El Tribunal Supremo dicta que las entidades financiera son responsables de los fraudes por ‘phising’
El Tribunal Supremo ha dictaminado que los bancos son responsables de reintegrar el dinero perdido en estafas de phising o de suplantación de identidad si no pueden demostrar que el cliente ha cometido una grave negligencia. Se esperaba con expectación la sentencia, que marca un antes y un después en la protección de los derechos de sus clientes, ya que abre la puerta a que miles de aragoneses que han sufrido un fraude de este tipo puedan reclamar la devolución del dinero perdido.
Tras esta resolución, las estafas informáticas pasan a convertirse definitivamente en un nuevo quebradero de cabeza para las entidades financieras, como en su día lo fueron las cláusulas suelo después de que la justicia declarara la nulidad de las mismas. En el caso del phishing, se estima que unos 2,5 millones de personas en España han sido víctimas de estas prácticas en los últimos cinco años.
La sentencia deja claro en sus conclusiones que «la banca no es responsable de que te engañen, pero si lo es de que te estafen por la deficiencia en el servicio prestad». Así lo afirma el Carlos Soriano, CEO de la empresa oscense Ardiciber, una agencia especializada en la recuperación de capitales ciberestafados.
«Es un nuevo tiempo para la banca, que deberá implementar protocolos de seguridad adicionales que detecten pautas inusuales en las cuentas de sus clientes», apunta.
El Supremo declara que la banca es la principal responsable en estos casos de fraude, «estando obligada a reponer de forma inmediata todo dinero sustraído al cliente», añade. En la sentencia 571/2025 se subraya que las buenas prácticas bancarias exigen la activación de sistemas capaces de detectar actividades sospechosas, así como de bloquear o verificar operaciones de alto riesgo.
Guarda y custodia de la cuenta estafada
Desde Ardiciber animan a los afectados a que «no se dejen revictimizar teniendo claro que fue el banco quien falló y no el propio cliente». «No han ejercido de forma eficaz el servicio de guarda y custodia de la cuenta estafada», apuntan.
Así figura, según Ardiciber, en el contrato que les vincula y «la banca lo incumple». «De ahí la contundente sentencia, donde queda claro que con los controles actuales que ejerce la banca no son suficientes”, recalca Soriano.
El magistrado firmante se vale de la directiva europea ante los servicios de pago, así como la normativa española, concluyendo que, en caso de no haber negligencia, la única obligación del usuario es notificar a la entidad bancaria acerca de cualquier tipo de operación no autorizada.
En este ingrato proceso, Ardiciber tiene claro que sus servicios van a ser cada vez más demandados: «asesoramos a la víctima de manera integral, desde la interposición de la denuncia, pasando por la mediación y llegando a iniciar el proceso judicial».
La responsabilidad del fraude electrónico
Una nueva jurisprudencia entra en escena tras el conocimiento de la sentencia. Establece que, a partir de ahora, las entidades bancarias serán las principales responsables en casos de phishing bancario. En consecuencia, “deberán responder por operaciones no autorizadas por el usuario, marcando así un cambio significativo en la protección de los clientes frente al fraude electrónico”.
Hasta la fecha los bancos podían escudarse en supuestas malas prácticas llevadas a cabo por el usuario, como haber introducido sus datos en webs o enlaces maliciosos. Tras esta sentencia, son responsables de toda operación no autorizada. Para Ardiciber, el auto «deja claro que las víctimas no fueron gravemente negligentes y por lo tanto no son responsable de la estafa llevada a cabo sobre su cuenta bancaria. Frente a ello, la Banca querrá que se llegue a juicio con el cliente, sabedores que en muchos casos se quedaran en el camino».
El proceso queda muy claro para la empresa oscense: “reclamar al banco la reposición del pago indebido cargado en cuenta». «Llevan al estafado a un estado de ánimo de duelo por verse solo, y si hace caso a su banco, tiene la sensación de haber sido él mismo el culpable de la estafa, la sentencia deja claro que no es así”, concluyen.
