En su sentencia n.º 571/2025, de 9 de abril, el Tribunal Supremo ha resuelto un asunto clave en materia de responsabilidad por fraudes digitales, particularmente los conocidos como «SIM swapping». El Alto Tribunal concluye que las entidades bancarias están obligadas a reintegrar las cantidades sustraídas fraudulentamente, salvo que logren acreditar la existencia de negligencia grave o dolo por parte del cliente afectado.
Se trata de una técnica de fraude por la cual los delincuentes duplican la tarjeta SIM del teléfono móvil de la víctima, logrando así acceso a sus credenciales y códigos de verificación enviados por SMS. Con este control, pueden operar en la banca digital y realizar transferencias no autorizadas.
Un cliente, tras detectar actividad sospechosa, cambió sus contraseñas e informó de inmediato al banco, pero los movimientos fraudulentos continuaron, alcanzando una pérdida de casi 84.000 euros. A pesar de las advertencias del cliente, el banco no activó protocolos de seguridad adecuados ni impidió nuevas transferencias. Solo se recuperó una parte del dinero, lo que motivó una demanda por incumplimiento contractual.
El Tribunal de Primera Instancia dio la razón al cliente, considerando que no se probó negligencia grave de su parte. La Audiencia Provincial confirmó la sentencia, destacando que el banco no detectó ni reaccionó adecuadamente ante la estafa.
El banco alegó que las operaciones se autorizaron conforme a los mecanismos pactados (clave de usuario, contraseña y SMS de confirmación), por lo que no debía asumir responsabilidad si esas credenciales fueron utilizadas por terceros.
Sin embargo, el Tribunal Supremo desestima este argumento y reitera los principios que rigen en materia de servicios de pago:
El hecho de que se utilizaran las credenciales del usuario no implica automáticamente que hubo negligencia, ni exime al banco de su obligación de probar lo contrario. Además, se evidenció una deficiencia clara en el servicio bancario prestado, ya que no se tomaron medidas tras la notificación del cliente.
Las entidades bancarias deben asumir las consecuencias de estafas digitales como el “SIM swapping” salvo que prueben la existencia de negligencia grave por parte del cliente. El banco no puede trasladar al usuario las consecuencias de fallos en sus sistemas de seguridad ni escudarse en la autenticación formal de las operaciones si no acredita diligencia en la gestión del riesgo.
Esta sentencia refuerza la protección del consumidor financiero en el ámbito digital y marca un precedente importante en la distribución de riesgos derivados de la banca electrónica.
IURISPREVEN Central
