La Sentencia 571/2025, de 9 de abril,  de la Sala de lo Civil del Tribunal Supremo, tras diez años de vigencia del marco regulatorio europeo del servicio de pago, ha marcado por fin la linea interpretativa a seguir con respecto a la responsabilidad legal que debe recaer en las entidades bancarias cuando el cliente bancario haya  sido victima de una operación de pago no autorizadas por medio de una suplantación de identidad, a través del denominado "phishing bancario". 

Te adjuntamos la misma  a este post para que puedas contar con su contenido íntegro. 

Afirmamos en PALOMAR ABOGADOS que la referida sentencia del Tribunal Supremo ha marcando un hipo jurisprudencial esencial, como ha sido el establecer que las entidades bancarias que prestan el servicio de pago no pueden ya "escudarse" y eximirse de responsabilidad , frente a una situación de phishing bancario, bajo el pretexto de asimilar una operación de pago autenticada, registrada con exactitud y contabilizada, con una operación de pago consentida por el cliente

Este "aparente axioma", del que insensiblemente se sirven las entidades bancarias en sus cartas de contestación a sus clientes víctimas de phishing bancario, con el beneplácito del Banco de España (en la resolución de los expedientes que le llegan), aprovechando la ignorancia del cliente, no solo ha venido siendo rebatido en los últimos años por Juzgados y Tribunales, sino que ahora es claramente eliminado por el Tribunal Supremo.

Para aclarar esta cuestión,  de la que PALOMAR ABOGADOS viene haciéndose eco en sus demandas judiciales, con exitoso resultado ante los Tribunales, debemos partir de un marco legislativo como es la Ley de Servicios de Pago.  

Concretamente, el artículo 43 de la referida ley establece que "El usuario de servicios de pago obtendrá la rectificación del proveedor de servicios de pago de una operación de pago no autorizada", esto es, el banco deberá abonarle el importe que ha sido sustraído a su cliente;  y a su vez, el artículo 44.1 de la misma ley  preceptúa que "cuando el usuario de una operación de pago niegue haber autorizado una operación de pago ya ejecutada (...) , corresponderá al proveedor de servicios de pago demostrar demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable". 

Amén de ello, el artículo 46.1  de la Ley de Servicios de Pago exime al  cliente bancario de responsabilidad en caso de sustracción dineraria "siempre que no se haya producido fraude o negligencia grave por parte de este en el cumplimento de sus obligaciones..."  

Pues bien, en PALOMAR ABOGADOS queremos remarcar que el Tribunal Supremo, en su Sentencia 571/2025, de 9 de abril, de un lado entra de lleno sobre cuándo debemos entender que una operación de pago como "no autorizada" ,  y de otro lado dibuja un marco de enorme dificultad a las entidades bancarias, en los casos de operaciones de pago no autorizadas, en cuanto a la posibilidad de asumir exitosamente la carga que recae en ellas de probar una negligencia grave de éste y una ausencia de deficiencia del servicio de pago que pueda exonerarlas de responsabilidad; en definitiva, consolida lo que en la doctrina y los propios Juzgados y Tribunales venía denominándose como "responsabilidad objetiva de las entidades bancarias".

En primer lugar, la Sentencia del Tribunal Supremo define las operaciones de pago no autorizadas como las "realizadas por un tercero que, utilizando las credenciales del usuario que ha obtenido por cualquier medio, suplanta su identidad y accede electrónicamente a su cuenta sin su consentimiento". Ello, de por sí, posibilita el poder afirmar sin equívocos que,   en todos aquellos supuestos en que un tercero accede a la banca electrónica, bien por haber hackeado los códigos de usuario y contraseña del usuario, bien por haberlos obtenido mediante una actuación de ingeniería social ("por cualquier medio", como dice el Tribunal Supremo),  se ha producido una operación no autorizada.

En segundo lugar, el Tribunal Supremo, ante una operación no autorizada en remoto, como es lógico, habida cuenta de la vulnerabilidad objetiva a que están expuestos los usuarios bancarios en la red internet, y de que el diseño de los sistemas de seguridad han partido de las propias entidades bancarias, estrecha sustancialmente el margen de prueba a disposición del banco, con el fin de exonerarse de responsabilidad,  al restringir  los supuestos en que cabe imputar una negligencia grave al usLuario y contemplar un amplio abanico de hechos que denotan una deficiencia vinculada al servicio de pago.

 Así, constatamos que conforme a la Sentencia 571/2025, de 9 de abril,  de la Sala de lo Civil del Tribunal Supremo, no queda probada la negligencia grave del usuario bancario por el hecho de la filtración o el conocimiento de las claves por un tercero, pues según textualmente manifiesta "el que un tercero hubiera podido acceder a las claves de acceso a la banca digital del demandante no supone per se que haya incurrido en negligencia alguna, pudiendo existir múltiples explicaciones, muchas de las cuales resultan difícilmente atribuibles a título de negligencia, y menos aún, de negligencia grave",

 

De otro lado, por lo que respecta a la dificultad de las entidades bancarias, en cuanto a la posibilidad de poder probar la ausencia de una deficiencia vinculada de su servicio de pago, en los supuestos de phishing bancario, basta acudir el tenor literal de la Sentencia, según la cual "los avances de la tecnología actual hacen relativamente sencillo diseñar sistemas o aplicaciones informáticas idóneas para detectar ciertas anomalías en las prestación de los servicios de pago. Operaciones que, tratándose de empresas o sociedades con un concreto objeto social, pueden calificarse como ordinarias, deben inmediatamente levantar sospechas y dar lugar a una respuesta cuando afectan a personas físicas ajenas a tales actividades. A este respecto, sería suficiente un control automático de determinados factores, como el número y sucesión de operaciones, el intervalo en que se ejecutan, la hora del día, su importe, entidades de destino......para generar un aviso que reforzara los requisitos de confirmación y minimizara los posibles riesgos"

En definitiva, acogemos con satisfacción que el Tribunal Supremo, con la referida sentencia, consolide a través de su doctrina jurisprudencial lo que viene siendo la linea interpretativa de Juzgados y Tribunales en materia de phishing bancario, y esperamos que refuerce la confianza de los afectados a la hora de acudir a los Tribunales.

Si has sido víctima de un phishing bancario, acude a PALOMAR ABOGADOS, nos avalan decenas de sentencias en una materia en la que disponemos de una alta especialización, y podremos prestarte la asistencia legal eficiente que mereces para reclamar tu dinero.