El Tribunal Supremo ha confirmado en sentencia de 9 de abril de 2025 que los bancos deben reembolsar a sus clientes de inmediato el dinero que les hubiesen sustraído de sus cuentas los estafadores en operaciones de phishing, vishing, smishing y similares: la legislación europea y española impone una responsabilidad cuasi-objetiva a los bancos, de tal forma que siempre deben reembolsar el dinero defraudado salvo que prueben que el propio cliente fue parte del fraude o que actuó con negligencia muy grave.
En su sentencia de 9-4-2025, tras resumir la situación de hecho, las alegaciones de las partes y los fundamentos de las sentencias de primera y segunda instancia, el Tribunal Supremo transcribe ampliamente la normativa aplicable al caso, destacando en negrita algunos pasajes.
Así, empieza con la cita de la Directiva 2015/2366, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior, de la que destaca los siguientes Considerandos (negritas en el original):
«(70) Para reducir los riesgos y las consecuencias de operaciones de pago no autorizadas o que hayan sido ejecutadas incorrectamente, el usuario de servicios de pago debe informar al proveedor de servicios de pago, lo antes posible, sobre toda reclamación en relación con operaciones de pago supuestamente no autorizadas o ejecutadas incorrectamente, siempre y cuando el proveedor de servicios de pago haya respetado sus obligaciones de información con arreglo a la presente Directiva. Si el usuario de servicios de pago respeta el plazo de notificación, debe poder hacer valer esas reclamaciones dentro de los plazos de prescripción nacionales. [...]
(71) En caso de una operación de pago no autorizada, el proveedor de servicios de pago deberá devolver inmediatamente el importe de dicha operación al ordenante. No obstante, cuando haya una sospecha fundada de que una operación no autorizada es el resultado de una conducta fraudulenta del usuario de servicios de pago y la sospecha se funde en motivos objetivos comunicados a la autoridad nacional pertinente, el proveedor de servicios de pago tendrá la posibilidad de efectuar, en un plazo razonable, una investigación antes de devolver el importe al ordenante. A fin de evitar perjuicios al ordenante, la fecha de valor del abono de la devolución no debe ser posterior a la fecha de adeudo del importe. A fin de ofrecer incentivos para que el usuario de servicios de pago comunique sin demora a su proveedor de servicios de pago toda pérdida o robo de un instrumento de pago y reducir así el riesgo de operaciones de pago no autorizadas, el usuario solo debe ser responsable por un importe muy limitado, salvo en caso de fraude o grave negligencia por su parte. A este respecto, parece adecuado fijar un importe de 50 EUR con vistas a garantizar una protección
elevada y homogénea del usuario dentro de la Unión. No se le debe imputar responsabilidad al ordenante, cuando este se encuentre en una posición que no le permite tener conocimiento del extravío, el robo o la sustracción del instrumento de pago. Asimismo, una vez que el usuario de servicios de pago haya comunicado al proveedor de servicios de pago que su instrumento de pago puede haber sido objeto de uso fraudulento, no deben exigírsele responsabilidades por las ulteriores pérdidas que pueda ocasionar el uso no autorizado del instrumento. [...]
(72) A la hora de evaluar la posible negligencia o la negligencia grave del usuario de servicios de pago, deben tomarse en consideración todas las circunstancias. Las pruebas de una presunta negligencia, y el grado de esta, deben evaluarse con arreglo a la normativa nacional. No obstante, si el concepto de negligencia supone un incumplimiento del deber de diligencia, la negligencia grave tiene que significar algo más que la mera negligencia, lo que entraña una conducta caracterizada por un grado significativo de falta de diligencia. Un ejemplo sería el guardar las credenciales usadas para la autorización de una operación de pago junto al instrumento de pago, en un formato abierto y fácilmente detectable para terceros. Se deben considerar nulas las cláusulas contractuales y las condiciones de prestación y utilización de instrumentos de pago mediante las cuales aumente la carga de la prueba sobre el consumidor o se reduzca la carga de la prueba sobre el emisor. Además, en situaciones específicas y, más concretamente, cuando el instrumento de pago no esté presente en el punto de venta, como en el caso de los pagos en línea, resulta oportuno que el proveedor de servicios aporte pruebas de la presunta negligencia, puesto que los medios a disposición del ordenante son limitados en esos casos.»
Y, siguiendo con el articulado de la Directiva, transcribe varios de sus artículos, entre los cuales los más relevantes son:
Y el art. 72 añade, en relación con la prueba de la autenticación y ejecución de las operaciones de pago, cuando el usuario niegue haberla autorizado o alegue que se ejecutó de manera incorrecta:
«1. Los Estados miembros exigirán que, cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que esta se ejecutó de manera incorrecta, corresponda al proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago. [...]
2. Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ejecutada, la utilización de un instrumento de pago registrada por el proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, no bastará necesariamente para demostrar que la operación de pago ha sido autorizada por el ordenante, ni que este ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 69. El proveedor de servicios de pago, incluido, en su caso, el proveedor de servicios de iniciación de pagos, aportará pruebas para demostrar que el usuario del servicio de pago ha cometido fraude o negligencia grave.»
Por último, los arts. 73 y 74 de la Directiva ordenan el régimen de responsabilidad del proveedor y del usuario en caso de operaciones de pago no autorizadas. El art. 73.1 señala:
«1. Sin perjuicio del artículo 71, los Estados miembros velarán por que, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devuelva a este el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito a la autoridad nacional pertinente. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada...»
Cita luego, y transcribe lo más relevante, el Reglamento Delegado 2018/389, de 27 de noviembre de 2017, por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros, que va más allá del contenido de la Directiva porque
impone en su art. 2 a los proveedores de servicios de pago el deber de incorporar mecanismos de supervisión que les permitan detectar operaciones de pago no autorizadas o fraudulentas a efectos de la adopción de terminadas medidas de seguridad:
«1. Los proveedores de servicios de pago dispondrán de mecanismos de supervisión de las operaciones que les permitan detectar operaciones de pago no autorizadas o fraudulentas a efectos de la aplicación de las medidas de seguridad a que se hace referencia en el artículo 1, letras a) y b).
Dichos mecanismos se basarán en el análisis de las operaciones de pago teniendo en cuenta los elementos que caractericen al usuario de servicios de pago en el contexto de un uso normal de las credenciales de seguridad personalizadas.
2. Los proveedores de servicios de pago garantizarán que los mecanismos de supervisión de las operaciones tengan en cuenta, como mínimo, todos los factores basados en el riesgo siguientes: a) listas de elementos de autenticación comprometidos o sustraídos; b) el importe de cada operación de pago; c) supuestos de fraude conocidos en la prestación de servicios de pago; d) señales de infecciones por programas informáticos maliciosos en cualquier sesión del procedimiento de autenticación; e) 1. en caso de que el dispositivo o el programa informático de acceso sea facilitado por el proveedor de servicios de pago, un registro de la utilización del dispositivo o el programa informático de acceso facilitado al usuario de los servicios de pago y de su uso anormal.»
Señala a continuación el Tribunal Supremo que la Directiva fue transpuesta al ordenamiento interno español por el Real Decreto Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, cuyos arts. 36 y 41 a 46 reproducen de forma casi literal el texto de la Directiva. Destaca el siguiente pasaje del art. 46 del R. Decreto-ley porque es el que concreta los supuestos en que el cliente víctima de la estafa tendrá que asumir la pérdida, excluyendo la responsabilidad del Banco:
El ordenante soportará todas las pérdidas derivadas de operaciones de pago no autorizadas si el ordenante ha incurrido en tales pérdidas por haber actuado de manera fraudulenta o por haber incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones que establece el artículo 41. En esos casos, no será de aplicación el importe máximo contemplado en el párrafo primero.
Queda así claro que el cliente únicamente es responsable cuando actuó fraudulentamente o incumplió de forma dolosa o gravemente negligencia sus obligaciones de seguridad que establece el art. 41, que son las siguientes:
«a) utilizará el instrumento de pago de conformidad con las condiciones que regulen la emisión y utilización del instrumento de pago que deberán ser objetivas, no discriminatorias y proporcionadas y, en particular, en cuanto reciba un instrumento de pago, tomará todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas;
b) en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, lo notificará al proveedor de servicios de pago o a la entidad que este designe, sin demora indebida en cuanto tenga conocimiento de ello.»
Y añade el art. 46:
2. Si el proveedor de servicios de pago del ordenante no exige autenticación reforzada de cliente, el ordenante solo soportará las posibles consecuencias económicas en caso de haber actuado de forma fraudulenta. En el supuesto de que el beneficiario o el proveedor de servicios de pago del beneficiario no acepten la autenticación reforzada del cliente, deberán reembolsar el importe del perjuicio financiero causado al proveedor de servicios de pago del ordenante.
3. Salvo en caso de actuación fraudulenta, el ordenante no soportará consecuencia económica alguna por la utilización, con posterioridad a la notificación a que se refiere el artículo 41.b), de un instrumento de pago extraviado o sustraído.
4. Si el proveedor de servicios de pago no tiene disponibles medios adecuados para que pueda notificarse en todo momento el extravío o la sustracción de un instrumento de pago, según lo dispuesto en el artículo 42.1.c), el ordenante no será responsable de las consecuencias económicas que se deriven de la utilización de dicho instrumento de pago, salvo en caso de que haya actuado de manera fraudulenta.»
Cita también el antecedente de la sentencia del TJUE de 2 de septiembre de 2021 en el asunto C-337/20, en que se interpreta la Directiva para concretar que el cliente o usuario tiene le obligación de comunicar el cargo indebido en un plazo de trece meses, condición para que la entidad financiera deba reembolsar de inmediato la cantidad defraudada, salvo que pruebe que la operación de pago
fue autenticada (por el usuario), registrada con exactitud y contabilizada, sin necesidad de que el usuario deba demostrar una falta o negligencia por el banco.
Con todos esos antecedentes, la sentencia resume la situación en la siguiente forma:
6.- Con arreglo a la normativa comunitaria y nacional aplicable y a la jurisprudencia comunitaria recaída en interpretación de la regulación de la que trae causa la primera, podemos concluir:
1.º El usuario de servicios de pago debe adoptar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas y, en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, ha de notificarlo al proveedor de servicios de pago de manera inmediata, tan pronto tenga conocimiento de ello.
2.º En caso de que se produzca una operación de pago no autorizada o ejecutada incorrectamente, si el usuario de servicios de pago se lo comunica sin demora injustificada, el proveedor debe proceder a su rectificación y reintegrar el importe de inmediato, salvo que tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España.
3.º Cuando un usuario niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, incumbe al proveedor la carga de demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado por el proveedor de servicios de pago.
4.º El mero hecho del registro por el proveedor de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones, correspondiendo al proveedor la prueba de que el usuario del servicio de pago cometió fraude o negligencia grave.
En suma, la responsabilidad del proveedor de los servicios de pago, en los casos de operaciones no autorizadas o ejecutadas incorrectamente, tiene carácter cuasi objetivo, en el doble sentido de que, primero, notificada la existencia de una operación no autorizada o ejecutada incorrectamente, el proveedor debe responder salvo que acredite la existencia de fraude; y, segundo, cuando el usuario niegue haber autorizado la operación o alegue que ésta se ejecutó incorrectamente, corresponde al proveedor acreditar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio, sin que el simple registro de la operación baste para demostrar que fue autorizada ni que el usuario ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave.
Profundizando en este último punto, la expresión «operaciones no autorizadas» incluye aquellas que se han iniciado con las claves de usuario y contraseña del usuario -necesarias para acceder al sistema de banca digital- y confirmado mediante la inserción del SMS enviado por el propio sistema al dispositivo móvil facilitado por el usuario, siempre que éste niegue haberlas autorizado, en cuyo caso el banco deberá acreditar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio que presta.
A este respecto, la mención «deficiencia del servicio» no significa error o fallo del sistema informático o electrónico -posibilidad que estaría prevista en el concepto de «fallo técnico»-, sino que abarca cualquier falta de diligencia o mala praxis en la prestación del servicio, en el entendimiento de que el grado de diligencia exigible al proveedor de los servicios de pago no es el propio del buen padre de familia, sino que la naturaleza de la actividad y los riesgos que entraña el servicio que se presta, sobre todo en una relación empresario/consumidor, obliga a elevar el nivel de diligencia a un plano superior, como es el del ordenado y experto comerciante
Lógicamente, las buenas prácticas pasan por adoptar las medidas de seguridad necesarias para garantizar el correcto funcionamiento del sistema de servicios de pago, entre las cuales destacan las orientadas a detectar de forma automática la concurrencia de indicios de que puede tratarse de una operación anómala y generar una alerta o un bloqueo temporal (v.gr. reiteración de transferencias sin solución de continuidad, horario en que se producen, importe de las mismas, destinatarios, antecedentes en el uso de la cuenta...), o las dirigidas a incrementar el control y vigilancia cuando se han recibido noticias o alertas de un posible aumento del riesgo.
Aplica luego esos criterios generales al caso concreto, empezando con la siguiente exposición:
Pero no es menos cierto que, primero, estamos ante una regulación que se impone a las partes, sin que su aplicación quede al albur de la libertad o autonomía contractual, de modo que la condición 4.ª -como la cláusula 8.ª, de exoneración de responsabilidad de la entidad bancaria- han de respetar en todo caso el régimen de derechos, obligaciones y fórmulas de responsabilidad legalmente previstos; segundo, que, en el marco de esta regulación, el consentimiento no se entiende prestado por el solo hecho de que la operación de pago se haya realizado mediante la utilización de las claves personales, sino que es necesario que provenga del usuario o, en caso de que éste niegue su intervención, que se acredite fraude, incumplimiento deliberado o, al menos, negligencia grave por parte del usuario, cuya prueba recae sobre la entidad bancaria; y, tercero, cuando el usuario ha notificado de forma inmediata la existencia de una operación no autorizada, la entidad ha de proceder a su rectificación, salvo que demuestre que hubo fraude imputable al usuario.
En otras palabras, el que la entidad bancaria acredite que la operación fue autenticada, registrada con exactitud y contabilizada, no es suficiente para eximirle de responsabilidad. Ha de probar que la operación no resultó afectada por un fallo técnico u otra deficiencia del servicio prestado, y, dado que el cliente niega que la operación fuera consentida, que no hubo por parte de este último fraude, incumplimiento deliberado o negligencia grave.
Siguen otras explicaciones sobre la falta de diligencia del Banco demandado en el caso concreto, a las que añade la siguiente observación:
Por otra parte, los avances de la tecnología actual hacen relativamente sencillo diseñar sistemas o aplicaciones informáticas idóneas para detectar ciertas anomalías en la prestación de los servicios de pago. Operaciones que, tratándose de empresas o sociedades con un concreto objeto social, pueden calificarse como ordinarias, deben inmediatamente levantar sospechas y dar lugar a una respuesta cuando afectan a personas físicas ajenas a tales actividades. A este respecto, sería suficiente un control automático de determinados factores, como el número y sucesión de operaciones, el intervalo en que se ejecutan, la hora del día, su importe, entidades de destino..., para generar un aviso que reforzara los requisitos de confirmación y minimizara los posibles riesgos. No puede considerarse como normal e irrelevante que una persona que jamás efectúa operaciones de madrugada, de repente, proceda a llevar a cabo hasta diecisiete operaciones seguidas y por un importe tan elevado. Del mismo modo que el sistema rechazó dos de Bizum por exceder del máximo diario, el proveedor de servicios de pago ha de adoptar las medidas de seguridad que garanticen su correcto funcionamiento y minimicen los riesgos y los efectos nocivos de su materialización.
Y en el siguiente fundamento de la sentencia, abunda en los términos de la responsabilidad cuasi-objetiva que corresponde a la entidad financiera:
Asimismo, el hecho de que la filtración o el conocimiento de las claves por el tercero no sea imputable a la entidad bancaria tampoco la libera de obligación de responder ni traslada al usuario la obligación de soportar las pérdidas, ya que el proveedor de servicios de pago, además de demostrar que el servicio se prestó correctamente -lo que no sucedió-, debía acreditar la concurrencia de fraude o incumplimiento deliberado o gravemente negligente por parte del usuario, y, en relación con este extremo, las sentencias de instancia y de apelación coinciden en que no se ha probado fraude ni incumplimiento doloso o por negligencia grave de las obligaciones que correspondían al demandante, y, en concreto, las de tomar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas y de notificar al proveedor de servicios de pago la utilización no autorizada del instrumento de pago, tan pronto tuvo conocimiento de ello, lo que así hizo, participando las tentativas de acceso a su cuenta con una antelación de tres semanas.
Obsérvese que, contra lo que mantiene por la recurrente, el que un tercero hubiera podido acceder a las claves de acceso a la banca digital del demandante no supone per se que haya incurrido en negligencia alguna, pudiendo existir múltiples explicaciones, muchas de las cuales resultan difícilmente atribuibles a título de negligencia, y menos aún, de negligencia grave.
Con cerca de cuarenta sentencia ganadas, en su mayoría contra Unicaja Banco por el episodio de fraude masivo a su clientela del que hablé aquí y aquí, la experiencia muestra que la banca suele defender que no tiene responsabilidad porque dice que no se ha afectado su sistema, sino que es el cliente quien ha fallado al facilitar sus claves al estafador; sin embargo, los tribunales, incluyendo ahora el Tribunal Supremo, vienen rechazando esa defensa:
-No basta con que la entidad financiera defienda que se introdujeron las claves pertinentes para ordenar la transferencia o pago, sino que debe probar la negligencia grave o actuación fraudulenta del cliente, y está claro que no se considera negligencia grave que se haya pinchado en el enlace de un SMS recibido suplantando al banco o que se haya atendido la llamada del estafador que llamó haciéndose pasar por empleado del departamento de ciberseguridad del banco.
-Aunque la banca niegue que existan medios técnicos para prevenir el phishing, la realidad es la contraria: el Reglamento arriba citado exige que dispongan de medios tecnológicos para detectar operaciones sospechosas y el Tribunal Supremo ha abundado en ello, poniendo ejemplos de casos que debieron levantar alertas.
-Son los profesionales del sistema financiero quienes crean el riesgo de que se produzcan estos fraudes al crear un sistema de pagos y operaciones por banca digital o aplicaciones, evitando que los clientes hagan las operaciones personalmente en las oficinas, incluso cuando estos clientes son personas que no lo han solicitado ni lo quieren; es interés de la banca esa operativa; y no es razonable que pretenda que sean sus clientes quienes asuman el riesgo de esa operativa que, estamos viendo, es sumamente frágil.
-El hecho de que cada día se ejecuten millones de transacciones correctamente no exime a la banca de que, en los casos en que esas transacciones son fraudulentas, tenga que asumir las pérdidas.
Y hago una advertencia final: existen otros muchos supuestos de fraude que no quedan resueltos por esta sentencia y son mucho más problemáticos, entre ellos los siguientes:
-Las transferencias ordenadas personalmente por la víctima, que ha recibido un mensaje por whatsapp u otro medio de alguien que se hizo pasar por su hijo/a y afirmó encontrarse en un estado de necesidad de dinero urgente, a veces de cantidades exorbitantes. Puesto que es el propio usuario quien ordenó la transferencia, aunque lo hiciese a consecuencia del engaño sufrido, no puede aplicarse la doctrina de esta sentencia.
-El fraude conocido como del CEO, que afecta a empresas, cuando el estafador se hace pasar por un directivo de la empresa ante quien tiene la disposición de los fondos sociales. En estos casos, sólo sería exigible la responsabilidad del banco cuando la transferencia se ordenase por persona no autorizada, o se ejecutase por una vía o canal inapropiados, o por un importe superior al que estuviese autorizado.
-La manipulación de facturas enviadas por email sin medidas de seguridad, en que se intercepta el email, se cambia la numeración de la cuenta de pago y se reenvía el email con la factura alterada. Este fraude va a encontrar una solución legal con la entrada en vigor el próximo mes de octubre del Reglamento 2024/886 del Parlamento Europeo y del Consejo, de 13 de marzo de 2024, por el que se modifican los Reglamentos 260/2012 y 2021/1230 y las Directivas 98/26/CE y 2015/2366 en lo que respecta a las transferencias inmediatas en euros, que obligará a que el banco del beneficiario de la transferencia no tenga que limitarse a comprobar la numeración de la cuenta de destino sino también la titularidad de esa cuenta. Entretanto, creo que es posible reclamar responsabilidad al titular del servidor en el que se realizó la captura del email si se demuestra que tenía una configuración de seguridad insuficiente.
Por otro lado, hay otros tipos de fraude que vienen facilitados por malas prácticas bancarias, que deberían ser sancionadas por el Banco de España, como son la aprobación de "préstamos preconcedidos"; es decir, el banco comunica a su cliente que tiene a su disposición un préstamo por cuantía generalmente elevada (20.000, 30.000, 50.000 euros) sin que éste lo haya solicitado. Esto facilita que el eventual estafador active el préstamo y se lleve el dinero, todo ello en cuestión de segundos, y sin que el banco haya realizado ningún estudio de la solvencia del cliente, ninguna comprobación sobre el destino del capital prestado y sin que se hayan cumplido las obligaciones legales de información precontractual, puesto que la firma de la obligada documentación precontractual y del contrato se realizan en unidad de acto, sin posibilidad material de que se examine la primera antes de firmar la segunda. Esta operativa bancaria, más allá de facilitar estos fraudes, es de una absoluta irresponsabilidad por eludir toda la normativa sobre prevención del sobreendeudamiento familiar y sobre información precontractual y transparencia. Se han preconcedido préstamos de este tipo y cantidades muy elevadas a personas desempleadas, a pensionistas con ingresos muy limitados y apenas 1.000 euros en su cuenta corriente, a los que se ha dejado en situación extremadamente delicada tras confirmarse el préstamo por el estafador y llevarse éste el dinero, pretendiendo el banco que el cliente pague luego las mensualidades subsiguientes; a personas que por diversas circunstancias personales no podían utilizar la banca a distancia o la aplicación del banco, etc.
