Condenado un banco a devolver a un cliente 19.000 euros sustraídos por un ataque de phishing

La Audiencia Provincial de Zaragoza ha confirmado la condena a Ibercaja que le obliga a devolver 19.000 euros a un cliente víctima de un ataque de phishing. La sentencia, dictada el 4 de marzo de 2025 por el ponente Antonio Angós Ullate, ratifica el fallo del juzgado de primera instancia y establece un importante precedente en la protección de los usuarios frente a fraudes bancarios electrónicos.

Los hechos se remontan al 13 de enero de 2021, cuando el demandante accedió a la banca electrónica de Ibercaja desde su ordenador personal introduciendo sus credenciales habituales. Tras acceder a la web, apareció una ventana adicional solicitando códigos de verificación que le fueron remitidos a su teléfono móvil. Al completar este paso, el cliente descubrió que segundos antes se había realizado una transferencia no autorizada de 19.000€ a una cuenta bancaria en Italia, cuyo titular era una persona extranjera.

La sentencia determina que la responsabilidad recae sobre la entidad bancaria al no haber implementado medidas de seguridad suficientes para prevenir este tipo de fraudes. El tribunal considera que el usuario actuó de forma razonable al seguir las pautas que le mostraba la aparente plataforma de Ibercaja Directo, sin incurrir en negligencia grave.

¿Qué es el phishing bancario y cómo funciona?

El phishing, término que deriva de la contracción de "password harvesting fishing" (cosecha y pesca de contraseñas), es una técnica fraudulenta que busca obtener los datos confidenciales de los usuarios bancarios. Los ciberdelincuentes suplantan la identidad digital de las entidades financieras para engañar a los clientes y conseguir sus credenciales, permitiéndoles realizar transferencias no autorizadas.

En el caso juzgado, aunque no se detalla completamente el modus operandi utilizado, se menciona que el fraude fue más allá de un simple SMS fraudulento, permitiendo a los estafadores acceder a la cuenta bancaria y realizar la transferencia. La sofisticación de estos ataques hace que incluso usuarios precavidos puedan caer en la trampa, al encontrarse con interfaces prácticamente idénticas a las legítimas.

Marco legal que protege a los usuarios de servicios bancarios

La sentencia se fundamenta en el Real Decreto-ley 19/2018, de 23 de noviembre, sobre Servicios de Pago, que transpone varias directivas europeas (UE 2015/2366, 2015/2392). Esta normativa establece una responsabilidad cuasi-objetiva o por riesgo para las entidades financieras, asignándoles la carga de la seguridad en las transacciones electrónicas.

Según este marco legal, corresponde al proveedor del servicio, no al cliente, asumir el riesgo de fraude en operaciones electrónicas. Además, en casos de suplantación fraudulenta de identidad digital, recae sobre el banco la carga de probar que la operación fue correctamente autenticada y que no existió fallo técnico, o bien demostrar que el usuario actuó con fraude o negligencia grave.

La sentencia subraya que Ibercaja no logró demostrar ninguna deficiencia técnica que pudiera exonerarle de responsabilidad, ni pudo probar negligencia grave por parte del cliente, quien simplemente siguió los procedimientos que aparentemente le solicitaba la plataforma.

Precedentes judiciales en casos de fraude bancario electrónico

Esta resolución se suma a una creciente jurisprudencia en España que favorece la protección de los consumidores frente a fraudes electrónicos. Los tribunales españoles han ido consolidando una doctrina que obliga a las entidades financieras a reforzar sus sistemas de seguridad y a responder económicamente cuando estos fallan.

En los últimos años, diversas Audiencias Provinciales han dictado sentencias similares que reconocen la posición de vulnerabilidad de los usuarios frente a técnicas de ciberdelincuencia cada vez más sofisticadas. El Tribunal Supremo también ha avalado esta interpretación en varias ocasiones, estableciendo que la deuda de seguridad corresponde primordialmente a las entidades financieras.

¿Qué medidas deben implementar los bancos según la normativa?

El Real Decreto-ley 19/2018 obliga a los proveedores de servicios de pago a implementar medidas de seguridad efectivas en los canales de comunicación para prevenir manipulaciones. Esto incluye sistemas de autenticación reforzada, monitorización constante de transacciones sospechosas y mecanismos de alerta temprana.

La normativa exige a las entidades financieras aplicar una autenticación de dos factores para operaciones de riesgo, combinando elementos que solo el usuario conoce (contraseñas), posee (dispositivos móviles) o características inherentes (datos biométricos). Sin embargo, como demuestra este caso, los ciberdelincuentes han desarrollado técnicas para superar incluso estos sistemas de doble verificación.

Recomendaciones para usuarios de banca electrónica

Aunque la responsabilidad principal recaiga sobre las entidades bancarias, los usuarios pueden tomar medidas adicionales para protegerse. Los expertos en ciberseguridad recomiendan verificar siempre la autenticidad de las páginas web bancarias, desconfiar de comunicaciones no solicitadas, mantener actualizados los dispositivos y utilizar conexiones seguras.

Ante cualquier sospecha de fraude, es fundamental contactar inmediatamente con la entidad bancaria y denunciar los hechos. Como demuestra este caso, la actuación rápida y la documentación detallada de lo ocurrido pueden ser determinantes para recuperar el dinero sustraído.