En un contexto donde las transacciones digitales se han convertido en la norma, la seguridad en las operaciones bancarias es de suma importancia. La reciente sentencia del Tribunal Supremo (STS 158/2025) marca un precedente significativo al establecer la responsabilidad de las entidades bancarias en casos de estafas digitales, obligándolas a reembolsar de inmediato los fondos sustraídos a los clientes afectados.
Esta decisión se enmarca dentro de un creciente número de litigios relacionados con fraudes electrónicos, como el phishing y el smishing, que han afectado a numerosos usuarios del sistema financiero.
Desarrollo del Tema
a) Puntos clave del caso
La STS 158/2025 aborda el caso de un cliente que fue víctima de una estafa digital, donde terceros accedieron a su cuenta bancaria y realizaron transferencias no autorizadas. El cliente reclamó al banco la devolución de los fondos, pero la entidad se negó, alegando que las operaciones se realizaron con las credenciales correctas.
El Tribunal Supremo determinó que el banco no implementó las medidas de seguridad adecuadas para prevenir este tipo de fraudes, incumpliendo así su obligación de proteger los fondos de sus clientes:
b) Criterios aplicables y su impacto
El Tribunal se basó en la Directiva (UE) 2015/2366 sobre servicios de pago en el mercado interior (PSD2), que establece que, salvo en casos de negligencia grave o fraude por parte del usuario, el proveedor de servicios de pago debe reembolsar inmediatamente al usuario el importe de las operaciones de pago no autorizadas.
Esta interpretación refuerza la protección del consumidor en el ámbito digital y obliga a las entidades financieras a mejorar sus sistemas de seguridad para prevenir fraudes electrónicos.
c) Problemas frecuentes y desafíos
Uno de los principales desafíos en la aplicación de esta normativa es determinar cuándo existe negligencia grave por parte del usuario. Los bancos a menudo argumentan que los clientes son responsables por compartir sus credenciales, mientras que los clientes sostienen que fueron víctimas de engaños sofisticados.
Además, la rápida evolución de las técnicas de fraude digital requiere una constante actualización de las medidas de seguridad por parte de las entidades financieras.
d) Jurisprudencia y normativa relacionada
La STS 158/2025 se alinea con otras decisiones judiciales que han establecido la responsabilidad de los bancos en casos de estafas digitales. Por ejemplo, la Audiencia Provincial de Oviedo condenó a Unicaja a abonar 6.000 euros a un cliente víctima de una estafa informática, destacando la falta de un sistema de seguridad adecuado por parte del banco .
Asimismo, la Audiencia de Cantabria condenó a Liberbank a indemnizar a una clienta que fue víctima de phishing, señalando que el banco no implementó todas las medidas necesarias para proteger a su cliente .Poder Judicial
Preguntas Frecuentes (FAQ)
¿Cómo afecta esta sentencia a empresas o ciudadanos?
Establece que los bancos son responsables de reembolsar de inmediato los fondos sustraídos en operaciones no autorizadas, salvo que puedan demostrar negligencia grave o fraude por parte del cliente.
¿Qué deben hacer los interesados para beneficiarse o cumplir con la norma?
Los clientes deben notificar de inmediato al banco cualquier operación no autorizada y conservar evidencia de la comunicación. Además, deben seguir las recomendaciones de seguridad proporcionadas por su entidad financiera.
¿Cómo pueden evitarse sanciones o conflictos legales?
Las entidades financieras deben implementar y mantener actualizadas medidas de seguridad robustas para prevenir fraudes digitales. Por su parte, los clientes deben ser cautelosos y no compartir sus credenciales con terceros.
¿Qué deben hacer los interesados para beneficiarse o cumplir con la norma?
Los usuarios deben:
- Notificar inmediatamente al banco cualquier transacción sospechosa.
- Conservar todas las comunicaciones relacionadas con el fraude.
- Presentar una reclamación formal ante la entidad financiera.
- En caso de respuesta insatisfactoria, acudir a las autoridades competentes o iniciar acciones legales.
Conclusión
La STS 158/2025 refuerza la protección de los consumidores en el ámbito digital, estableciendo una clara responsabilidad de las entidades financieras en la prevención y respuesta a fraudes electrónicos. Esta sentencia obliga a los bancos a mejorar sus sistemas de seguridad y a reembolsar de inmediato los fondos sustraídos en operaciones no autorizadas, salvo en casos de negligencia grave o fraude por parte del cliente.
d) Jurisprudencia y Normativa Relacionada
La sentencia se alinea con decisiones anteriores que han establecido la responsabilidad de las entidades financieras en casos de fraude digital:
- Audiencia Provincial de Oviedo: Condenó a Unicaja a indemnizar a un cliente por no disponer de un sistema de seguridad adecuado frente a ‘SMS spoofing’.
- Audiencia de Cantabria: Obligó a Liberbank a indemnizar a una clienta víctima de phishing, destacando la falta de medidas de seguridad efectivas por parte del banco. Poder Judicial
Estas decisiones consolidan un marco jurisprudencial que enfatiza la obligación de las entidades financieras de proteger a sus clientes frente a fraudes digitales.
Marco Legal Aplicable
La sentencia se enmarca dentro de la legislación española y europea sobre servicios de pago y protección al consumidor, destacando:
- Ley 16/2009, de 13 de noviembre, de servicios de pago, que regula los derechos y obligaciones de los usuarios y proveedores de servicios de pago.
- Directiva (UE) 2015/2366 (PSD2), relativa a los servicios de pago en el mercado interior, que refuerza la seguridad en los pagos electrónicos y la protección del consumidor.
- Código Civil Español, en cuanto a las obligaciones contractuales y la responsabilidad por incumplimiento.