El Supremo lo confirma: los bancos son responsables de las estafas por ‘phising’ si el cliente no hace ninguna negligencia grave

El Tribunal Supremo ha establecido que los bancos son los responsables de devolver el dinero perdido en estafas de 'phishing' o suplantación de identidad siempre que no se pueda demostrar que el cliente ha cometido una negligencia grave. La Sala de lo Civil ha fallado a favor de una cliente que perdió más de 83.000 euros en quince transferencias realizadas durante la misma noche, según la sentencia hecha pública este miércoles. El alto tribunal determina que las entidades bancarias —en este caso Ibercaja– tienen que rectificar y reintegrar inmediatamente" los importes sustraídos en operaciones que los clientes no han autorizado.

La víctima sufrió una estafa conocida como 'SIM swapping', consistente en la duplicación de la tarjeta SIM para acceder a información confidencial y tomar el control de la banca digital. Según los magistrados, el hecho de que terceros consigan acceder a la cuenta digital del usuario "no supone que por si se haya incurrido en ninguna negligencia". Además, han precisado que las operaciones no autorizadas incluyen también a aquellas iniciadas con las claves de usuario y contraseña necesarias y confirmadas vía SMS, siempre que el cliente niegue haberlas realizado.

Negligencia del banco en la detección de actividades sospechosas

La sentencia destaca que el banco tendría que haber detectado la actividad anómala, ya que se trataba de "quince transferencias de más de 80.000 euros en una noche" que tendrían que haber hecho saltar las alarmas en aquel mismo momento". El Supremo señala que con los avances tecnológicos actuales resulta "relativamente sencillo" para las entidades financieras "diseñar sistemas o aplicaciones informáticas idóneas para detectar ciertas anomalías en la prestación de los servicios de pagos".

"No se puede considerar como normal e irrelevante que una persona que nunca efectúa operaciones de madrugada, de repente, proceda a llevar a cabo hasta diecisiete operaciones seguidas y por un importe tan elevado", afirma el texto de la sentencia. Los magistrados también destacan que el proveedor del servicio no ha acreditado "qué negligencia pudo cometer el demandante que permitiera que unos delincuentes le duplicaran la tarjeta SIM".

Obligación de reembolso inmediato

El alto tribunal ha confirmado que si el usuario comunica inmediatamente el robo de sus datos y denuncia una operación no autorizada, "el proveedor tiene que proceder a su rectificación y reintegrar el importe inmediatamente, a menos que tenga motivos razonables para sospechar la existencia de fraude y comunique estos motivos por escrito". También señala que "el mero hecho del registro por el proveedor de la utilización del instrumento de pago no es suficiente, necesariamente, para demostrar que la operación de pago fue autorizada" por el usuario.

El Tribunal destaca la "conducta diligente del titular de la cuenta, que informó, inmediatamente y reiteradamente" de la estafa, contrastando con "un servicio que el proveedor presta defectuosamente, tanto para no tomar en consideración la información recibida a pesar de su gravedad como para omitir la adopción, de medidas que posibilitan la detección de eventuales maniobras fraudulentas". La sentencia concluye que el hecho de que la operación fuera registrada por el banco "no es suficiente para eximirlo de responsabilidad".