La Sentencia 571/2025, de 9 de abril,  de la Sala de lo Civil del Tribunal Supremo, tras diez años de vigencia del marco regulatorio europeo del servicio de pago, ha definido la linea interpretativa a seguir con respecto a la responsabilidad legal de las entidades bancarias en los supuestos de "phishing bancario". 

Te adjuntamos la misma  a este post para que puedas contar con su contenido íntegro. 

A partir de ahora, conforme a la jurisprudencia del Tribunal Supremo, las entidades bancarias, en aquellos casos en que se ha producido un phishing bancario, ya no pueden "escudarse"  bajo el falso pretexto de que una operación de pago autenticada, registrada con exactitud y contabilizada, es necesariamente "equivalente" a una operación de pago consentida por el usuario del servicio de pago.  

De hecho, tal como nos muestra la referida sentencia, en la mayoría de los casos de phishing bancario sucede exactamente lo contrario, esto es, se produce una operación no consentida y por tanto corresponde a la entidad bancaria, salvo contadas excepciones,  acarrear con la responsabilidad de la sustracción sufrida por el usuario. 

El "aparente axioma" (operación registrada = operación consentida) del que insensiblemente se sirven las entidades bancarias, con el beneplácito del Banco de España, en las cartas de contestación a sus clientes que reclaman por haber resultado víctimas de phishing bancario, es ahora completamente rebatido y anulado por el Tribunal Supremo.  

Para exponer la trascendencia de la resolución judicial del Tribunal Supremo, empecemos por introducir cuál es exactamente el marco legislativo que ha sido objeto de interpretación.. 

La Ley del Servicio de Pago establece en su artículo 43 que "El usuario de servicios de pago obtendrá la rectificación del proveedor de servicios de pago de una operación de pago no autorizada", esto es, tendrá el derecho a obtener el abono de la cantidad que se le ha sustraído." 

Y la propia ley establece, a su vez, dos salvedades a este principio: la primera, en el artículo 46.1, que establece que el banco no será responsable si puede probar que el cliente incurrió en una negligencia grave en el cumplimiento de sus obligaciones; y la segunda, en el artículo 44.1, cuando dice que el banco no será responsable si puede probar que "la operación de pago fue autenticada, registrada con exactitud y contabilizada y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable"  ; .

A partir de aquí, he aquí los aspectos interpretativos de máxima relevancia, a juicio de PALOMAR ABOGADOS,  introducidos por la Sentencia 571/2025, de 9 de abril,  de la Sala de lo Civil del Tribunal Supremo:

En primer lugar, la Sentencia del Tribunal Supremo interpreta como operaciones de pago no autorizadas las "realizadas por un tercero que, utilizando las credenciales del usuario que ha obtenido por cualquier medio, suplanta su identidad y accede electrónicamente a su cuenta sin su consentimiento". 

Ello, de por sí, posibilita afirmar sin equívocos (los bancos confundían "operación autenticada y registrada" con "operación consentida") que en todos aquellos supuestos en que un tercero accede a la banca electrónica, bien por haber hackeado los códigos de usuario y contraseña del usuario, bien por haberlos obtenido mediante una actuación de ingeniería social ("por cualquier medio", como dice el Tribunal Supremo),  se ha producido una operación no autorizada.

Y en segundo lugar, la referida Sentencia del Tribunal Supremo, ante una operación no autorizada, estrecha sustancialmente el margen de prueba a disposición del banco con el fin de exonerarse de responsabilidad, al restringir al mínimo los supuestos en que cabe imputar una negligencia grave al usuario, y al contemplar al propio tiempo un amplio y extenso abanico de hechos que denotan una deficiencia vinculada al servicio de pago, todos los cuales de una manera u otra concurren cuando se produce un caso de phishing bancario.

Así, constatamos que conforme a la Sentencia 571/2025, de 9 de abril,  de la Sala de lo Civil del Tribunal Supremo, no queda probada la negligencia grave del usuario bancario por el hecho de la filtración o el conocimiento de las claves por un tercero, pues según textualmente manifiesta "el que un tercero hubiera podido acceder a las claves de acceso a la banca digital del demandante no supone per se que haya incurrido en negligencia alguna, pudiendo existir múltiples explicaciones, muchas de las cuales resultan difícilmente atribuibles a título de negligencia, y menos aún, de negligencia grave",

 

De otro lado, por lo que respecta a la dificultad que el Tribunal Supremo impone a las  entidades bancarias de cara a poder probar la ausencia de una deficiencia vinculada de su servicio de pago, basta acudir el tenor literal de la misma cuando manifiesta que "los avances de la tecnología actual hacen relativamente sencillo diseñar sistemas o aplicaciones informáticas idóneas para detectar ciertas anomalías en las prestación de los servicios de pago. Operaciones que, tratándose de empresas o sociedades con un concreto objeto social, pueden calificarse como ordinarias, deben inmediatamente levantar sospechas y dar lugar a una respuesta cuando afectan a personas físicas ajenas a tales actividades. A este respecto, sería suficiente un control automático de determinados factores, como el número y sucesión de operaciones, el intervalo en que se ejecutan, la hora del día, su importe, entidades de destino......para generar un aviso que reforzara los requisitos de confirmación y minimizara los posibles riesgos"

En definitiva, acogemos con satisfacción y optimismo, de cara a nuestra litigación en supuestos de phishing bancario en protección de los consumidores, el hecho de que la que la Sentencia 571/2025, de 9 de abril,  de la Sala de lo Civil del Tribunal Supremo haya consolidado y reforzado lo que viene siendo la linea interpretativa de Juzgados y Tribunales en materia de phishing bancario, y estamos convencidos de que generará en los afectados la confianza suficiente para reclamar judicialmente los importes que les han sido indebidamente sustraídos. 

Si has sido víctima de un phishing bancario, acude a PALOMAR ABOGADOS, nos avalan decenas de sentencias en una materia en la que disponemos de una alta especialización, y podremos prestarte la asistencia legal eficiente que mereces para reclamar tu dinero.