La banca ha sufrido un nuevo golpe, esta vez por medio de una sentencia del Tribunal Supremo. La sentencia es la n.º 571/2025, de 9 de abril de 2025, que condena a Ibercaja de forma inapelable. El fallo de esta resolución confirma la otra sentencia dictada previamente por la Audiencia Provincial de Zaragoza y anteriormente por el Juzgado de Primera Instancia número 7 de Zaragoza. El citado banco está obligado, a consecuencia de estas sentencias a devolver con intereses los más de 83.000 euros que le fueron sustraídos a un cliente de una de sus cuentas abiertas en Ibercaja.
El calvario sufrido por el cliente ha sido tremendo, ya que ha tenido que pleitear contra el banco durante 4 años, hasta que por fin, el Tribunal Supremo le ha dado la razón final. La mala fe del banco, ha supuesto la condena en costas a Ibercaja.
Pero, ¿qué sucedió para que al cliente del banco le desaparecieran 83.000 euros de su cuenta corriente.?
Unos desalmados delincuentes utilizaron el «phishing» para entrar en su cuenta corriente, saltándose las medidas de seguridad del banco, y desvalijaron el saldo que en ella había. El cliente se dió cuenta del fraude cuando empezó a recibir avisos de Google sobre accesos no autorizados a su cuenta de correo y, después, mensajes SMS para materializar transferencias que no había ordenado, de los que avisó al banco. Posteriormente descubrió unos cargos en su cuenta y hasta la desaparición de 83.000 euros de su cuenta, utilizando los delincuentes bizums.
El dinero que sacaron los ladrones, fue transferido a cuentas de los mismos delincuentes, los cuales ya eran conocidos por la Policía. Habían utilizado la tarjeta SIM de su esposa, duplicada en la ciudad de Murcia. El cliente robado por este método consiguió, a través del banco, recuperar unos 27.000 euros. Ibercaja se negó a devolverle el resto de los estafado, hasta los 83.000 euros, lo que hizo que el cliente tuviera que acudir a los tribunales para recuperar la totalidad de lo sustraído. El banco argumentaba, para no reponer el dinero al cliente, que no había incurrido en ningún incumplimiento y aunque reconocía que el cliente había sufrido una suplantación de identidad o phishing”, y que las operaciones de salida de dinero realizadas por los ciberdelincuentes, habían sido autorizadas “al haber cumplido el doble factor de autenticación”. A su vez, el banco hizo saber al cliente que no era función de la entidad bancaria conocer si esas transferencias “las autentificó un cliente o un tercero”.
Analizando la sentencia del Tribunal Supremo, podemos sacar varias conclusiones:
1ª) Si un cliente pierde sus ahorros mediante una estafa de phishing y no hay pruebas de que la culpa sea de la víctima, la entidad tendrá que hacerse cargo del dinero, al menos hasta que el criminal sea encontrado y condenado.
2ª) El banco sólo queda exonerado de responder de este dinero «de inmediato» si se demuestra que ha sido el cliente el que ha provocado el robo con una actuación negligente o, incluso, fraudulenta”.
3ª) La sentencia confirma que el banco tiene una responsabilidad cuasi objetiva, a consecuencia de los dispuesto en el Real Decreto-ley 19/2018 y la Directiva (UE) 2015/2366.
4º) El banco debe devolver el dinero si el cliente niega haber autorizado la operación, salvo que pruebe fraude o negligencia grave.
5ª) El consentimiento del usuario de servicios de pagos debe ser real y consciente. Aunque los delincuentes utilicen las claves correctas, si el usuario niega haber prestado ese consentimiento, no puede presumirse que se haya dado, aunque hayan utilizado esas claves bancarias”.
6ª) Al banco le corresponde la carga de la prueba de demostrar, ante la negativa del cliente a realizar esa operación, que hubo un consentimiento expreso por parte del cliente bancario.
7ª) El banco tiene que demostrar que su sistema actuó correctamente y el usuario bancario actuó con negligencia.
8ª) El banco es un profesional experto y está obligado a disponer de sistemas que detecten las operaciones no habituales del cliente y las que tienen un carácter sospechoso, es decir, las que se hagan en horarios inusuales o a destinatarios que están en otros países donde el cliente no opera.
9ª) Ya que la banca obliga a utilizar los medios digitales a todos los clientes, para poder cerrar oficinas y despedir empleados, el banco debe garantizar que ese sistema funcione y de que el usuario tenga tranquilidad al utilizar ese sistema digital y tener sistemas de detección de las operaciones fraudulentas que son denunciadas por sus clientes.
10ª) La diligencia del cliente en denunciar las operaciones extrañas, es esencial, para probar la prestación defectuosa del servicio bancario.
Con la actual Ley de Servicios de Pago el cliente víctima de phising, debe pedir las cantidades que han sido sustraídas más los intereses y todos aquellos gastos ocasionados por esa mala praxis bancaria. Se pueden solicitar al banco los daños morales, a tenor del artículo 45 de la Ley de Servicios de Pago, en el importe que determina la ley.
En la propia sentencia dictada por el Tribunal Supremo, se introduce una cuestión que confirma la jurisprudencia, acerca de las cláusulas contractuales que el banco incorpora en su contrato de prestación de servicios con terceros, donde dice que se exime de responsabilidad ante cualquier ataque o fraude. son abusivas y nulas, aunque estén incorporadas al contrato de banca «on line».
En «QUERCUS JURIDICO» como despacho especializado en banca, consideramos que esta sentencia del Tribunal Supremo, es un avance más en la defensa de los derechos de los clientes de la banca, ya que fija las obligaciones de los bancos para con los clientes, en el caso de fraudes cibernéticos. Confirma las tesis de nuestro despacho en el sentido de que el el riesgo tecnológico no puede cargarse sobre el consumidor, recayendo la responsabilidad sobre cuando el proveedor del servicio de banca digital.
Desde el despacho de abogados «QUERCUS jURÍDICO»«, www.quercusjuridico.es , hemos de hacer saber a los lectores, que el ‘phishing’ es una práctica que los delincuentes están utilizando habitualmente para sustraer dinero de las cuentas de los clientes de banca, ya sean consumidores y personas jurídicas. Para más información sobre la defensa de sus derechos, pueden ponerse en contacto con nosotros en info@superbiajuridico.es, o en el teléfono 913658322 y les asesoraremos inmediatamente.