Rojano Vera Abogados y Asesores - Los abogados mejor valorados de Málaga

¿Responde el Banco por transferencias no autorizadas?

/ Derecho Civil, Noticias y Blog / Por

Introducción

En una era en la que la digitalización bancaria es la norma, los riesgos de seguridad para los usuarios de banca electrónica también se han incrementado. Fraudes como el phishing, el smishing o el SIM swapping se han convertido en técnicas habituales utilizadas
por delincuentes para acceder a las cuentas bancarias de usuarios desprevenidos. Frente a estas amenazas, surge una cuestión crucial: ¿qué responsabilidad tiene el banco cuando se realizan transferencias no autorizadas desde la cuenta de un cliente?

La reciente Sentencia 571/2025, de 9 de abril, dictada por la Sala de lo Civil del Tribunal Supremo (rec. 1151/2023) ha marcado un hito al establecer de forma contundente que los bancos deben asumir la responsabilidad por la falta de diligencia en la prevención y reacción frente a estas operaciones. Este artículo analiza el contenido de esta sentencia, su base legal y sus implicaciones prácticas para consumidores y entidades financieras.

¿Qué ocurrió en este caso?

La sentencia resuelve un recurso de casación interpuesto por Ibercaja Banco S.A. contra la decisión de la Audiencia Provincial de Zaragoza (Sección 5.ª), que ya había confirmado la condena a la entidad por no evitar un fraude sufrido por uno de sus clientes. Este, junto con sus familiares, era titular de cuentas y contratos de banca a distancia con Ibercaja. A pesar de haber comunicado al banco posibles intentos de fraude, finalmente se realizaron quince transferencias no autorizadas por un total de 83.692,73 € entre los días 17 y 18 de marzo de 2021.

El modus operandi empleado fue el conocido como «SIM swapping», que permitió a los delincuentes duplicar la tarjeta SIM del móvil del cliente y recibir los SMS con códigos de confirmación. De esta forma accedieron a la banca online y ejecutaron las transferencias. A pesar de que Ibercaja argumentó haber cumplido con los protocolos de doble autenticación exigidos por la normativa vigente, tanto la Audiencia Provincial como el Tribunal Supremo estimaron que existió una deficiencia en el servicio prestado por el banco, lo que activa el régimen de responsabilidad cuasi objetiva previsto legalmente.

Marco legal aplicable

La resolución se fundamenta en varios preceptos de la normativa nacional y comunitaria:

  • Real Decreto-Ley 19/2018, de servicios de pago, especialmente los artículos 36, 41 a 46.
  • Directiva (UE) 2015/2366 sobre servicios de pago en el mercado interior (PSD2).
  • Reglamento Delegado (UE) 2018/389, sobre autenticación reforzada del cliente.

Responsabilidad del proveedor de servicios de pago

Según el art. 36 RDL 19/2018, una operación de pago solo se considerará autorizada cuando el ordenante haya dado su consentimiento. En caso contrario, la operación debe calificarse como no autorizada, y el proveedor de servicios de pago está obligado a reintegrar el importe de forma inmediata, salvo que pruebe que el cliente actuó con fraude o negligencia grave (arts. 44 y 45).

Además, el proveedor debe demostrar que la operación fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico ni deficiencia en el servicio.

Inversión de la carga de la prueba

El art. 44 impone al banco la carga de demostrar:

  1. Que la operación fue correctamente autenticada y registrada.
  2. Que el cliente actuó con dolo o negligencia grave: No basta con acreditar que se usaron las credenciales correctas (usuario y SMS), sino que es necesario demostrar que no hubo error del sistema ni omisión de medidas de seguridad razonables.

Valoración del Tribunal Supremo

El Supremo realiza un exhaustivo análisis de los hechos. Señala que el cliente actuó con diligencia: notificó los primeros indicios de fraude semanas antes de las transferencias, informó de accesos sospechosos y solicitó la sustitución de su tarjeta bancaria. A pesar de ello, el banco no tomó ninguna medida preventiva.

También destaca que:

  • El cliente no incurrió en negligencia grave, ya que reaccionó adecuadamente ante las alertas.
  • La operativa fraudulenta debía haber activado alarmas automáticas por el volumen, repetición y franja horaria de las transferencias.
  • La alerta provino del Banco Santander, no de Ibercaja, lo que evidenció la falta de mecanismos efectivos. Por tanto, el Alto Tribunal concluye que hubo una deficiencia del servicio y confirma que el banco debe reintegrar al cliente los 56.474,63 € no recuperados.

Jurisprudencia comunitaria y nacional

La STS 1671/2025 se apoya en la doctrina establecida por el TJUE (Sentencia C- 337/20, de 2 de septiembre de 2021), que interpreta la Directiva 2007/64/CE (precursora de la actual PSD2). Dicha sentencia estableció tres pilares:

  1. El consumidor debe notificar las operaciones no autorizadas en un plazo máximo de 13 meses.
  2. El banco debe devolver el importe salvo prueba de fraude o culpa grave del cliente.
  3. La carga de la prueba recae exclusivamente sobre el proveedor del servicio.

En línea con esta jurisprudencia, el Supremo reitera que la simple utilización de credenciales correctas no es prueba suficiente de consentimiento.

Relevancia práctica para los consumidores

Esta sentencia tiene implicaciones directas para los usuarios de banca electrónica:

  • Si eres víctima de un fraude, debes notificarlo inmediatamente al banco.
  • No estás obligado a demostrar que no autorizaste la operación: es el banco quien debe probar lo contrario.
  • La protección legal te ampara, salvo que se demuestre que actuaste con dolo o grave imprudencia.
  • Las cláusulas de exoneración de responsabilidad en los contratos de banca online no pueden contradecir esta normativa imperativa.

Obligaciones de los bancos

Por su parte, las entidades financieras están obligadas a:

  • Implementar mecanismos de detección automática de operaciones anómalas.
  • Reforzar sus sistemas de seguridad conforme a la normativa europea.
  • Atender de forma inmediata cualquier notificación de intento de fraude.
  • Probar que actuaron con la diligencia técnica y profesional exigible. En caso contrario, deberán asumir las consecuencias económicas del fraude.

Conclusión: una victoria para el consumidor

La STS 1671/2025 supone un importante avance en la protección de los derechos de los usuarios bancarios frente a los riesgos del entorno digital. Establece con claridad que los bancos no pueden escudarse en la mera aplicación técnica de protocolos si no adoptan medidas efectivas para prevenir fraudes, especialmente cuando existen alertas previas.

La responsabilidad del proveedor de servicios de pago es cuasi objetiva, y solo se excepciona cuando se demuestra que el usuario actuó con dolo o negligencia grave, algo que, en este caso, no se acreditó.

Si has sufrido un fraude bancario o quieres saber cómo proteger tus derechos, contacta con nuestros abogados especializados en derecho bancario. Estudiaremos tu caso y te ayudaremos a reclamar lo que te corresponde.

Referencias legales

  • Sentencia 571/2025, de 9 de abril, dictada por la Sala de lo Civil del Tribunal Supremo (rec. 1151/2023
  • Real Decreto-Ley 19/2018, de 23 de noviembre, de servicios de pago
  • Directiva (UE) 2015/2366
  • Reglamento Delegado (UE) 2018/389
  • STJUE C-337/20, de 2 de septiembre de 2021
Rojano Vera Abogados y Asesores

¿Necesitas asesoramiento legal?

Tu primera consulta es gratuita

Pregunta sin compromiso a nuestro equipo de especialistas jurídicos, y accede a una defensa legal de calidad a precios asequibles.

contactar
Rojano Vera Abogados y Asesores

¿Necesitas asesoramiento legal?

Tu primera consulta es gratuita

Pregunta sin compromiso a nuestro equipo de especialistas jurídicos, y accede a una defensa legal de calidad a precios asequibles.

contactar

Nuestro equipo

633 225 855
951 499 160

Especialidades jurídicas

Grupo Rojano Vera

Despachos

Creado por Rojano Vera ©2024

Política de cookiesAviso Legal y Declaración de Privacidad 

Social Chat is free, download and try it now here!