El Tribunal Supremo establece que las entidades reembolsen el importe sustraído si el usuario no incurre en negligencia grave
Comentarios: 0
Una mujer consulta su smartphone preocupada por un posible fraude online
El Supremo obliga a los bancos a devolver el dinero sustraído en fraudes online si el cliente actuó con diligencia Creative commons

Una sentencia del Tribunal Supremo dictada el 9 de abril ha marcado un hito en la protección de los consumidores frente al fraude bancario online. La Sala de lo Civil ha dejado claro que, cuando un cliente es víctima de una estafa digital, el banco no puede escudarse en tecnicismos para evitar su responsabilidad. A menos que demuestre que el usuario actuó con negligencia grave, la entidad deberá devolver el dinero sin demora.

¿Qué pasa si me roban dinero de mi cuenta bancaria por internet?

Esta es una de las preguntas que más preocupan a los usuarios de banca digital. La respuesta, tras la reciente resolución, es directa: el banco debe reintegrar el importe siempre que el cliente haya actuado con diligencia y no haya facilitado sus datos de forma voluntaria.

El fallo, que obliga a Ibercaja a reintegrar más de 56.000 €, se centra en un caso de SIM Swapping, modalidad de fraude en la que los estafadores duplican o portan de forma fraudulenta el número de teléfono de la víctima a una tarjeta SIM bajo su control. Con ello reciben los códigos SMS de autenticación y completan transferencias sin que el titular original pueda intervenir.

¿Cómo puedo demostrar que no autoricé la operación si se usó mi móvil y mis claves?

No tienes que demostrarlo tú. Es el banco quien debe probar que hubo consentimiento real y que la operación fue autenticada sin fallos de seguridad. Si niegas haber autorizado el pago y has actuado con precaución, la carga de la prueba recae en la entidad.

¿Los fraudes con Bizum, tarjetas o transferencias SEPA también se abarcan?

Sí. El régimen cuasiobjetivo de responsabilidad se aplica a cualquier medio de pago: Bizum, transferencias inmediatas o SEPA, cargos con tarjeta, apps, etc. Lo decisivo es que no exista consentimiento real y que el cliente no incurra en negligencia grave.

La sentencia incide en que las entidades están obligadas a mantener sistemas de seguridad capaces de detectar operaciones anómalas, como transferencias a horas intempestivas, movimientos por importes elevados o repeticiones inusuales de Bizums.

¿Cuál es la diferencia entre negligencia leve y negligencia grave en estos casos?

La negligencia leve es un simple descuido, como no cambiar la contraseña a menudo. La negligencia grave, en cambio, implica una actitud claramente imprudente, como facilitar voluntariamente los datos de acceso y validación.

Las cláusulas que exoneran de responsabilidad a la banca son nulas

Durante años, muchas entidades han incluido en sus contratos cláusulas que liberan al banco de responsabilidad cuando se produce un uso indebido de los servicios online. Esta práctica, aunque frecuente, ya no tiene respaldo legal, pues el Alto Tribunal ha dejado claro que esas cláusulas no pueden contradecir la normativa imperativa, que protege al consumidor ante este tipo de situaciones.

¿Entonces puedo reclamar al banco si firmé un contrato que lo exime de responsabilidad?

Sí. La ley declara nulas esas cláusulas si contradicen los derechos del consumidor. El banco no puede protegerse mediante un contrato privado frente a una obligación legal.

La legislación, tanto española como europea, no deja lugar a dudas: el Real Decreto-ley 19/2018, en línea con la Directiva UE 2015/2366, establece que el banco debe reembolsar el dinero sustraído en operaciones no autorizadas, salvo que, como hemos mencionado, pueda probar que el cliente incumplió de forma grave sus propias obligaciones.

El uso de un sistema de doble autenticación (como el SMS con código de verificación) no exime a la entidad de responsabilidad mientras el cliente niegue haber autorizado la operación y no demuestre negligencia por su parte.

¿Cuánto tiempo tengo para reclamar si he sido víctima de una estafa online?

Tienes un plazo máximo de 13 meses desde la fecha del cargo no autorizado, según el artículo 43 del RDL 19/2018. Sin embargo, debes notificar “sin demora injustificada” cualquier operación sospechosa tan pronto la detectes. Un retraso injustificado puede suponer que el banco alegue incumplimiento de tu deber de comunicación, aunque todavía no hayan transcurrido los 13 meses.

¿Qué medidas debe tomar el banco para evitar fraudes?

De acuerdo con el fallo, la banca debe adoptar medidas de seguridad adecuadas no solo para validar las operaciones técnicamente, sino también para identificar indicios de anormalidad en función del perfil del cliente y de los movimientos que se ejecutan.

La diligencia exigible no es la de un tercero cualquiera, sino la de un operador experto que presta un servicio esencial en condiciones de superioridad técnica e informativa. La sentencia destaca, entre otras obligaciones implícitas del banco, las siguientes:

  • Detectar operaciones anómalas en función de parámetros como la cantidad, frecuencia, franja horaria o destinatario, sobre todo cuando difieren del historial habitual del cliente.
  • Generar alertas automáticas o bloqueos preventivos ante patrones de riesgo, como una sucesión rápida de transferencias de madrugada o por importes elevados sin precedentes.
  • Incrementar los controles o exigir confirmación reforzada si existen dudas razonables sobre la identidad del ordenante, según lo previsto en el contrato.
  • Atender con seriedad las advertencias del cliente, en especial al comunicar accesos sospechosos, códigos de verificación no solicitados o cargos no reconocidos en fechas anteriores al fraude.

¿Qué debe hacer el cliente ante una estafa online?

Aunque la sentencia protege al usuario, esto no significa que pueda desentenderse, ya que el incumplimiento de ciertas medidas podría interpretarse como una negligencia. Entre otras obligaciones, el cliente debe:

  • Notificar al banco cualquier operación sospechosa.
  • No introducir datos personales en sitios web inseguros.
  • Controlar qué aplicaciones instala y qué permisos concede.
  • Mantener seguros sus dispositivos y cambiar contraseñas si recibe alertas de seguridad.

3 mitos sobre fraudes digitales

La sentencia del Tribunal Supremo ha reforzado la protección de los consumidores ante operaciones no autorizadas. A continuación, desgranamos tres de las creencias erróneas más comunes y aclaramos su verdadero alcance legal:

“Si te roban dinero, es culpa tuya por haber dado tus datos”

La ley distingue entre negligencia grave y el mero hecho de ser víctima de un fraude. Según el artículo 45.1 del Real Decreto‑ley 19/2018, el proveedor de servicios de pago (el banco) debe devolver inmediatamente el importe de una operación no autorizada, salvo que acredite fraude del usuario o negligencia grave en la custodia de sus credenciales, como prevé el artículo 46.

“Los contratos que firmamos con el banco pueden hacernos responsables”

Aunque es habitual que los contratos de banca online incluyan cláusulas de exoneración, la normativa imperativa del RDL 19/2018 y la Directiva PSD2 (2015/2366/UE) las deja sin efecto cuando reducen la protección del usuario.

De hecho, el artículo 44 del RDL 19/2018 invierte la carga de la prueba, correspondiendo al banco demostrar que la operación fue autenticada, registrada y libre de deficiencias, o que el cliente actuó con fraude o negligencia grave. Además, el Alto Tribunal ha señalado que cualquier cláusula contraria a estas reglas carece de validez, pues la autonomía de la voluntad no puede rebajar derechos que la ley reconoce al consumidor.

“Con doble autenticación por SMS, el banco ya no tiene la culpa de nada”

El establecimiento de un sistema de autenticación reforzada (dos factores, uno de ellos un SMS) no exime de responsabilidad si la operación no fue realmente autorizada por el cliente.

Según el artículo 36.1 del RDL 19/2018, una operación se considera autorizada solo cuando el ordenante presta su consentimiento real. Si el usuario niega haber consentido la transacción y no consta negligencia grave, la banca debe demostrar que no hubo fallo técnico ni deficiencia de su sistema.

Los bancos deben responder por fraudes digitales si no hay negligencia del usuario

Como vemos, el Supremo ha fijado una línea jurisprudencial que refuerza la protección del consumidor frente a ciberestafas bancarias. Este fallo no solo devuelve miles de euros a un afectado: marca una hoja de ruta para futuras reclamaciones.

El Tribunal Supremo refuerza la protección del usuario ante fraudes digitales

La sentencia del Alto Tribunal consolida un principio claro: mientras el cliente haya actuado con diligencia y no incurra en negligencia grave, la entidad financiera asumirá las consecuencias derivadas del uso no autorizado de sus sistemas. Este criterio refuerza la posición del usuario ante nuevas formas de ciberfraude y sienta las bases para una jurisprudencia coherente en futuras reclamaciones.

Sigue toda la información inmobiliaria y los informes más novedosos en nuestra newsletter diaria y semanal. También puedes seguir el mercado inmobiliario de lujo con nuestro boletín mensual de lujo.

Sigue a idealista/news en el canal de Whatsapp

Ver comentarios (0) / Comentar

Para poder comentar debes Acceder con tu cuenta

Etiquetas
Fraude
Bancos
Sentencia Tribunal Supremo
Banca
Market navigator
Noticias relacionadas
El alcalde de Barcelona, Jaume Collboni

El Ayuntamiento de Barcelona propondrá reducir el fraude de los alquileres de temporada

El Ayuntamiento de Barcelona propondrá reducir el fraude de los alquileres de temporada para evitar "que sea un punto de fuga para huir de la regulación", ha afirmado el alcalde la ciudad, Jaume Collboni.Según ha indicado el socialista en una entrevista a TV3 este jueves, pese a que las competencias del consistorio son, a su juicio, limitadas, ha defendido que "podemos hacer alguna medida para reforzar lo que después debe ser una regulación del Estado y de la Generalitat".Ha afirmado que es

Leer más
La comparativa que demuestra uso de internet en Europa según el grado de discapacidad

La comparativa que demuestra el uso de internet en Europa, según el grado de discapacidad

Un reciente informe de Eurostat revela que, aunque el acceso a Internet sigue creciendo en toda la Unión Europea (UE), persiste una brecha digital entre las personas con discapacidad grave y el resto de la población. Según los datos publicados, el 82,3% de las personas con discapacidad grave en la UE ha utilizado internet durante 2024, mientras que esta cifra asciende al 89% entre quienes tienen una discapacidad moderada y al 95,2% entre quienes no presentan ninguna discapacidad. Esto represe

Leer más
Dos personas consultando su móvil para evitar el phishing en vacaciones

Evita el ‘phishing’ en vacaciones: claves legales y consejos de la Agencia de protección de Datos

Verano, móviles en mano, ganas de desconectar... y una oportunidad perfecta para los ciberdelincuentes. Con la temporada alta de reservas online en marcha, el phishing vuelve a la carga. A través de una guía práctica, la Agencia Española de Protección de Datos (AEPD) nos ofrece las claves esenciales para reservar con seguridad y evitar caer en redes fraudulentas y en este artículo explicamos en qué consiste esta trampa digital, cómo identificarla y qué puedes hacer si ya has sido víct

Leer más
Víctima de phishing bancario revisando sus cuentas en el móvil y el portátil

Un banco tendrá que devolver 4.587 euros a una clienta víctima de ‘phishing’

El auge de los delitos informáticos ha vuelto a poner a los bancos en el punto de mira judicial. La Audiencia Provincial de Cáceres ha sido clara: una entidad deberá devolver 4.587,98 euros a una clienta que cayó en una estafa de phishing durante el confinamiento. La resolución, el 22 de mayo de este año, destaca que el banco no supo prevenir ni detectar una operación anómala ejecutada por un tercero y obliga a la entidad al pago de los intereses legales y las costas del proceso.

Leer más
Persona usando un cajero automático

Los cajeros accesibles entran en funcionamiento el 28 de junio: cómo afectan a bancos y usuarios

Los cajeros automáticos que no sean accesibles tienen los días contados. El 28 de junio entra en vigor una de las medidas más visibles de la Ley 11/2023, que obliga a los bancos a rediseñar la experiencia de usuario para millones de personas. ¿El objetivo? Que nadie, por razones de edad, discapacidad o desconocimiento digital, se quede fuera del sistema. La norma, que transpone al derecho español la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo sobre los requisitos de accesi

Leer más
App MiDNI funcionando en un smartphone

MiDNI: Todo sobre el nuevo DNI digital en España

Llevar el DNI en el móvil ya es posible en España. La aplicación oficial MiDNI, desarrollada por el Ministerio del Interior y gestionada por la Policía Nacional, permite a cualquier ciudadano identificarse con su smartphone en múltiples situaciones cotidianas. Aunque de momento su uso se limita al ámbito presencial dentro del país, el objetivo es que en 2026 se convierta en un documento electrónico plenamente operativo, también en entornos digitales.

Leer más