Problemática procesal y modelo de demanda frente al phishing

Por Santiago Carretero Sánchez, profesor titular de Filosofía del Derecho de la Universidad Rey Juan Carlos, Abogado

La proliferación de fraudes bancarios mediante técnicas de ingeniería social, especialmente el phishing, ha generado una creciente litigiosidad en el ámbito de la responsabilidad civil bancaria. Este fenómeno plantea una doble problemática: por un lado, la necesidad de articular una respuesta procesal eficaz que permita al consumidor reclamar las cantidades indebidamente dispuestas de sus cuentas; por otro, la exigencia de delimitar con precisión los supuestos en los que la entidad bancaria puede exonerarse de responsabilidad.

 

Desde el punto de vista procesal, la Ley Orgánica 1/2025, de 2 de enero, de Medidas de Eficiencia del Servicio Público de Justicia, ha introducido como requisito de procedibilidad la utilización previa de un medio adecuado de solución de controversias (MASC), conforme a sus artículos 5 a 19. Esta exigencia, junto con la obligación de acreditar la representación procesal mediante el Registro Electrónico de Apoderamientos Judiciales (arts. 74 a 77 del RD-Ley 6/2023), configura un nuevo marco normativo que condiciona la admisión de la demanda.

 

En el plano sustantivo, el artículo 45 del Real Decreto-ley 19/2018, de 23 de noviembre, establece una responsabilidad cuasiobjetiva del proveedor de servicios de pago ante operaciones no autorizadas, salvo que se acredite fraude o negligencia grave del usuario. Esta inversión de la carga de la prueba, consagrada en el artículo 44.3 del mismo texto legal, ha sido reiteradamente confirmada por la jurisprudencia menor (SAP Madrid, Sección 14.ª, 81/2023; SAP Salamanca 428/2021; SAP Alicante 107/2018).

 

La jurisprudencia ha delimitado el concepto de negligencia grave en términos restrictivos, exigiendo una conducta caracterizada por una falta significativa de diligencia, no inducida por engaño de terceros (SAP Madrid 184/2022; SAP Granada 212/2022). En este sentido, la STS de 9 de abril de 2025 (SP/SENT/1253350) ha ratificado que el proveedor de servicios de pago debe aportar prueba suficiente de dicha negligencia, especialmente en contextos de fraude digital sofisticado.

 

Asimismo, se ha reconocido la nulidad radical de las operaciones realizadas mediante estafa, por concurrencia de causa ilícita (arts. 6.3, 1275 y 1305 CC), o su anulabilidad por error en el consentimiento (arts. 1261 y 1266 CC), con efectos restitutorios (art. 1303 CC). La jurisprudencia del Tribunal Supremo ha sido clara al respecto: no puede hablarse de negocio jurídico válido cuando el consentimiento ha sido arrancado mediante engaño (STS 1286/2018; STS 449/2013).

 

 

Este modelo de demanda, adaptado a la normativa vigente y a la doctrina jurisprudencial consolidada, ofrece una herramienta útil para la defensa de los derechos del consumidor bancario frente a fraudes de phishing, articulando una doble vía de reclamación: la acción de reintegro por operación no autorizada y la acción de nulidad por causa ilícita o error.

AL JUZGADO DE PRIMERA INSTANCIA QUE POR TURNO CORRESPONDA

D./D.ª [NOMBRE], Procurador/a de los Tribunales, con número de colegiado [n.º], en nombre y representación de D./D.ª [NOMBRE DEL CLIENTE], con NIF [número], y domicilio en [dirección], conforme acredito mediante poder apud acta electrónico inscrito en el Registro Electrónico de Apoderamientos Judiciales (art. 24.1 LEC y arts. 74-77 RD-Ley 6/2023), bajo la dirección letrada de D./D.ª [NOMBRE DEL LETRADO], colegiado/a n.º [número], ante el Juzgado comparezco y como mejor proceda en Derecho,

DIGO:

Que, siguiendo instrucciones de mi mandante, formulo DEMANDA DE JUICIO VERBAL DE RECLAMACIÓN DE CANTIDAD por importe de [€], contra la entidad bancaria [NOMBRE], con CIF [número] y domicilio social en [dirección], con base en los siguientes:

I. HECHOS

1. Estafa sufrida mediante phishing.
Mi representado fue víctima de una estafa digital entre las [hora] del día [fecha] y las [hora] del mismo día, mediante técnicas de ingeniería social consistentes en:

- Recepción de SMS falsos con enlaces a páginas web clonadas de la entidad bancaria.
- Llamadas telefónicas suplantando al departamento antifraude del banco.
- Solicitud de códigos de verificación para completar operaciones fraudulentas.

2. Denuncia penal.
Los hechos fueron denunciados ante la Policía Nacional, dando lugar al atestado n.º [número], cuya copia se acompaña como Documento n.º 1. Posteriormente se amplió la denuncia con nuevas operaciones fraudulentas (Documento n.º 6).

3. Pruebas documentales.
Se aportan como prueba:

- Documento n.º 2: Capturas de los SMS fraudulentos.
- Documento n.º 3: Registro de llamadas recibidas.
- Documento n.º 4: Capturas de los códigos de verificación enviados.
- Documento n.º 5 y 7: Extractos bancarios con detalle de las operaciones no autorizadas.
- Documento n.º 8: Respuesta denegatoria del banco.
- Documento n.º 9 y 10: Reclamación extrajudicial y respuesta del Servicio de Atención al Cliente.

4. Reclamación extrajudicial.
Se remitió burofax conforme a la Disposición Adicional Séptima de la LO 1/2025, sin obtener respuesta satisfactoria (art. 5 LO 1/2025 y arts. 2-19 LO 1/2025).

II. FUNDAMENTOS DE DERECHO

A. Procesales

- Jurisdicción y competencia: Juzgado de Primera Instancia del domicilio del consumidor (arts. 21 LOPJ, 36, 45 y 51.1 LEC).
- Procedimiento: Juicio verbal por razón de la cuantía (art. 250.2 LEC).
- Postulación: Representación por Procurador y asistencia letrada (arts. 23 y 31 LEC).
- Cuantía: [€] (art. 253 LEC).
- Costas: Procede su imposición conforme a los arts. 394 y 395 LEC, en su redacción dada por la LO 1/2025.

B. Materiales

1. Acción principal: Reclamación por operación no autorizada.
- Art. 45 RD-Ley 19/2018: obligación del proveedor de servicios de pago de reintegrar las cantidades dispuestas sin autorización.
- Art. 36 RD-Ley 19/2018: inexistencia de consentimiento válido.
- Art. 44.3 RD-Ley 19/2018: inversión de la carga de la prueba.
- Jurisprudencia: STS 9/04/2025 (SP/SENT/1253350), SAP Madrid 81/2023, SAP Ourense 369/2023.

2. Acción subsidiaria: Nulidad por causa ilícita o error.
- Art. 1275 CC: causa ilícita por estafa.
- Art. 6.3 y 1305 CC: nulidad radical.
- Art. 1261 y 1266 CC: error en el consentimiento.
- Art. 1303 CC: restitución de prestaciones.
- Jurisprudencia: STS 1286/2018, STS 449/2013, SAP Madrid 372/2017.

3. Responsabilidad del banco como depositario.
- Art. 307 CCom: responsabilidad por pérdida o sustracción de numerario depositado.

4. Irrelevancia del sistema de autenticación reforzada.
- Art. 3 RD-Ley 19/2018: definición de autenticación reforzada.
- SAP Coruña 364/2023, SAP Navarra 223/2023: no exime de responsabilidad si no se acredita identidad del usuario.

III. SUPLICO AL JUZGADO

1. Que se admita esta demanda y, previos los trámites legales, se dicte sentencia estimatoria por la que se condene a la entidad demandada a:

a) Reintegrar a mi representado la suma de [€], en aplicación del art. 45 RD-Ley 19/2018, más intereses moratorios del art. 1108 CC desde la reclamación extrajudicial.

b) Subsidiariamente, declarar la nulidad de las operaciones por causa ilícita (arts. 6.3, 1275 y 1305 CC) o error (arts. 1261 y 1266 CC), con restitución de las cantidades dispuestas, más intereses legales.

2. Con expresa condena en costas a la parte demandada (arts. 394 y 395 LEC).

IV. OTROSÍ DIGO

1. Que esta parte manifiesta su voluntad de subsanar cualquier defecto procesal conforme a los arts. 231 LEC y 11.3 LOPJ.

2. Que se habilite al Procurador para la práctica de actos de comunicación (arts. 152 y 163 LEC).

3. Que el emplazamiento se realice conforme al art. 162 LEC (notificación electrónica) y, en su defecto, por edictos (art. 164 LEC).

4. Que se acompaña índice documental conforme al art. 273.4 LEC.