La Audiencia Provincial de Cantabria ECLI:ES:APS:2025:1772 ha dado la razón a Unicaja Banco en un caso de presunto fraude informático, al considerar que no se acreditó suficientemente la existencia del phishing ni la responsabilidad de la entidad financiera. La resolución (SAP Cantabria, Sección 4ª, nº 553/2025, de 26 de septiembre) revoca la sentencia dictada por el Juzgado de Primera Instancia nº 7 de Santander, que había condenado al banco a devolver más de 9.000 euros a una familia afectada.
⚖️ El origen del conflicto
El caso se remonta a junio de 2022, cuando Florentino y Encarnación —clientes de Unicaja y representantes legales de sus hijos menores— denunciaron haber sido víctimas de un supuesto fraude telefónico (phishing). Según su versión, recibieron varias llamadas que simulaban proceder del banco y, tras ellas, se realizaron operaciones no autorizadas desde sus cuentas: transferencias, pagos con Bizum y compras virtuales por un total de 9.194 euros.
El Juzgado de Primera Instancia consideró que los demandantes actuaron de buena fe y condenó a Unicaja a reembolsar el dinero. Sin embargo, el banco recurrió alegando falta de pruebas sobre el engaño y contradicciones en la versión de los afectados.
🧾 La Audiencia revoca la sentencia
La Audiencia Provincial ha estimado el recurso de Unicaja y absuelve al banco de toda responsabilidad. En su análisis, el tribunal subraya que no se ha acreditado cómo se produjo el supuesto acceso fraudulento, ni que los demandantes hubieran recibido enlaces o mensajes falsos que justifiquen la manipulación de sus credenciales bancarias.
El magistrado ponente destaca que los hechos denunciados “no permiten deducir la responsabilidad del banco, ni siquiera la propia existencia del fraude”. Según el fallo, las llamadas que recibió el demandante aparecían identificadas como “Futurespaña Horizonte VI Fondo de Pensiones”, y no consta que hubiera clicado en ningún enlace fraudulento. Tampoco se aportaron pruebas completas de las transferencias ni de los supuestos números de teléfono vinculados al fraude.
La sentencia reprocha además incoherencias entre la denuncia presentada ante la Guardia Civil y los datos incluidos en la demanda civil: se omitieron números de cuenta, extractos completos y los justificantes que habrían permitido verificar el recorrido del dinero.
⚖️ Marco jurídico y jurisprudencia reciente
La resolución hace un repaso exhaustivo del marco europeo y nacional sobre operaciones de pago no autorizadas, recordando la doctrina del Tribunal Supremo (STS 571/2025, de 9 de abril) y la sentencia del Tribunal de Justicia de la Unión Europea de 2 de septiembre de 2021 (C-337/20).
De acuerdo con esta normativa, los bancos deben reintegrar de inmediato el importe de una operación no autorizada, salvo que prueben dolo o negligencia grave del usuario. No obstante, también se exige al cliente comunicar sin demora el incidente y acreditar razonablemente la existencia de un fraude.
En este caso, la Audiencia considera que no se ha probado ni el fraude ni la falta de diligencia del banco. El tribunal subraya que la simple alegación de haber sido víctima de un ataque de phishing no basta para imputar responsabilidad a la entidad si no se acredita el modo en que se vulneró la seguridad.
⚖️ Una advertencia sobre la carga de la prueba
La Sala recuerda que, aunque la normativa europea impone a los bancos una responsabilidad “cuasi objetiva”, ello no implica una devolución automática en todos los casos. La inversión de la carga de la prueba —que obliga a la entidad a demostrar que la operación fue autenticada y registrada correctamente— solo opera si el cliente acredita la existencia de una operación no autorizada, lo que aquí no se logró demostrar.
En definitiva, la Audiencia estima el recurso, revoca la condena inicial y desestima íntegramente la demanda, imponiendo las costas de la primera instancia a los clientes.
🧩 Conclusión
Esta sentencia marca un contraste con otras resoluciones recientes que han condenado a entidades financieras por fraudes similares. Refleja la tendencia judicial a valorar caso por caso y a exigir un estándar probatorio claro sobre cómo se produjo la estafa y qué medidas de seguridad se vulneraron.
El fallo no niega la existencia general de fraudes informáticos, pero sí advierte que la falta de pruebas precisas y la incoherencia en los relatos de los clientes pueden llevar a desestimar la reclamación, incluso en supuestos de phishing.