(Expansión, 08-05-2025) | Mercantil, civil y administrativo
El magistrado Manuel Almenar, de la Sala de lo Civil del Tribunal Supremo, hace referencia a la Directiva europea sobre servicios de pago y a la legislación española correspondiente, en las que se establece que la única obligación de los usuarios es informar al banco de cualquier movimiento no autorizado en sus cuentas. En caso contrario, será la entidad bancaria la que deba demostrar que el cliente actuó con negligencia, facilitando así el fraude digital que derivó en el robo.
En la resolución del caso, aunque Ibercaja Banco contaba con los sistemas de seguridad requeridos por la normativa y logró recuperar cerca de 27.000 euros del monto total sustraído, el Tribunal Supremo destaca que el cliente ya había alertado días antes de haber recibido varios mensajes SMS sobre transferencias que no había solicitado y notificaciones de seguridad enviadas por Google. A pesar de esto, el banco no reforzó sus medidas de seguridad.
Ante esta situación, surge la pregunta: ¿qué se entiende por negligencia? El magistrado señala como ejemplo el hecho de guardar las credenciales necesarias para autorizar un pago junto con el medio de pago, en un formato que pueda ser fácilmente descubierto por terceros. Si se trata de una operación en línea, añade Almenar, corresponde al proveedor de servicios probar que el cliente actuó con negligencia.
En una sentencia reciente, el Tribunal Supremo ha determinado que las entidades bancarias deben asumir la responsabilidad por las pérdidas económicas sufridas por clientes que hayan sido víctimas de fraudes digitales o clonación de tarjetas. El fallo, emitido el pasado 9 de abril, hace alusión al caso de un cliente de Ibercaja Banco que perdió más de 80.000 euros tras ser víctima de una técnica de fraude conocida como SIM Swapping, mediante la cual los delincuentes duplicaron su tarjeta SIM y realizaron múltiples operaciones ilícitas.
Tras solicitar al banco la devolución del dinero sin éxito, el caso llegó al Tribunal Supremo, que finalmente ordenó a Ibercaja la restitución inmediata del importe sustraído y estableció jurisprudencia sobre la responsabilidad de los bancos frente al aumento de este tipo de fraudes. La Sala de lo Civil considera que las entidades deben contar con sistemas de seguridad eficaces, como el cifrado a través de dispositivos personales, para reducir el riesgo de suplantación de identidad y otras acciones fraudulentas.
Asimismo, el fallo sostiene que los bancos deben vigilar atentamente las transacciones de sus clientes para identificar movimientos anómalos y prevenir fraudes mayores. En este sentido, bastaría con controles automáticos de ciertos factores -como el número de operaciones, la frecuencia, el horario, los importes o las entidades de destino- para activar alertas y reforzar los mecanismos de verificación.
El Tribunal señala que no es razonable ni habitual que una persona que nunca realiza operaciones en horas nocturnas, de repente, ejecute 17 transacciones seguidas por cantidades elevadas. De la misma manera en que el sistema rechazó dos pagos por Bizum por exceder el límite diario, el proveedor de servicios debe adoptar medidas de seguridad que aseguren el correcto funcionamiento del sistema y reduzcan al mínimo los riesgos y consecuencias de un posible fraude.
Finalmente, la sentencia también invalida las cláusulas contractuales que pretenden aumentar las obligaciones del cliente en cuanto a la carga de la prueba o disminuir las responsabilidades de los bancos. A partir de ahora, estas cláusulas serán consideradas nulas.