Introducción
En los últimos años, los delitos de phishing han crecido exponencialmente, afectando tanto a particulares como a empresas. Este tipo de fraude se basa en la suplantación de identidad para obtener datos bancarios y realizar transferencias no autorizadas. Ante esta realidad, surge una pregunta clave: ¿Hasta qué punto son responsables las entidades financieras por los daños causados a sus clientes?
¿Qué es el phishing?
El phishing es una forma de fraude informático mediante la cual los delincuentes engañan al usuario para obtener datos personales o bancarios. Esto suele ocurrir mediante:
- Correos electrónicos
- Mensajes SMS (smishing)
- Llamadas telefónicas (vishing)
todo ello simulando proceder del banco o de una institución oficial.
Una vez obtenidos los datos, los estafadores acceden a la cuenta bancaria y ejecutan operaciones sin conocimiento ni consentimiento del titular.
Responsabilidad de los bancos según la normativa vigente
Conforme al Real Decreto-ley 19/2018, las entidades financieras están obligadas a:
- Garantizar la seguridad de los sistemas de pago.
- Reembolsar al cliente cualquier operación no autorizada, salvo que se pruebe negligencia grave o fraude por parte del propio cliente.
Artículo 45 del Real Decreto-ley 19/2018
Establece que si un usuario niega haber autorizado una operación, la entidad deberá:
- Demostrar que la operación fue correctamente autenticada.
- Probar que no hubo fallo técnico o de seguridad.
- Reintegrar el importe de inmediato en caso contrario.
Doctrina del Tribunal Supremo y jurisprudencia relevante
Sentencia del Tribunal Supremo, 9 de abril de 2025
El Tribunal Supremo señala que los bancos deben reembolsar a sus clientes cualquier cantidad sustraída mediante phishing, salvo que se acredite:
- Participación del cliente en el fraude.
- Negligencia grave por su parte.
El Supremo subraya que la legislación europea y nacional impone una responsabilidad cuasi-objetiva al banco. Incluso si el cliente debe actuar con diligencia y comunicar con rapidez cualquier operación sospechosa, la carga de la prueba recae sobre la entidad financiera.
“El proveedor debe proceder a su rectificación y reintegrar el importe de inmediato, salvo que tenga motivos razonables para sospechar la existencia de fraude.”
Sentencia SAP Pontevedra, Sección 1ª, N.º 402/2021, de 17 de noviembre
Esta resolución condena a una entidad bancaria a devolver 14.000 € sustraídos mediante phishing. La Audiencia Provincial considera que:
- No hubo negligencia grave por parte del cliente.
- La entidad incumplió con los estándares de autenticación reforzada.
- No detectó ni impidió operaciones inusuales contrarias al patrón del usuario.
¿Qué hacer si ha sido víctima de phishing?
Si le han sustraído dinero mediante phishing, smishing o vishing, puede reclamar a su banco el reembolso de las cantidades. En Lexiberia Servicios Jurídicos, nuestro equipo de abogados especialistas en delitos informáticos analizará minuciosamente su caso.
Defenderemos su posición acreditando que no hubo negligencia grave por su parte, exigiendo al banco que cumpla con su obligación de reintegrar el importe.
