COMENTARIO A LA SENTENCIA DEL TRIBUNAL SUPREMO NÚM. 571/2025, DE 9 DE ABRIL: LA RESPONSABILIDAD BANCARIA FRENTE AL FRAUDE DIGITAL

La Sentencia núm. 571/2025, dictada por la Sala Primera del Tribunal Supremo en fecha 9 de abril de 2025, representa un hito en la jurisprudencia española en materia de responsabilidad de las entidades bancarias frente a operaciones no autorizadas derivadas de fraudes digitales, particularmente en los supuestos de phishing y SIM swapping. El pronunciamiento unifica criterios dispares mantenidos hasta ahora por distintas audiencias provinciales y ofrece una doctrina clara sobre los estándares de diligencia exigibles a los bancos en este contexto.

El supuesto de hecho sometido a enjuiciamiento resulta cada vez más común en la práctica bancaria contemporánea. Un cliente fue víctima de un ataque de phishing, mediante el cual los delincuentes obtuvieron sus credenciales de acceso a la banca electrónica. Posteriormente, utilizando técnicas de SIM swapping, duplicaron su tarjeta SIM y tomaron el control de su número de teléfono, lo que les permitió interceptar los códigos de verificación necesarios para completar varias transferencias bancarias de elevado importe.
El banco, tras recibir la reclamación del cliente, rechazó su responsabilidad. Alegó que las operaciones habían sido válidamente autenticadas mediante los mecanismos habituales —usuario, contraseña y códigos de verificación—, y que, en consecuencia, no existía fallo en sus sistemas de seguridad.
Sin embargo, tanto la Audiencia Provincial como el Tribunal Supremo fallaron a favor del cliente, condenando a la entidad bancaria a la devolución de las cantidades sustraídas.

La Sala Primera del Tribunal Supremo descarta que la introducción correcta de las credenciales del cliente constituya, por sí sola, prueba suficiente de autenticación en los términos exigidos por el artículo 7 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago. La sentencia subraya que la entidad bancaria debe no solo implementar sistemas de autenticación fuerte, sino también monitorizar de forma efectiva el comportamiento transaccional del cliente, de modo que operaciones anómalas puedan ser detectadas y sometidas a medidas adicionales de verificación.
En este caso, las transferencias se realizaron desde una dirección IP distinta de la habitual, a beneficiarios no recurrentes, y por importes significativamente superiores a los movimientos ordinarios del cliente. A juicio del Alto Tribunal, estas señales eran suficientes para activar alertas de seguridad que el banco debió considerar para paralizar las operaciones o requerir confirmación expresa del titular por medios alternativos.
El fallo también incide en la necesidad de que las entidades bancarias adopten medidas proactivas frente a fraudes conocidos. Tanto el phishing como el SIM swapping son técnicas extendidas y documentadas, respecto de las cuales los bancos tienen un deber reforzado de vigilancia, prevención y reacción.

Esta resolución constituye un importante precedente que probablemente marcará el rumbo de futuros litigios en esta materia. En primer lugar, porque traslada a las entidades bancarias una mayor carga de diligencia y control, alejándose del automatismo con el que tradicionalmente se venía validando cualquier operación realizada con credenciales correctas.
En segundo lugar, porque equilibra la posición del cliente, muchas veces desprotegido frente a ataques altamente sofisticados, cuya autoría es difícil de acreditar y cuya prevención excede con frecuencia sus posibilidades técnicas.
Por último, la sentencia tiene implicaciones relevantes sobre la carga de la prueba. Aunque formalmente corresponde al cliente demostrar que no autorizó la operación, el Tribunal reconoce que, una vez alegado y probado el fraude, el banco debe acreditar que actuó con la diligencia exigible y que su sistema de seguridad fue suficiente para prevenir el ataque. En caso contrario, será responsable de los daños sufridos por el usuario.

La Sentencia núm. 571/2025 consolida una doctrina protectora del cliente bancario frente a los riesgos crecientes del entorno digital. Las entidades financieras no pueden ampararse en el cumplimiento formal de los protocolos de autenticación para eludir su responsabilidad, especialmente cuando los indicios de fraude son evidentes y no se adoptan medidas preventivas razonables. El fallo supone un avance en la adaptación del Derecho a los nuevos retos tecnológicos y sienta las bases para una mayor exigencia en materia de ciberseguridad bancaria.