La reciente resolución del Tribunal Supremo ha desencadenado un terremoto legal y económico en el sector bancario español. El alto tribunal ha dictaminado que las entidades financieras están obligadas a devolver a sus clientes el dinero sustraído mediante fraudes digitales como el phishing o el SIM swapping, salvo que puedan demostrar una negligencia grave por parte del usuario afectado. Esta sentencia, que ya ha sido calificada como histórica por asociaciones de consumidores, sienta un precedente que puede costar miles de millones de euros al sistema bancario.
El caso que ha detonado este cambio normativo tuvo lugar en Zaragoza: una clienta de Ibercaja fue víctima de un ataque de SIM swapping. Los estafadores lograron duplicar su tarjeta SIM y realizar transferencias por valor de más de 83.000 euros durante la madrugada. La entidad bancaria se negó inicialmente a reembolsar la cantidad, alegando que las operaciones estaban correctamente autenticadas. Sin embargo, tanto la Audiencia Provincial como el Tribunal Supremo concluyeron que la actividad era claramente anómala y que el banco debía haber activado sus sistemas de alerta y bloqueado las operaciones.
Este fallo representa un giro de 180 grados respecto a la interpretación tradicional de la normativa europea sobre servicios de pago. Hasta ahora, muchos bancos interpretaban que la autenticación de una operación era suficiente para exonerarse de responsabilidad. Pero el Supremo ha subrayado que la mera verificación técnica no basta si el cliente niega haber autorizado la operación y no existen pruebas concluyentes de su participación o negligencia.
La sentencia está teniendo ya un impacto real: otras audiencias provinciales, como las de Badajoz o Ourense, han emitido fallos similares, obligando a entidades como Abanca a devolver cantidades de hasta 20.000 euros a clientes afectados. Todo apunta a que este tipo de resoluciones se generalizarán en los próximos meses, alentadas por el respaldo legal que ofrece ahora el Supremo.
La Organización de Consumidores y Usuarios (OCU) ha celebrado esta jurisprudencia como un paso fundamental en la protección del usuario bancario. Según la entidad, los bancos han vivido durante demasiado tiempo en una posición de dominio, eximiéndose de responsabilidades mientras los clientes asumían las pérdidas.
Para la banca, el reto no es solo económico, sino también reputacional. Según estimaciones del sector, solo en 2024 se registraron más de 130.000 incidentes de phishing en España, con pérdidas superiores a los 250 millones de euros. Con este nuevo marco legal, las entidades deberán reforzar sus sistemas de detección de fraude, mejorar la comunicación con los clientes y acelerar los protocolos de respuesta ante incidentes.
Para los usuarios, la recomendación principal es actuar con rapidez. Ante la más mínima sospecha de fraude, es fundamental notificar inmediatamente al banco, cambiar contraseñas y presentar la denuncia correspondiente. Si el banco se niega a reembolsar el dinero, ahora tienen más herramientas para reclamar: pueden acudir al Banco de España o incluso a los tribunales, con muchas más probabilidades de éxito que antes.
Términos que debes conocer: phishing y SIM swapping
El avance de la digitalización también ha traído consigo nuevas formas de fraude cada vez más sofisticadas. Dos de las más frecuentes y peligrosas en la actualidad son el phishing y el SIM swapping, técnicas utilizadas por los ciberdelincuentes para robar dinero o datos sensibles aprovechándose de la confianza o del descuido de los usuarios.
- El phishing es un tipo de fraude digital en el que los delincuentes suplantan la identidad de empresas o instituciones, como bancos o administraciones públicas, para engañar al usuario y obtener datos sensibles. A través de correos electrónicos, mensajes de texto o páginas web falsas, inducen a la víctima a revelar contraseñas, números de tarjeta o credenciales de acceso.
- El SIM swapping, o duplicación de tarjeta SIM, es una técnica mediante la cual los atacantes logran que la compañía telefónica transfiera el número de teléfono de la víctima a una nueva tarjeta SIM controlada por ellos. Con este acceso, pueden interceptar llamadas y mensajes, incluyendo los códigos de verificación por SMS, y tomar el control de cuentas bancarias u otros servicios protegidos con autenticación en dos pasos.
CaixaBank lanza campaña con ‘Tricicle’ para prevenir el fraude cibernético en la sociedad
