El Tribunal Suprem estableix la responsabilitat dels bancs en casos de ciberdelinqüència


12 de maig de 2025 phishing, ciberdelinqüència, Tribunal Suprem, estafes, dades personals, estafa online, sim swapping

El Tribunal Suprem s’ha pronunciat per primera vegada sobre un cas de phishing, desestimant el recurs interposat per Ibercaja contra una sentència que obligava l’entitat a retornar els més de 80.000€ sostrets del compte d’una clienta mitjançant la realització de 17 transferències bancàries no autoritzades en el decurs d’una sola nit

En aquest cas, la tècnica emprada pels ciberdelinqüents va ser la coneguda com a SIM swapping, consistent a duplicar sense autorització la targeta SIM del telèfon mòbil per accedir a la informació personal de la usuària i poder prendre control del compte bancari. Una pràctica delictiva que està darrera d’una part important i significativa dels més de 300 casos diaris d’estafes digitals que es notificaven a Catalunya, esdevenint el segon delicte en volum de denúncies, només per darrera dels furts.

«És una sentència d’enorme transcendència jurídica perquè avala plenament el criteri que des de fa temps estan expressant els tribunals d’instàncies inferiors en el sentit de considerar que els bancs disposen de la tecnologia necessària per detectar patrons de conducta tan inusuals i anòmals com aquest, en què es van realitzar i autoritzar 17 transferències bancàries en poques hores, de matinada, i per un import elevadíssim», analitza Òscar Serrano, advocat del Col·lectiu Ronda expert en Dret bancari. Pel lletrat, «la detecció d’operacions inusuals que poden indicar que s’està desenvolupant una activitat delictiva en contra del nostre patrimoni forma part del deure integral de les entitats bancàries de protegir amb diligència els nostres interessos, tal i com assenyala la legislació vigent, tant l’espanyola com la comunitària». Així ho assenyala també el Tribunal Suprem en aquesta primera i importantíssima sentència que retreu a l’entitat haver ofert «una prestació defectuosa del seu servei» i emfatitza que el fet de que una operació hagi estat autoritzada mitjançant el doble sistema de verificació, no implica que pugui sobreentendre’s que no és una operació fraudulenta.

Òscar Serrano recorda que «La Llei de Serveis de Pagament assenyala amb claredat que les úniques operacions vàlides són aquelles que compten amb el consentiment de la persona ordenant i, per tant, quan un usuari nega haver atorgat aquest consentiment, les entitats estan obligades a retornar-li de forma immediata l’import de la operació». Malauradament, però, l’advocat constat diàriament que el fet més habitual és que els bancs pretenguin negar aquesta responsabilitat invocant preteses negligències per part dels usuaris i clients. També en el cas resolt pel Tribunal Suprem, Ibercaja va al·legar l’existència de d’una actitud negligent de la seva clienta fent-la responsable del duplicat de la seva targeta que va permetre l’acció dels ciberdelinqüents. Un extrem descartat per l’Alt Tribunal que retreu a l’entitat bancària no aportar cap prova ni evidència de la suposada negligència de la seva clienta. «És el banc qui ha de provar que ha existit una negligència – afirma l’advocat de Col·lectiu Ronda- i, fins i tot, en cas d’existir una actitud negligent, la legislació vigent estableix que ha de tractar-se d’una negligència especialment greu perquè el deure de protecció de garantir la seguretat de les operacions correspon al banc. És per això que només de forma absolutament excepcional els tribunals aprecien que la gravetat d’una negligència és d’una magnitud tal que desvirtua aquesta responsabilitat quasi objectiva dels bancs». En aquest sentit, i en referència a la pràctica concreta del sim swapping, cal recordar que l'Agència Espanyola de Protecció de Dades (AEPD) ha imposat més de 6,7 milions d'euros en multes a operadors com Vodafone, Telefónica, Orange, MásMóvil i Digi per permetre duplicats de targetes SIM sense verificar adequadament la identitat del sol·licitant.

«Les tècniques que fan servir els delinqüents informàtics per accedir a la informació personal i suplantar la nostra identitat són cada vegada més sofisticades i resulta difícil que puguin ser les persones usuàries les que es protegeixin a si mateixes de forma efectiva front a aquests atacs» continua l’advocat «però els bancs sí tenen la capacitat tecnològica i el deure legal de detectar, prevenir i actuar contra aquestes maniobres fraudulentes, fins el punt de poder bloquejar qualsevol operació i no autoritzar-la fins validar de forma fefaent que és l’usuari qui realment està ordenant-les i no pas algú altre que ha suplantat la seva personalitat amb finalitats delictives».

Et pot interessar:

12 de maig de 2025

En aquest cas, la tècnica emprada pels ciberdelinqüents va ser la coneguda com a SIM swapping, consistent a duplicar sense autorització la targeta SIM del telèfon mòbil per accedir a la informació personal de la usuària i poder prendre control del compte bancari. Una pràctica delictiva que està darrera d’una part important i significativa dels més de 300 casos diaris d’estafes digitals que es notificaven a Catalunya, esdevenint el segon delicte en volum de denúncies, només per darrera dels furts.

«És una sentència d’enorme transcendència jurídica perquè avala plenament el criteri que des de fa temps estan expressant els tribunals d’instàncies inferiors en el sentit de considerar que els bancs disposen de la tecnologia necessària per detectar patrons de conducta tan inusuals i anòmals com aquest, en què es van realitzar i autoritzar 17 transferències bancàries en poques hores, de matinada, i per un import elevadíssim», analitza Òscar Serrano, advocat del Col·lectiu Ronda expert en Dret bancari. Pel lletrat, «la detecció d’operacions inusuals que poden indicar que s’està desenvolupant una activitat delictiva en contra del nostre patrimoni forma part del deure integral de les entitats bancàries de protegir amb diligència els nostres interessos, tal i com assenyala la legislació vigent, tant l’espanyola com la comunitària». Així ho assenyala també el Tribunal Suprem en aquesta primera i importantíssima sentència que retreu a l’entitat haver ofert «una prestació defectuosa del seu servei» i emfatitza que el fet de que una operació hagi estat autoritzada mitjançant el doble sistema de verificació, no implica que pugui sobreentendre’s que no és una operació fraudulenta.

Òscar Serrano recorda que «La Llei de Serveis de Pagament assenyala amb claredat que les úniques operacions vàlides són aquelles que compten amb el consentiment de la persona ordenant i, per tant, quan un usuari nega haver atorgat aquest consentiment, les entitats estan obligades a retornar-li de forma immediata l’import de la operació». Malauradament, però, l’advocat constat diàriament que el fet més habitual és que els bancs pretenguin negar aquesta responsabilitat invocant preteses negligències per part dels usuaris i clients. També en el cas resolt pel Tribunal Suprem, Ibercaja va al·legar l’existència de d’una actitud negligent de la seva clienta fent-la responsable del duplicat de la seva targeta que va permetre l’acció dels ciberdelinqüents. Un extrem descartat per l’Alt Tribunal que retreu a l’entitat bancària no aportar cap prova ni evidència de la suposada negligència de la seva clienta. «És el banc qui ha de provar que ha existit una negligència – afirma l’advocat de Col·lectiu Ronda- i, fins i tot, en cas d’existir una actitud negligent, la legislació vigent estableix que ha de tractar-se d’una negligència especialment greu perquè el deure de protecció de garantir la seguretat de les operacions correspon al banc. És per això que només de forma absolutament excepcional els tribunals aprecien que la gravetat d’una negligència és d’una magnitud tal que desvirtua aquesta responsabilitat quasi objectiva dels bancs». En aquest sentit, i en referència a la pràctica concreta del sim swapping, cal recordar que l'Agència Espanyola de Protecció de Dades (AEPD) ha imposat més de 6,7 milions d'euros en multes a operadors com Vodafone, Telefónica, Orange, MásMóvil i Digi per permetre duplicats de targetes SIM sense verificar adequadament la identitat del sol·licitant.

«Les tècniques que fan servir els delinqüents informàtics per accedir a la informació personal i suplantar la nostra identitat són cada vegada més sofisticades i resulta difícil que puguin ser les persones usuàries les que es protegeixin a si mateixes de forma efectiva front a aquests atacs» continua l’advocat «però els bancs sí tenen la capacitat tecnològica i el deure legal de detectar, prevenir i actuar contra aquestes maniobres fraudulentes, fins el punt de poder bloquejar qualsevol operació i no autoritzar-la fins validar de forma fefaent que és l’usuari qui realment està ordenant-les i no pas algú altre que ha suplantat la seva personalitat amb finalitats delictives».

Et pot interessar: