Cuando la banca pierde: Phishing, responsabilidad y el hito jurisprudencial del Supremo

 Cuando la banca pierde: Phishing, responsabilidad y el hito jurisprudencial del Supremo

Por Santiago Carretero, Profesor Titular de la Universidad Rey Juan Carlos, Abogado

El phishing ha dejado de ser un mero quebradero de cabeza para convertirse en una amenaza estructural de la banca digital. A continuación, un blog jurídico conciso que reúne toda la normativa, la jurisprudencia y la doctrina clave para entender el nuevo escenario de protección al usuario.

1. Normativa esencial

  1. Directiva (UE) 2015/2366 (PSD2)
    Exige autenticación reforzada del cliente (SCA) y obliga a los prestadores de servicios de pago a implementar medidas técnicas y organizativas para la seguridad de las transacciones electrónicas1.
  2. Real Decreto-ley 19/2018, de 23 de noviembre
    Transpone PSD2 al Derecho español. Su art. 36.1 impone al banco la obligación de reembolsar “de inmediato” las cantidades no autorizadas, salvo que pruebe fraude o negligencia grave del cliente2.
  3. Ley 16/2009, de Servicios de Pago
    Predecesora de PSD2; ya establecía responsabilidad del prestador, aunque sin el énfasis ni el detalle técnico de la normativa actual.

2. Jurisprudencia decisiva

2.1. TS, Sala I, 27-03-2025, n.º 507/2025

Con un ataque man-in-the-middle, el Supremo aplicó la Ley anterior y rechazó exonerar al banco: no basta una mera autenticación técnica para eludir responsabilidad3.

2.2. TS, Sala I, 09-04-2025, n.º 571/2025

Ibercaja deberá reintegrar con intereses más de 83 000 € sustraídos por phishing (SIM duplicada), pues no consta culpa de la víctima. Ratifica instancias previas (Audiencia de Zaragoza y Juzgado nº 7 de 2021) y condena en costas a la entidad4.

3. Doctrina experta (Vanesa Fernández)

  1. Consentimiento real y consciente
    El mero uso de claves no basta: si el cliente niega el consentimiento, el banco debe demostrar que fue expreso y que no hubo negligencia grave.
  2. Responsabilidad cuasi objetiva
    Conforme a PSD2 y RDL 19/2018, el banco reembolsa salvo que pruebe fraude o negligencia grave; además, como profesional experto, debe detectar operaciones inusuales (horario, importe, destino).
  3. Servicio defectuoso
    Ignorar alertas SMS o de acceso no autorizado constituye prestación defectuosa (incumplimiento del art. 36.1 RDL 19/2018).
  4. Nulidad de cláusulas abusivas
    Son nulas las cláusulas contractuales que eximan de toda responsabilidad en caso de fraude informático.
  5. Alcance de la reparación
    El usuario puede reclamar restitución de cantidades, intereses y gastos; la prueba de daños morales es más ardua5.

4. Conclusión

La sentencia 571/2025 supone un hito al consolidar la protección del consumidor bancario frente a phishing:

  • Obliga a la banca a reembolsar daños sin trasladar el riesgo tecnológico al cliente.
  • Refuerza la exigencia de sistemas proactivos de detección de fraudes.
  • Clarifica la nulidad de cláusulas abusivas en los contratos de servicios de pago.

Referencias

  1. Directiva (UE) 2015/2366, especialmente considerandos y arts. 4–13. 
  2. Real Decreto-ley 19/2018, art. 36.1. 
  3. STS Sala I, 27-03-2025, n.º 507/2025. 
  4. STS Sala I, 09-04-2025, n.º 571/2025. 
  5. Fernández, V., “Phishing y responsabilidad bancaria”, Blog CGAE (ICAM). 

Fuente: Economist & Jurist, 20 de mayo de 2025

Comentarios

Publicar un comentario

Entradas populares de este blog

EL MODELO DE INTENTO DE CONCILIACIÓN QUE IMPONE LA LEY DE EFICIENCIA PROCESAL, PROPUESTA DEL ICAM

  MODELO PARA LA ACREDITACIÓN DEL INTENTO DE NEGOCIACIÓN Y TERMINACIÓN DEL PROCESO SIN ACUERDO Artículo 10º.1 de la Ley Orgánica 1/2025, de 2 de enero, de medidas en materia de eficiencia del Servicio Público de Justicia     Artículo 10. Acreditación del intento de negociación y terminación del proceso sin acuerdo.   1. A los efectos de acreditar que se ha intentado una actividad negociadora previa y cumplir el requisito de procedibilidad, dicha actividad negociadora o el intento de la misma deberá ser recogida documentalmente .   2. Si no hubiera intervenido una tercera persona neutral, la acreditación se cumplirá mediante cualquier documento firmado por ambas partes en el que se deje constancia de la identidad de las mismas y, en su caso, de las personas profesionales o expertas que hayan participado asesorándolas , la fecha, el objeto de la controversia, la fecha de la reunión o reuniones mantenidas, en su caso, y la declaración responsable d...
Leer más

LA (POSIBLE) INCONSTITUCIONALIDAD DEL PACTO PSOE-JUNTS SOBRE FRONTERAS E INMIGRACIÓN

Santiago Carretero Sánchez Profesor Titular de Filosofía del Derecho Abogado  El pacto entre el PSOE y Junts podría ser inconstitucional en materia de fronteras e inmigración por varias razones, en función del contenido concreto del acuerdo y su compatibilidad con la Constitución Española.  Entiendo que se sale de la temática de este blog, pero es un tema jurídico de primera magnitud que también tendrá esa dimensión digital si toma cuerpo legal, que entendemos que como tal, el pacto no cabe en nuestra Carta Magna. A continuación, se detallo los principales argumentos jurídicos si bien hay que recordar que es un pacto entre dos partidos sólo: 1. Competencia exclusiva del Estado en fronteras e inmigración El artículo 149.1.2ª de la Constitución Española establece que la regulación de nacionalidad, inmigración, emigración, extranjería y derecho de asilo es competencia exclusiva del Estado. Cualquier cesión de competencias a una comunidad autónoma que afecte a estos ámbitos...
Leer más
  Ley de Eficiencia Judicial y Reforma Integral del Sistema de Justicia en España: reflexiones sobre la Crónica de un caos asegurado Santiago Carretero Sánchez, Profesor Titurlar de Filosofía del Derecho, Abogado SSANs La Ley Orgánica de Eficiencia del Servicio Público de Justicia, publicada recientemente en el BOE y con entrada en vigor el 3 de abril , representa una transformación estructural y procedimental de la justicia en España. La reforma, calificada como histórica, aborda aspectos clave que buscan modernizar y agilizar el sistema judicial, garantizar una mayor equidad entre las partes en conflicto y promover la utilización de métodos alternativos de resolución de conflictos (MASC). 1. Reformas Organizativas en el Sistema Judicial La ley establece cambios profundos en la estructura organizativa de los órganos judiciales: Tribunales de Instancia : Se sustituirán los juzgados unipersonales por tribunales colegiados, lo que permitirá una gestión más eficiente y equilibrad...
Leer más