El Tribunal Supremo establece la resposabilidad de los bancos en los casos de ciberdelincuencia


12 de mayo de 2025 phishing, ciberdelincuencia, delitos informáticos, estafa, estafa bancaria, estafa online, , Tribunal Supremo

El Tribunal Supremo se ha pronunciado por primera vez sobre un caso de phishing, desestimando el recurso interpuesto por Ibercaja contra una sentencia que obligaba a la entidad a devolver los más de 80.000 € sustraídos de la cuenta de una clienta mediante la realización de 17 transferencias bancarias no autorizadas durante una sola noche.

En este caso, la técnica empleada por los ciberdelincuentes fue la conocida como SIM swapping, consistente en duplicar sin autorización la tarjeta SIM del teléfono móvil para acceder a la información personal de la usuaria y poder tomar el control de su cuenta bancaria. Una práctica delictiva que está detrás de una parte importante y significativa de los más de 300 casos diarios de estafas digitales que se notifican en Cataluña, siendo el segundo delito en volumen de denuncias, solo por detrás de los hurtos.

«Es una sentencia de enorme trascendencia jurídica porque respalda plenamente el criterio que desde hace tiempo están expresando los tribunales de instancias inferiores en el sentido de considerar que los bancos disponen de la tecnología necesaria para detectar patrones de conducta tan inusuales y anómalos como este, en el que se realizaron y autorizaron 17 transferencias bancarias en pocas horas, de madrugada, y por un importe elevadísimo», analiza Òscar Serrano, abogado del Col·lectiu Ronda experto en Derecho bancario. Para el letrado, «la detección de operaciones inusuales que pueden indicar que se está desarrollando una actividad delictiva en contra de nuestro patrimonio forma parte del deber integral de las entidades bancarias de proteger con diligencia nuestros intereses, tal y como señala la legislación vigente, tanto la española como la comunitaria». Así lo señala también el Tribunal Supremo en esta primera e importantísima sentencia que reprocha a la entidad haber ofrecido «una prestación defectuosa de su servicio» y enfatiza que el hecho de que una operación haya sido autorizada mediante el sistema de verificación en dos pasos no implica que pueda entenderse automáticamente que no es una operación fraudulenta.

Òscar Serrano recuerda que «la Ley de Servicios de Pago señala con claridad que las únicas operaciones válidas son aquellas que cuentan con el consentimiento de la persona ordenante y, por tanto, cuando un usuario niega haber otorgado ese consentimiento, las entidades están obligadas a devolverle de forma inmediata el importe de la operación». Desafortunadamente, sin embargo, el abogado constata a diario que lo más habitual es que los bancos pretendan negar esa responsabilidad invocando supuestas negligencias por parte de los usuarios y clientes. También en el caso resuelto por el Tribunal Supremo, Ibercaja alegó la existencia de una actitud negligente de su clienta haciéndola responsable del duplicado de su tarjeta, que permitió la acción de los ciberdelincuentes. Un extremo descartado por el Alto Tribunal, que reprocha a la entidad bancaria no haber aportado ninguna prueba ni evidencia de la supuesta negligencia de su clienta. «Es el banco quien debe probar que ha existido una negligencia –afirma el abogado de Col·lectiu Ronda– y, aun en caso de existir una actitud negligente, la legislación vigente establece que ha de tratarse de una negligencia especialmente grave porque el deber de protección de garantizar la seguridad de las operaciones corresponde al banco. Por eso, solo de forma absolutamente excepcional los tribunales aprecian que la gravedad de una negligencia sea de tal magnitud que desvirtúe esa responsabilidad cuasi objetiva de los bancos». En ese sentido, y en referencia a la práctica concreta del SIM swapping, cabe recordar que la Agencia Española de Protección de Datos (AEPD) ha impuesto más de 6,7 millones de euros en multas a operadores como Vodafone, Telefónica, Orange, MásMóvil y Digi por permitir duplicados de tarjetas SIM sin verificar adecuadamente la identidad del solicitante.

«Las técnicas que utilizan los delincuentes informáticos para acceder a la información personal y suplantar nuestra identidad son cada vez más sofisticadas, y resulta difícil que sean los propios usuarios quienes puedan protegerse de forma efectiva frente a estos ataques», continúa el abogado, «pero los bancos sí tienen la capacidad tecnológica y el deber legal de detectar, prevenir y actuar contra estas maniobras fraudulentas, hasta el punto de poder bloquear cualquier operación y no autorizarla hasta validar de forma fehaciente que es el usuario quien realmente la está ordenando y no alguien que ha suplantado su identidad con fines delictivos».

Te puede interesar:

12 de mayo de 2025

En este caso, la técnica empleada por los ciberdelincuentes fue la conocida como SIM swapping, consistente en duplicar sin autorización la tarjeta SIM del teléfono móvil para acceder a la información personal de la usuaria y poder tomar el control de su cuenta bancaria. Una práctica delictiva que está detrás de una parte importante y significativa de los más de 300 casos diarios de estafas digitales que se notifican en Cataluña, siendo el segundo delito en volumen de denuncias, solo por detrás de los hurtos.

«Es una sentencia de enorme trascendencia jurídica porque respalda plenamente el criterio que desde hace tiempo están expresando los tribunales de instancias inferiores en el sentido de considerar que los bancos disponen de la tecnología necesaria para detectar patrones de conducta tan inusuales y anómalos como este, en el que se realizaron y autorizaron 17 transferencias bancarias en pocas horas, de madrugada, y por un importe elevadísimo», analiza Òscar Serrano, abogado del Col·lectiu Ronda experto en Derecho bancario. Para el letrado, «la detección de operaciones inusuales que pueden indicar que se está desarrollando una actividad delictiva en contra de nuestro patrimonio forma parte del deber integral de las entidades bancarias de proteger con diligencia nuestros intereses, tal y como señala la legislación vigente, tanto la española como la comunitaria». Así lo señala también el Tribunal Supremo en esta primera e importantísima sentencia que reprocha a la entidad haber ofrecido «una prestación defectuosa de su servicio» y enfatiza que el hecho de que una operación haya sido autorizada mediante el sistema de verificación en dos pasos no implica que pueda entenderse automáticamente que no es una operación fraudulenta.

Òscar Serrano recuerda que «la Ley de Servicios de Pago señala con claridad que las únicas operaciones válidas son aquellas que cuentan con el consentimiento de la persona ordenante y, por tanto, cuando un usuario niega haber otorgado ese consentimiento, las entidades están obligadas a devolverle de forma inmediata el importe de la operación». Desafortunadamente, sin embargo, el abogado constata a diario que lo más habitual es que los bancos pretendan negar esa responsabilidad invocando supuestas negligencias por parte de los usuarios y clientes. También en el caso resuelto por el Tribunal Supremo, Ibercaja alegó la existencia de una actitud negligente de su clienta haciéndola responsable del duplicado de su tarjeta, que permitió la acción de los ciberdelincuentes. Un extremo descartado por el Alto Tribunal, que reprocha a la entidad bancaria no haber aportado ninguna prueba ni evidencia de la supuesta negligencia de su clienta. «Es el banco quien debe probar que ha existido una negligencia –afirma el abogado de Col·lectiu Ronda– y, aun en caso de existir una actitud negligente, la legislación vigente establece que ha de tratarse de una negligencia especialmente grave porque el deber de protección de garantizar la seguridad de las operaciones corresponde al banco. Por eso, solo de forma absolutamente excepcional los tribunales aprecian que la gravedad de una negligencia sea de tal magnitud que desvirtúe esa responsabilidad cuasi objetiva de los bancos». En ese sentido, y en referencia a la práctica concreta del SIM swapping, cabe recordar que la Agencia Española de Protección de Datos (AEPD) ha impuesto más de 6,7 millones de euros en multas a operadores como Vodafone, Telefónica, Orange, MásMóvil y Digi por permitir duplicados de tarjetas SIM sin verificar adecuadamente la identidad del solicitante.

«Las técnicas que utilizan los delincuentes informáticos para acceder a la información personal y suplantar nuestra identidad son cada vez más sofisticadas, y resulta difícil que sean los propios usuarios quienes puedan protegerse de forma efectiva frente a estos ataques», continúa el abogado, «pero los bancos sí tienen la capacidad tecnológica y el deber legal de detectar, prevenir y actuar contra estas maniobras fraudulentas, hasta el punto de poder bloquear cualquier operación y no autorizarla hasta validar de forma fehaciente que es el usuario quien realmente la está ordenando y no alguien que ha suplantado su identidad con fines delictivos».

Te puede interesar: