Una sentencia marca un antes y un después en la banca digital
El Tribunal Supremo ha zanjado una cuestión de creciente relevancia en el ámbito de la banca digital: cuando un cliente sufre una estafa por ‘phishing’ y no existe prueba de que actuó con negligencia o dolo, el banco debe reembolsarle el dinero. Así lo establece una reciente sentencia de la Sala de lo Civil del Alto Tribunal, que impone a las entidades financieras una mayor responsabilidad en la protección de los fondos de sus clientes frente a ciberdelincuentes.
El fallo responde al caso de un hombre que perdió más de 83.000 euros tras sufrir un sofisticado ataque de suplantación de identidad. La víctima, que ya había advertido al banco de mensajes sospechosos y accesos no autorizados a su cuenta de correo, descubrió semanas después múltiples cargos en su cuenta y transferencias realizadas a través de Bizum. El dinero acabó en cuentas de personas vinculadas con delitos similares y la investigación policial detectó que los estafadores habían duplicado la tarjeta SIM de su esposa para acceder a sus datos bancarios. Todo ocurrió sin que el cliente facilitara conscientemente sus claves ni cometiera descuidos relevantes.
Aunque el banco —Ibercaja, en este caso— alegó que las transferencias estaban correctamente autenticadas con el doble factor de seguridad, el Supremo ha dictaminado que ese registro no basta para eximirle de responsabilidad. La clave, según los magistrados, es que la entidad no acreditó que el cliente actuase de forma negligente, ni tomó medidas tras las primeras señales de posible fraude. El banco sí recuperó una parte del dinero —unos 27.000 euros—, pero el cliente acudió a los tribunales para reclamar el resto.
El Supremo recuerda que los usuarios están obligados a proteger sus credenciales y a alertar sin demora de cualquier movimiento sospechoso, algo que en este caso se cumplió. A partir de ahí, recalcan los jueces, es el banco quien debe activar los protocolos de seguridad y demostrar que el incidente no se debió a una falla técnica o a una negligencia de su parte.
“La mera existencia de una autenticación correcta no prueba que la operación fue autorizada por el cliente”, subraya la sentencia. El fallo también critica que el banco no reaccionase ante señales evidentes, como una actividad inusual en horario nocturno o la realización de más de una docena de transferencias seguidas por un importe tan elevado. “No puede considerarse normal ni irrelevante”, advierte el texto.
Con esta resolución, el Supremo sienta jurisprudencia y lanza un mensaje claro al sector bancario: no basta con confiar en los sistemas automáticos de validación. Ante una estafa, si no hay pruebas claras contra el cliente, será la entidad quien deba asumir la pérdida económica. Además, se insta a los bancos a reforzar sus sistemas de detección y a utilizar la tecnología para prevenir patrones de fraude evidentes.