La transformación digital del sistema financiero ha permitido una expansión sin precedentes de los servicios de banca 'online'. Esta evolución tecnológica, sin embargo, ha traído aparejada una creciente exposición de los usuarios a delitos informáticos, suplantaciones de identidad y operaciones de pago no autorizadas.
En este contexto, la responsabilidad de las entidades bancarias se configura como un eje fundamental de protección para el consumidor.
A través del presente artículo, analizamos en profundidad las obligaciones legales de los bancos, la jurisprudencia aplicable, el marco normativo vigente y las vías efectivas de defensa frente a fraudes digitales, todo ello reforzado con el análisis de la reciente sentencia del Tribunal Supremo 571/2025, que marca un antes y un después en esta materia.
La generalización del uso de la banca digital ha expuesto a los usuarios a nuevas formas de fraude. Estas prácticas, perpetradas por organizaciones cada vez más sofisticadas, incluyen:
• Phishing: engaños a través de correos electrónicos falsos que simulan provenir de la entidad bancaria.
• Smishing: fraude similar al phishing pero realizado mediante mensajes SMS.
• Vishing: llamadas telefónicas fraudulentas donde el atacante se hace pasar por el banco.
• SIM swapping: duplicación de la tarjeta SIM de la víctima para interceptar los códigos de verificación.
• Skimming y clonación de tarjetas: copiado de la información de la banda magnética de tarjetas bancarias.
• Accesos no autorizados a banca online mediante vulneraciones informáticas o ingeniería social.
Todas estas modalidades pueden culminar en operaciones de pago no autorizadas. Ante estas situaciones, la duda recurrente es: ¿quién debe asumir el perjuicio económico derivado del fraude?
La normativa europea y nacional vigente establece de forma contundente que, ante una operación no autorizada, el proveedor de servicios de pago –en la mayoría de los casos, la entidad bancaria– es responsable del reembolso inmediato de las cantidades sustraídas, salvo que logre acreditar:
Este principio se encuentra recogido en:
• Directiva (UE) 2015/2366 (PSD2).
• Reglamento Delegado (UE) 2018/389, que desarrolla técnicamente las exigencias de autenticación reforzada.
• Real Decreto-ley 19/2018, de transposición de la PSD2 al ordenamiento español.
• Código Civil español, en relación con la responsabilidad contractual y el deber de diligencia.
Los bancos están sujetos a un estándar de diligencia propio de un profesional experto, muy superior al que se exigiría a un ciudadano medio. No basta con disponer de sistemas de seguridad formalmente válidos: deben ser sistemas eficaces en la detección de operaciones anómalas.
La sentencia del Tribunal Supremo 571/2025 recuerda que la entidad bancaria tiene el deber de:
• Implementar medidas técnicas que detecten y bloqueen operaciones sospechosas.
• Reaccionar ante alertas previas del cliente.
• Formar a su personal y a sus clientes en prácticas seguras.
• Evitar cláusulas abusivas que pretendan exonerar su responsabilidad.
El Tribunal Supremo resuelve un caso paradigmático. Un cliente de Ibercaja sufrió un fraude digital tras ser víctima de un acceso no autorizado a su correo electrónico y de un duplicado de la tarjeta SIM de su esposa, mediante el cual los delincuentes accedieron a su banca electrónica y ejecutaron 15 transferencias fraudulentas, por un total de 83.692,73 €. A pesar de las alertas previas del cliente, el sistema del banco no reaccionó.
La entidad alegó que las transferencias habían sido validadas por sistema de doble autenticación (códigos SMS) y que el cliente tenía obligación de proteger sus dispositivos. Además, se escudó en una cláusula contractual que pretendía eximirla de responsabilidad.
El Tribunal Supremo:
Se condenó a la entidad al reintegro de 56.474,63 €, más intereses.
A raíz de esta sentencia y del marco normativo vigente, se derivan varias conclusiones fundamentales:
Se aconseja lo siguiente, ante cualquier sospecha de fraude:
1. Recoger pruebas inmediatamente: pantallazos, correos, mensajes, horarios de movimientos.
2. Comunicar por escrito al banco lo antes posible, solicitando explicaciones técnicas.
3. Presentar denuncia policial para acreditar la existencia del fraude.
4. Reclamar ante el Banco de España, si la respuesta del banco es insatisfactoria.
5. Valorar acción judicial en defensa de los derechos del cliente, con base en el marco normativo y la jurisprudencia más reciente.
La confianza del consumidor en el sistema bancario depende, en buena medida, de la existencia de garantías jurídicas efectivas frente a fraudes digitales.
La evolución tecnológica de los delitos exige una respuesta firme y coherente por parte de las entidades financieras y del ordenamiento jurídico. El Tribunal Supremo, con la Sentencia 571/2025, ha reafirmado el principio esencial de que la seguridad no puede trasladarse al usuario y que los bancos deben asumir su posición de garantes del sistema.
Si usted ha sido víctima de un fraude bancario, no está solo: tiene derecho a ser defendido y la ley está de su lado.
Javier Guerrero Guerrero
Guerrero & Asociados, Abogados