Despacho de abogados en Pontevedra

Responsabilidad del Banco en caso de phishing

Publicado: 13 de mayo de 2025, 20:05
  1. Novedades jurídicas

En su reciente sentencia de fecha 9 de abril de 2025, el Tribunal Supremo ha dictaminado que el Banco responde de los daños y perjuicios ocasionados al cliente cuando no acredita que el servicio se prestó correctamente y que existe fraude o incumplimiento deliberado o gravemente negligente por parte del usuario, pues el hecho de que un tercero hubiera podido acceder a las claves de acceso a la banca digital del usuario no supone por si sola que el usuario haya incurrido en negligencia alguna.

 


El Tribunal Supremo señala que el cliente debe adoptar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas y, en caso de extravío, sustracción o apropiación indebida del instrumento de pago o de su utilización no autorizada, ha de notificarlo al proveedor de servicios de pago de manera inmediata, tan pronto tenga conocimiento de ello. 

 


Por su parte, si el cliente comunica sin demora al Banco que se ha realizado una una operación de pago no autorizada o ejecutada incorrectamente, el Banco debe proceder a su rectificación y reintegrar el importe de inmediato, salvo que tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España.

 


Además, cuando el cliente niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, incumbe a la entidad financiera la carga de demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado o que el cliente cometió fraude o negligencia grave.

 


A este respecto, por “deficiencia del servicio” no se debe entender solo un error o fallo del sistema informático o electrónico -posibilidad que estaría prevista en el concepto de “fallo técnico”-, sino que abarca cualquier falta de diligencia o mala praxis en la prestación del servicio, en el entendimiento de que el grado de diligencia exigible al proveedor de los servicios de pago no es el propio del buen padre de familia, sino que la naturaleza de la actividad y los riesgos que entraña el servicio que se presta, sobre todo en una relación empresario/consumidor, obliga a elevar el nivel de diligencia a un plano superior, como es el del ordenado y experto comerciante. 

 

 

Entre las buenas prácticas a exigir al Banco está la adopción de las medidas de seguridad necesarias para garantizar el correcto funcionamiento del sistema de servicios de pago, entre las cuales destacan las orientadas a detectar de forma automática la concurrencia de indicios de que puede tratarse de una operación anómala y generar una alerta o un bloqueo temporal (por ejemplo, reiteración de transferencias sin solución de continuidad, horario en que se producen, importe de las mismas, destinatarios, antecedentes en el uso de la cuenta...), o las dirigidas a incrementar el control y vigilancia cuando se han recibido noticias o alertas de un posible aumento del riesgo. 

 


Por ello, el que la entidad bancaria acredite que la operación fue autenticada, registrada con exactitud y contabilizada, no es suficiente para eximirle de responsabilidad, sino que ha de probar que la operación no resultó afectada por un fallo técnico u otra deficiencia del servicio prestado, y, cuando el cliente niega que la operación fuera consentida, que no hubo por parte de este último fraude, incumplimiento deliberado o negligencia grave. 

 


La sentencia destaca que los avances de la tecnología actual hacen relativamente sencillo diseñar sistemas o aplicaciones informáticas idóneas para detectar ciertas anomalías en la prestación de los servicios de pago. Así, operaciones que, tratándose de empresas o sociedades con un concreto objeto social, pueden calificarse como ordinarias, deben inmediatamente levantar sospechas y dar lugar a una respuesta cuando afectan a personas físicas ajenas a tales actividades.

 


A este respecto, sería suficiente un control automático de determinados factores, como el número y sucesión de operaciones, el intervalo en que se ejecutan, la hora del día, su importe, entidades de destino..., para generar un aviso que reforzara los requisitos de confirmación y minimizara los posibles riesgos. 

 


En el caso enjuiciado, nos encontramos, de un lado, ante una conducta diligente del titular de la cuenta, que informó, inmediata y reiteradamente, al personal de entidad de lo que estaba sucediendo, cumpliendo la obligación que expresamente le imponía la normativa comunitaria y nacional; y, de otro lado, ante un servicio que se presta defectuosamente por el proveedor, tanto por no tomar en consideración la información recibida pese a su gravedad, como por omitir la adopción de medidas que posibilitaran la detección de eventuales maniobras fraudulentas. 

 


Para el Tribunal, no puede considerarse como normal e irrelevante que, como sucedía en el caso resuelto, una persona que jamás efectúa operaciones de madrugada, de repente, proceda a llevar a cabo hasta diecisiete operaciones seguidas y por un importe tan elevado (más de 83.000 euros). Del mismo modo que el sistema rechazó dos de Bizum por exceder del máximo diario, el proveedor de servicios de pago ha de adoptar las medidas de seguridad que garanticen su correcto funcionamiento y minimicen los riesgos y los daños en caso de llegar a materializarse.

 

 

Asimismo, el hecho de que la filtración o el conocimiento de las claves por el tercero no sea imputable a la entidad bancaria tampoco la libera de obligación de responder ni traslada al usuario la obligación de soportar las pérdidas, ya que el proveedor de servicios de pago, además de demostrar que el servicio se prestó correctamente -lo que no sucedió-, debía acreditar la concurrencia de fraude o incumplimiento deliberado o gravemente negligente por parte del usuario. El que un tercero hubiera podido acceder a las claves de acceso a la banca digital del cliente no supone por si solo que haya incurrido en negligencia alguna, pudiendo existir múltiples explicaciones, muchas de las cuales resultan difícilmente atribuibles a título de negligencia, y menos aún, de negligencia grave.

Noticias relacionadas

La empresa no está obligada a negociar previamente con la representación de los trabajadores el acuerdo tipo de teletrabajo 27 jun

La empresa no está obligada a negociar previamente con la representación de los trabajadores el acuerdo tipo de teletrabajo

 En su reciente sentencia de fecha 12 de mayo de 2026, el Tribunal Supremo ha dictaminado que la empresa no tiene obligación legal de negociar previamente con la representación legal de los trabajadores el acuerdo tipo de trabajo a distancia cuando se garantiza el derecho de información y consulta
Cobro del plus de asistencia durante el disfrute de permisos y en situación de incapacidad temporal 21 jun

Cobro del plus de asistencia durante el disfrute de permisos y en situación de incapacidad temporal

 En su reciente sentencia de fecha 28 de mayo de 2026, el pleno del Tribunal Supremo establece que los trabajadores tienen derecho a cobrar la prima de asistencia durante el permiso o licencia previstos legalmente como retribuidos, al formar parte de la retribución ordinaria que debe mantenerse
No es posible implantar una aplicación como único medio de gestión de recursos humanos 27 may

No es posible implantar una aplicación como único medio de gestión de recursos humanos

En su reciente sentencia de fecha 22 de abril de 2026, el Tribunal Supremo ha confirmado la anulación de la decisión de una empresa de imponer a sus empleados la utilización de una herramienta digital como único medio para las consultas de nómina y entrega de documentación (partes de baja,
Inicio del plazo de prescripción para declarar la responsabilidad subsidiaria respecto a deudor principal en concurso de acreedores 16 may

Inicio del plazo de prescripción para declarar la responsabilidad subsidiaria respecto a deudor principal en concurso de acreedores

En su reciente sentencia de fecha 30 de abril de 2026, el Tribunal Supremo ha dictaminado que el plazo de prescripción para declarar la responsabilidad subsidiaria en caso de insolvencia del deudor principal que se encuentra en situación de concurso comienza desde que la Administración disponga de