La banca digital ha traído muchas ventajas para los consumidores: rapidez, comodidad y disponibilidad inmediata de nuestros fondos. Pero también ha abierto la puerta a nuevas formas de fraude que, en muchos casos, dejan a los usuarios completamente desprotegidos. Entre ellas, el phishing bancario es, sin duda, una de las más extendidas y sofisticadas. Y hasta ahora, muchos consumidores que sufrían este tipo de estafa se encontraban con la misma respuesta por parte de su banco: “usted autorizó la operación, no podemos hacer nada”.
Esta situación, afortunadamente, acaba de cambiar. Una reciente sentencia del Tribunal Supremo marca un antes y un después en la lucha contra los fraudes digitales. En ella, el Alto Tribunal establece con claridad que los bancos deben responder por los daños sufridos por sus clientes, salvo que puedan demostrar que el afectado actuó con negligencia grave. Se trata de una decisión clave que refuerza los derechos de los consumidores en el entorno digital y que abre la puerta a reclamar con éxito el reembolso de cantidades robadas mediante engaños como el phishing o el duplicado de tarjetas SIM (SIM swapping).
En este artículo te explicamos qué significa exactamente esta sentencia, cómo te afecta si has sido víctima de una estafa online y qué pasos puedes seguir para recuperar tu dinero con el respaldo legal que ofrece esta nueva doctrina.
¿Qué ha dicho el Tribunal Supremo?
El caso que da origen a esta sentencia es el de una clienta de Ibercaja a la que, en una sola noche, le sustrajeron más de 83.000 euros mediante una serie de transferencias bancarias no autorizadas. El fraude se produjo a través de un sofisticado sistema de phishing combinado con la duplicación de su tarjeta SIM, lo que permitió a los delincuentes interceptar los códigos de verificación enviados por el banco.
Pese a que la afectada avisó previamente al banco de que sospechaba que estaba siendo víctima de un fraude, cambió sus claves y bloqueó sus tarjetas, el banco rechazó devolver la mayor parte del dinero. Argumentaba que, al haberse utilizado las credenciales de acceso correctas y al haberse confirmado las transferencias mediante doble factor de autenticación (normalmente un código por SMS), la operación debía considerarse válida. En otras palabras: “si alguien usó tus claves y se validó con tu móvil, el banco no tiene la culpa”.
Sin embargo, tanto la Audiencia Provincial como el Tribunal Supremo le han dado la razón a la clienta. Y lo han hecho aplicando una normativa europea muy clara: la Directiva (UE) 2015/2366, conocida como PSD2, que establece que toda operación de pago no autorizada debe ser reembolsada por el banco de forma inmediata, salvo que este pueda probar que el cliente actuó con dolo o negligencia grave.
¿Por qué esta sentencia es tan importante?
Hasta ahora, muchos bancos trataban de eludir su responsabilidad en este tipo de fraudes escudándose en que las operaciones se habían realizado “correctamente” desde el punto de vista técnico: el usuario introdujo su clave, recibió un SMS y validó la operación. Pero lo cierto es que, en el caso del phishing, los delincuentes se hacen pasar por el propio banco, y el usuario cree estar autorizando un trámite legítimo (como anular una operación sospechosa) cuando en realidad está entregando el control de su cuenta.
El Tribunal Supremo aclara de forma contundente que el uso correcto de las credenciales no implica automáticamente autorización del cliente. Lo importante es si el usuario era consciente de lo que estaba haciendo. Si no lo era —porque estaba siendo engañado—, no hay consentimiento válido. Y si no hay consentimiento, la operación es fraudulenta y el banco debe responder.
Este criterio refuerza enormemente la posición de los consumidores, porque traslada la carga de la prueba a la entidad financiera. Ya no basta con que diga que se usaron las claves correctas: tiene que demostrar que el cliente fue el responsable por haber actuado con una grave falta de diligencia. Y eso no es tan fácil de probar.
¿Qué es la negligencia grave y cuándo se aplica?
Una de las claves de esta sentencia es cómo se interpreta el concepto de “negligencia grave”. El Tribunal Supremo recuerda que los usuarios no son expertos en seguridad informática, y que por tanto no se les puede exigir el mismo nivel de precaución que a un profesional del sector. Además, se establece que no puede considerarse negligencia el hecho de haber sido víctima de una suplantación bien elaborada, ni tampoco el hecho de haber introducido datos en una página falsa que imitaba a la perfección la web del banco.
La negligencia grave solo puede apreciarse cuando el usuario actúa con una total falta de diligencia, como por ejemplo entregar voluntariamente su clave a un tercero sin ningún tipo de verificación o seguir instrucciones claramente sospechosas. Pero en la mayoría de los casos de phishing, la estafa se produce precisamente porque los delincuentes consiguen engañar al usuario simulando ser su entidad bancaria, y eso hace imposible hablar de negligencia grave.
¿Cómo puedo reclamar si he sido víctima de phishing?
Si has sufrido un fraude similar, lo primero que debes saber es que puedes reclamar al banco la devolución de tu dinero. Y ahora, con esta nueva sentencia del Supremo, cuentas con un respaldo jurídico mucho más sólido.
Estos son los pasos básicos que debes seguir:
- Contacta con tu banco tan pronto como detectes el fraude. Solicita la anulación de las operaciones y exige la devolución de las cantidades.
- Recoge toda la documentación: comunicaciones con el banco, extractos de cuenta, correos electrónicos o SMS que hayas recibido, capturas de pantalla, denuncias a la Policía…
- Presenta una reclamación formal al servicio de atención al cliente de tu entidad financiera.
- Si no obtienes respuesta satisfactoria, puedes acudir al Banco de España o iniciar una reclamación judicial.
En esmiderecho.es te ofrecemos un servicio especializado en este tipo de casos. Te ayudamos a preparar tu reclamación, negociamos con el banco y, si es necesario, te representamos en sede judicial. Ya hemos conseguido que decenas de clientes recuperen su dinero tras ser víctimas de fraudes digitales.
¿Y si el banco se niega a devolver el dinero?
A pesar de esta sentencia, algunos bancos siguen resistiéndose a devolver las cantidades robadas. Alegan que la operación se realizó correctamente, que el cliente debía proteger mejor su móvil o que ya han hecho todo lo que podían hacer. Pero estas excusas no son válidas a la luz de la nueva jurisprudencia.
El Tribunal Supremo ha sido claro: la responsabilidad recae sobre el banco, no sobre el usuario. Las entidades tienen la obligación de prevenir operaciones sospechosas, detectar transferencias inusuales o realizadas en horarios atípicos, e implementar sistemas de control más efectivos.
Además, deben contar con procedimientos internos para reaccionar con rapidez ante la sospecha de fraude. Si no lo hacen, y el usuario ha actuado de forma razonable, deben asumir las consecuencias.
Hoy podemos decir que los usuarios no están solos.
La sentencia del Tribunal Supremo de abril de 2025 representa un gran avance en la defensa de los derechos digitales de los consumidores. En un entorno donde los fraudes son cada vez más frecuentes y sofisticados, era necesario un pronunciamiento claro que pusiera límites a la posición dominante de los bancos.
Si has sido víctima de phishing, ya no tienes que resignarte a perder tu dinero. Tienes herramientas legales para defenderte, y en esmiderecho.es te ofrecemos el respaldo jurídico que necesitas para hacerlo con garantías.
👉 Entra en nuestra web y descubre cómo podemos ayudarte:
Reclamaciones bancarias por phishing
