(El Economista, 07-05-2025) | Mercantil, civil y administrativo
El Tribunal Supremo ha emitido una sentencia clave sobre los fraudes bancarios que sufren los usuarios a través de internet o el móvil, determinando que son las entidades financieras las que deben asumir la responsabilidad y devolver de forma inmediata el dinero sustraído, salvo que puedan probar que el cliente actuó con negligencia grave, como por ejemplo, dejando sus claves escritas junto a la tarjeta.
La resolución, fechada el 9 de abril y redactada por el magistrado Manuel Almenar Belenguer, analiza en profundidad tanto la Directiva europea sobre servicios de pago como su transposición al derecho español. En ella se establece que la única obligación del usuario es comunicar a su entidad, tan pronto como tenga conocimiento, cualquier operación no autorizada en su cuenta. Desde ese momento, salvo prueba de actuación fraudulenta o negligente del cliente, el banco debe devolver el importe sustraído de forma inmediata o, como mucho, al finalizar el siguiente día laborable.
El Supremo también recuerda que son las entidades las que deben reforzar sus medidas de seguridad y establecer mecanismos más eficaces para detectar transacciones sospechosas. Se les insta a implementar sistemas automáticos que alerten de operaciones inusuales, como transferencias de gran importe, movimientos fuera del horario habitual o transacciones repetidas en poco tiempo, con el fin de activar medidas adicionales de verificación y prevenir posibles fraudes.
Según el fallo, "no es razonable ni puede considerarse normal que una persona que nunca realiza operaciones de madrugada, de repente ejecute 17 transacciones consecutivas por sumas elevadas".
Este pronunciamiento resuelve un caso concreto entre un cliente y su banco, en el que los ciberdelincuentes accedieron al correo electrónico de la víctima, duplicaron la tarjeta SIM del teléfono de su esposa y consiguieron extraer 83.600 euros mediante 15 transferencias y operaciones por Bizum durante la madrugada. El cliente había advertido al banco tres semanas antes sobre un posible acceso no autorizado tras recibir notificaciones de Google y varios SMS para validar movimientos. Sin embargo, la entidad no tomó ninguna medida.
El banco alegó que las operaciones eran válidas porque se realizaron con una identificación aparentemente correcta, pero el Supremo desestima esta defensa. Considera que el acceso a las claves por parte de terceros no constituye, por sí solo, una negligencia grave del cliente, y subraya que aunque la filtración no sea atribuible directamente a la entidad, esto no exime al banco de su obligación de devolver el dinero, salvo que pueda acreditar que el usuario actuó con dolo o de manera especialmente imprudente.