diariolaley - Documento

Comentarios de jurisprudencia

Ciberdelincuencia, suplantación de la identidad de un cliente («phishing») y responsabilidad civil del banco: Sentencia de la Sala Primera de lo Civil del Tribunal Supremo núm. 571/2025, de 9 de abril de 2025

2025/05/08

Tapia Hermida, Alberto Javier

Este artículo recoge un comentario telegráfico de la Sentencia de la Sala Primera de lo Civil del Tribunal Supremo núm. 571/2025, de 9 de abril de 2025 que nos parece una resolución paradigmática (un «leading case») en la jurisprudencia civil y penal sobre la ciberdelincuencia y, en particular, sobre los fraudes informáticos en el mercado bancario. Avanzamos un resumen del comentario detallado de esta Sentencia que se publicará en el próximo número de la Revista de Derecho Digital e Innovación de LA LEY.

I. Importancia de la Sentencia de la Sala Primera de lo Civil del Tribunal Supremo núm. 571/2025, de 9 de abril de 2025

Nos parece que esta Sentencia tiene una transcendencia especial por las siguientes razones: primera, porque desarrolla con particular claridad una exposición exhaustiva de la normativa europea y española sobre los servicios de pago en un caso de ciberdelincuencia; segunda, porque aplica de forma materialmente justa la doctrina de la imputación de responsabilidad por el riesgo empresarial; y, tercera, porque sienta jurisprudencia en el tormentoso mundo de las intromisiones informáticas crecientes en las cuentas bancarias de los consumidores —de las que cualquier cliente bancario puede dar fe— y la completa indefensión en las que se encuentran los usuarios frente a las plataformas digitales.

II. Identificación de la Sentencia núm. 571/2025

La Sentencia núm. 571/2025, de 9 de abril de 2025 (LA LEY 85950/2025) desestima el recurso de casación interpuesto por Ibercaja Banco S.A., contra la Sentencia n.^o 996/2022, de 17 de noviembre, dictada por la Sección 5.ª de la Audiencia Provincial de Zaragoza en el recurso de apelación n.^o 20/2022 (LA LEY 343535/2022), que confirma en un litigio que versaba sobre la suplantación de identidad («phishing»). En concreto, se trataba de cinco transferencias a través de la banca digital y otras doce operaciones de Bizum; realizadas al amparo del contrato de banca electrónica «Ibercaja Directo», dos de las cuales se anularon al superar el máximo diario.

III. Antecedentes procesales

En la gestión del fraude bancario digital sufrido por el actor, las sucesivas instancias judiciales apreciaron incumplimiento de las obligaciones contractuales asumidas por Ibercaja Banco S.A. en el contrato de banca a distancia y contrato de cuenta corriente y/o depósitos; ocasionando daños y perjuicios al demandante por importe de 56.474,63 euros, más los intereses dejados de percibir por dicha cantidad desde que se efectuaron las transferencias fraudulentas los días 17 y 18 de marzo de 2021. En efecto:

a) El Juzgado de Primera Instancia n.^o 7 de Zaragoza dictó Sentencia n.^o 292/2021, de 29 de octubre que estimo la demanda y condeno al banco demandado a abonar al actor la cantidad reclamada. Esta estimación se produjo tras un examen exhaustivo de la legislación aplicable y el análisis detallado de la actuación del demandante y de la demandada que le llevaron a concluir: «aunque el sistema de banca electrónica de la demandada y la operativa del mismo se adecua a la legislación aplicable, lo cierto es que, al no haberse acreditado negligencia grave del usuario, la entidad bancaria debe responder del reintegro de las cantidades dispuestas de forma fraudulenta, sin que corresponda a los clientes/usuarios prevenir ni averiguar las modalidades de riesgos que el sistema conlleva».
b) La Sección 5.ª de la Audiencia Provincial de Zaragoza, dictó Sentencia de fecha 17 de noviembre de 2022 en la que desestima el recurso de apelación del banco demandado por razones fácticas y jurídicas: En cuanto a los hechos, la Audiencia declara probado que las transferencias fueron realizadas por delincuentes, que duplicaron la tarjeta SIM de la esposa del perjudicado, accediendo a la información confidencial almacenada en ella y tomando el control de su banca digital, en lo que se conoce como una modalidad de estafa denominada «SIM swapping». En cuanto a lo jurídico, la Audiencia recuerda que la Ley de Servicios de Pago establece un sistema de responsabilidad cuasi objetiva de la entidad proveedora de los servicios de pago, conforme al cual, tratándose de operaciones no autorizadas, salvo actuación fraudulenta, incumplimiento deliberado o negligencia grave del ordenante, la responsabilidad será del proveedor del servicio de pago.

IV. La normativa europea y española sobre los servicios de pago y la jurisprudencia del TJUE que la interpreta

El Fundamento de Derecho Segundo de la Sentencia comienza su razonamiento sentando las bases de la normativa europea y española sobre los servicios de pago y la jurisprudencia del TJUE que la interpreta:

a) En cuanto a la normativa europea, transcribe la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior (LA LEY 20018/2015), que derogó la Directiva 2007/64/CE (LA LEY 12159/2007), en sus considerandos (7, 70, 71, 72, 91 y 96) y artículos (64, 69, 70, 71 y 72) pertinentes para resolver el recurso. Así como los preceptos pertinentes del Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017 (LA LEY 22944/2017), por el que se complementa la Directiva (UE) 2015/2366 (LA LEY 20018/2015) del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros.
b) En lo que se refiere a la normativa española, reproduce preceptos del Real Decreto Ley 19/2018, de 23 de noviembre (LA LEY 18608/2018), de servicios de pago y otras medidas urgentes en materia financiera, cuyos arts. 36 y 41 a 46 reproducen casi miméticamente los preceptos de la Directiva.
c) Por último, y en cuanto a la jurisprudencia del TJUE que interpreta la Directiva (UE) 2015/2366 (LA LEY 20018/2015), cita los apartados pertinentes de la Sentencia del Tribunal de Justicia de 2 de septiembre de 2021(C-337/20) que, con ocasión de examinar el alcance del art. 58 de la anterior Directiva 2007/64 (LA LEY 12159/2007), aporta —siquiera sea de modo indirecto— unas pautas orientativas sobre la diligencia exigible al usuario de los servicios de pago.

V. Interpretación de la Sala: un «vademécum» para los bancos y sus clientes

El análisis de la normativa europea y española sobre los servicios de pago y la jurisprudencia del TJUE que la interpreta le permite a la Sala, llegar a las conclusiones siguientes, que expone en el Fundamento de Derecho Segundo de la Sentencia:

«1.º El usuario de servicios de pago debe adoptar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas y, en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, ha de notificarlo al proveedor de servicios de pago de manera inmediata, tan pronto tenga conocimiento de ello.
2.º En caso de que se produzca una operación de pago no autorizada o ejecutada incorrectamente, si el usuario de servicios de pago se lo comunica sin demora injustificada, el proveedor debe proceder a su rectificación y reintegrar el importe de inmediato, salvo que tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España.
3.º Cuando un usuario niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, incumbe al proveedor la carga de demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago.
4.º El mero hecho del registro por el proveedor de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones, correspondiendo al proveedor la prueba de que el usuario del servicio de pago cometió fraude o negligencia grave».

VI. Circunstancias de caso: el cliente no incurrió en un incumplimiento deliberado o en una negligencia grave y el Banco gestionó el incidente digital con negligencia

El Fundamento de Derecho Segundo de la Sentencia nos dice: «La secuencia fáctica permite observar que (i) tres semanas antes, el demandante informó a la entidad de la recepción en su dispositivo móvil de diversos mensajes SMS en los que se indicaban otros tantos códigos para validar transferencias desde su cuenta y que él no había solicitado; (ii) en fechas 27 de febrero y 2 y 12 de marzo de 2021, Google Play y Google Ads realizaron varios cargos no autorizados en la cuenta titularidad de D. Martin y su esposa en Ibercaja Banco S.A., utilizando su tarjeta VISA, lo que el demandante comunicó a la entidad bancaria; (iii) el 16 de marzo, D.ª Estefanía recibió un email de Google en la que se alertaba de que "Alguien acaba de usar tu contraseña para intentar iniciar sesión en tu cuenta", por lo que procedió a cambiar la contraseña, y, al día siguiente, 17 de marzo, el actor acudió a la oficina bancaria, donde informó sobre lo sucedido y solicitó la cancelación de la tarjeta y la emisión de otra nueva; y (iv) en la noche del 17 al 18 de marzo de 2021, se realizaron quince transferencias bancarias desde la cuenta corriente titularidad de D. Martin y sus padres, de las cuales diez lo fueron a través de la plataforma Bizum (por importe de 500 €cada una) y cinco a través de la plataforma de banca electrónica "Ibercaja Directo" (por importes de 28.970€, 19.870 €, 9.876 € y dos de 9.870 € cada una). Estos precedentes ponían de manifiesto, para cualquier observador medio, razonablemente atento y perspicaz, y más aún, para un empleado de banca, que alguien había conseguido acceder a las cuentas del actor, y, por ende, que disponía de sus claves de usuario y contraseña, lo que hubiera debido motivar una reacción inmediata, que pasaba cuando menos por la modificación de las claves y/o códigos. Nada se hizo. Al no adoptarse medida de protección alguna, tan solo restaba que los autores encontraran la manera de eludir el último obstáculo, esto es, la vía para recibir directamente el código de confirmación de la operación».

VII. Conclusión: Desestimación del recurso de casación del Banco y condena al pago de los daños reclamados por el cliente

La Sentencia concluye su razonamiento en cuando su Fundamento de Derecho Segundo dice: «Llegado este punto, nos encontramos, de un lado, ante una conducta diligente del titular de la cuenta, que informó, inmediata y reiteradamente, al personal de entidad de lo que estaba sucediendo, cumpliendo la obligación que expresamente le imponía la normativa comunitaria y nacional; y, de otro lado, ante un servicio que se presta defectuosamente por el proveedor, tanto por no tomar en consideración la información recibida pese a su gravedad, como por omitir la adopción de medidas que posibilitaran la detección de eventuales maniobras fraudulentas. Por consiguiente, no se aprecia infracción del art. 36.1 del Real Decreto Ley 19/2018 (LA LEY 18608/2018), lo que comporta la desestimación del motivo».

Volver a página de inicio

Volver a página de inicio