ninguna alerta ante quince transferencias nocturnas consecutivas, por importes elevados, cuando días antes el cliente ya había reportado intentos de acceso no autorizados.
Así indica la Sentencia que: “[…] la expresión «operaciones no autorizadas» incluye aquellas que se han iniciado con las claves de usuario y contraseña del usuario -necesarias para acceder al sistema de banca digital- y confirmado mediante la inserción del SMS enviado por el propio sistema al dispositivo móvil facilitado por el usuario, siempre que éste niegue haberlas autorizado, en cuyo caso el banco deberá acreditar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio que presta.
A este respecto, la mención «deficiencia del servicio» no significa error o fallo del sistema informático o electrónico -posibilidad que estaría prevista en el concepto de «fallo técnico»-, sino que abarca cualquier falta de diligencia o mala praxis en la prestación del servicio, en el entendimiento de que el grado de diligencia exigible al proveedor de los servicios de pago no es el propio del buen padre de familia, sino que la naturaleza de la actividad y los riesgos que entraña el servicio que se presta, sobre todo en una relación empresario/consumidor, obliga a elevar el nivel de diligencia a un plano superior, como es el del ordenado y experto comerciante”.
Además, el propio Reglamento Delegado (UE) 2018/389 exige a los proveedores de servicios de pago implementar mecanismos de supervisión y detección de operaciones inusuales, en función del comportamiento habitual del cliente.
En este orden de consideraciones la Sentencia señala que: “[…] las buenas prácticas pasan por adoptar las medidas de seguridad necesarias para garantizar el correcto funcionamiento del sistema de servicios de pago, entre las cuales destacan las orientadas a detectar de forma automática la concurrencia de indicios de que puede tratarse de una operación anómala y generar una alerta o un bloqueo temporal (v.gr. reiteración de transferencias sin solución de continuidad, horario en que se producen, importe de las mismas, destinatarios, antecedentes en el uso de la cuenta...), o las dirigidas a incrementar el control y vigilancia cuando se han recibido noticias o alertas de un posible aumento del riesgo.”
5. Negligencia grave del usuario: carga probatoria y exclusión de responsabilidad
Otro punto clave es que, conforme al artículo 46 del RDL 19/2018, solo se puede excluir la responsabilidad del banco cuando se demuestre que el usuario ha incurrido en negligencia grave o fraude. Esta prueba también recae sobre la entidad financiera.
En el caso resuelto, la Sala descarta la negligencia grave del cliente, destacando que actuó con prontitud y diligencia: cambió contraseñas, alertó al banco, denunció ante las autoridades y solicitó medidas de seguridad. Frente a ello, la pasividad del banco refuerza su posición de responsabilidad.
El fallo también deja sin efecto la cláusula contractual de exoneración de responsabilidad incluida en el contrato de banca digital, al considerar que vulnera la normativa imperativa de protección al consumidor, y, por tanto, es ineficaz.
6. Conclusión: un cambio de paradigma hacia la prevención activa
En palabras de José Ramón Oulego, socio director de la firma Oulego Abogados y Consultores, “la STS 1671/2025 representa un paso decidido en la consolidación de un modelo de responsabilidad preventivo, proactivo y centrado en la protección del usuario. Los bancos no pueden limitarse a verificar credenciales. Deben analizar el contexto, los indicios de fraude y actuar cuando el riesgo es evidente”.
Esta evolución responde no sólo a la creciente sofisticación de los ciberdelitos, sino también al desequilibrio informativo y técnico entre entidad y cliente. Por ello, el sistema legal, en coherencia con el derecho europeo, exige a los bancos algo más que cumplimiento formal: exige responsabilidad, previsión y reacción.