Cada vez son más frecuentes los casos en los que se suplanta la identidad de alguien para realizar un pago o hacer una trasferencia bancaria sin su autorización. Suele conseguirse a través del phishing, por correo electrónico, SMS, redes sociales o incluso por teléfono, cuyo objetivo es obtener determinados datos sensibles.

• Según datos de Proofpoint 2023, se estima que cada día se envían 150.000 millones de correos electrónicos de spam, muchos de ellos con enlaces de phishing.
• Entre las marcas más suplantadas para el phishing están Amazon, Google (13%), Facebook, Whatsapp (9%), Netflix o Apple (2%), según estudio de AstraSecurityAudit.
• En cuanto a la posición de España en el ranking mundial de países más afectados, en la actualidad ocupa nada más y nada menos que el tercer puesto, según informa la consultora Deloitte.

La pregunta que nos hacen muchos clientes cuando son víctimas de este tipo de fraudes es si pueden reclamar al banco la devolución del dinero. Y, por ello, comentamos en este post la reciente Sentencia del Tribunal Supremo nº 571/2025, de 9 de abril de este año, que responde a esta cuestión,, al resolver un caso en el que se realizan diversas transferencias bancarias sin la autorización del titular de la cuenta tras haber suplantado su identidad (mediante el clonado de su SIM y obtención de credenciales).

¿Cuándo responden los bancos y otros proveedores de servicios de pago?

En primer lugar mencionaremos la legislación aplicable a tener en cuenta:

• Real Decreto Ley 19/2018, de 13 de noviembre, que establecen un régimen de responsabilidad cuasi objetiva del proveedor de los servicios de pago.
• Directiva 2015/2366
• Directrices de la Autoridad Bancaria Europea (EBA/GL/2017/09), sobre la sustitución del modo tradicional de acceder a los servicios on-line a través de unas credenciales basadas exclusivamente en usuario y contraseña, por un sistema de autenticación fuerte, basado en al menos dos factores, el segundo de los cuales puede ser un certificado digital, un dispositivo criptográfico que genera un número único, una línea de telefonía para recibir SMS o una app en un dispositivo móvil.
• Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros. Avanza un paso más  y, además de desarrollar el contenido y las exigencias en materia de autenticación reforzada, impone en su art. 2 a los proveedores de servicios de pago el deber de incorporar mecanismos de supervisión que les permitan detectar operaciones de pago no autorizadas o fraudulentas a efectos de la adopción de terminadas medidas de seguridad.

Y, teniendo en cuenta dicha normativa, y las Sentencias relevantes en esta materia del TJUE (en especial la Sentencias del Tribunal de Justicia de 2 de septiembre de 2021 asunto C-337/20), nuestro TS concluye como sigue:

1. El usuario solo responde cuando haya incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones.
2. La prueba de lo anterior incumbe al banco o prestador de los medios de pago.
3. La negligencia grave tiene que significar algo más que la mera negligencia, lo que entraña una conducta caracterizada por un grado significativo de falta de diligencia por parte del usuario o cliente.

Por lo tanto, como usuarios de servicios de pago debemos adoptar todas las medidas razonables a fin de proteger nuestras credenciales de seguridad personalizadas y, en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, hemos de notificarlo al banco o proveedor de servicios de pago de manera inmediata, tan pronto tengamos conocimiento de ello.

Pero, si a pesar de haber adoptado las medidas razonables para evitar para evitar el fraude, se ejecuta una operación de pago que no hemos autorizado o se ejecuta de manera incorrecta, la entidad bancaria debe acreditar no solo que la operación fue autenticada, registrada con exactitud y contabilizada, sino que, además, no resultó afectada por un fallo técnico u otra deficiencia del servicio prestado, y que no hay por nuestra parte fraude, incumplimiento deliberado o negligencia grave.

En el caso concreto que resuelve la Sentencia del TS mencionada, el usuario informó de inmediato de unos SMS que había recibido para autorizar unas transferencias que no había ordenado, lo que hacía pensar que un tercero podía haberse apropiado de sus credenciales o conseguido acceso a su dispositivo móvil, con el riesgo que ello suponía. A pesar de esto, el banco no adoptó ninguna medida y, pasado un mes, tampoco detectó, para bloquear o emitir alguna alerta, la realización de 15 transferencias sucesivas durante una noche, de madrugada, por importes elevados, hasta sumar más de 80.000 euros.

Posteriormente, se pudo acreditar que la SIM del usuario había sido clonada y que un tercero había accedido a sus credenciales, pudiendo realizar las transferencias así como confirmarlas con los códigos enviados por SMS a la terminal móvil.

Por lo tanto, se considera que, además de no haberse acreditado la negligencia grave del usuario, que comunicó al banco la recepción de SMS sospechosos un mes antes de las transferencia, la entidad bancaria no había adoptado los medios de seguridad a los que viene obligada para detectar y alertar o bloquear actividades sospechosas como proveedor de servicios de pago.

En este caso, el banco desde el que se ordenan las transferencias no detecto la inusual actividad y fue el banco en el que estaban las cuentas beneficiarias quien alertó de las mismas a la mañana siguiente, cumpliendo con su obligación de establecer medios para detectar operaciones dudosas.

El banco es condenado por todo ello a reintegrar el dinero dispuesto de forma fraudulenta.

Aquí el Enlace a la sentencia para más información.

Contacta con nosotros para valorar tu caso.

info@guevaraabogados.es