El Supremo y el phishing: el usuario ya no está solo

La reciente Sentencia del Tribunal Supremo (STS 571/2025, de 9 de abril de 2025) ha marcado un punto de inflexión en la protección de los usuarios frente al fraude financiero digital. Por primera vez, el Alto Tribunal español ha establecido una doctrina clara y contundente: los bancos serán responsables de las pérdidas sufridas por sus clientes en operaciones no autorizadas, como las derivadas del phishing, salvo que puedan probar una negligencia grave o fraude por parte del usuario. Este fallo no solo ayuda a reforzar la protección legal del consumidor, sino que también obliga a la banca a revisar sus protocolos y asumir un papel más proactivo en la prevención del ciberdelito.

Un caso paradigmático: 15 transferencias en una noche

La sentencia parte de un caso real que ilustra la sofisticación de las nuevas amenazas. Un cliente de Ibercaja fue víctima de un fraude que combinó técnicas de phishing con la duplicación de la tarjeta SIM. Los delincuentes accedieron a su correo electrónico y duplicaron la SIM de su esposa, interceptando así los códigos SMS de autenticación y logrando realizar 15 transferencias no autorizadas en una sola noche, por más de 83.000 euros. El banco solo pudo recuperar una parte del dinero.

Lo relevante es que el cliente había alertado previamente al banco sobre movimientos sospechosos, pero la entidad no reforzó la vigilancia ni adoptó medidas preventivas. Tanto el juzgado de primera instancia como la Audiencia Provincial fallaron a favor del cliente, condenando al banco a reembolsar el dinero sustraído. Ibercaja recurrió al Supremo, argumentando que había cumplido los protocolos de seguridad y que el cliente debía proteger sus claves y dispositivos, además de invocar cláusulas contractuales de exoneración de responsabilidad. El Supremo rechazó estos argumentos y confirmó la condena: el banco debía devolver todo el dinero.

Claves de la sentencia STS 571/2025

Este fallo del Supremo sienta bases que transformarán la relación entre bancos y usuarios. Los puntos esenciales de la sentencia son que la protección del usuario debe ser prioritaria: El uso de contraseñas válidas o códigos SMS no prueba que el cliente haya autorizado la operación. El consentimiento debe ser real y consciente, y si el usuario niega haber aprobado la transacción, corresponde al banco demostrar lo contrario. Además, según la normativa vigente (Real Decreto-ley 19/2018 y Directiva PSD2), el banco asume una responsabilidad casi objetiva en operaciones no autorizadas, salvo que demuestre fraude o negligencia grave del usuario y  aunque se cumplan los protocolos técnicos (como la autenticación de doble factor), esto no basta para exonerar al banco si el cliente no ha dado su consentimiento. Si el usuario niega haber autorizado la operación, el banco debe probar que la transacción se ejecutó correctamente, que no hubo fallos en su sistema de seguridad y que el usuario actuó con negligencia grave o fraude.

En este caso en particular, el Supremo declara nulas las cláusulas contractuales que eximan al banco de responsabilidad en estos casos, si contradicen la normativa de protección al consumidor. En conclusión, la protección del usuario frente al fraude digital es una obligación legal, no solo un deber ético.

Este fallo implica que el coste del fraude no recaerá sistemáticamente sobre el usuario, sino sobre la entidad que está en mejor posición de prevenirlo, incentivando así a la banca a extremar sus precauciones.

Riesgos digitales al alza: una alerta necesaria

El contexto en el que se produce esta sentencia es el de un auge imparable de la ciberdelincuencia. Como recordó José María Álvarez-Pallete, expresidente de Telefónica, en un reciente foro, “un tercio de lo que circula por internet hoy proviene del cibercrimen, y lo peor está aún por llegar”. El phishing, el malware bancario y el robo de datos son fenómenos en expansión que aprovechan cualquier resquicio en la infraestructura digital.

La sentencia del Supremo llega, por tanto, en el momento justo. Refuerza el escudo legal del consumidor y exige a los bancos una vigilancia constante y profesional. El derecho debe evolucionar al ritmo de la tecnología, y este fallo sitúa a España en la vanguardia europea en protección del usuario financiero.

El fallo del Supremo supone un cambio de paradigma: la responsabilidad ante el fraude digital se traslada a quien tiene los medios para prevenirlo. Para los usuarios, significa mayor confianza y protección; para la banca, un reto y una oportunidad para mejorar sus sistemas y recuperar la confianza de sus clientes.

Como jurista, celebro este avance. El compromiso con la defensa del consumidor y la adaptación a los nuevos riesgos digitales es hoy más necesario que nunca. Solo desde la unión de conocimiento legal, visión tecnológica y ética profesional podremos proteger eficazmente a quienes confían en el sistema financiero. Tras esta sentencia, ha quedado claro: el usuario, por fin, ya no está solo. @mundiario