La creciente digitalización de los servicios financieros ha dado lugar a nuevas oportunidades, pero también ha incrementado los riesgos asociados a los fraudes digitales. En este contexto, la sentencia 571/2025, dictada por el Tribunal Supremo de España el 9 de abril de 2025, aborda una de las problemáticas más relevantes en el ámbito de la banca digital: la responsabilidad de las entidades bancarias frente a fraudes que implican suplantación de identidad, específicamente a través de técnicas como el SIM swapping.
El «SIM swapping» o «robo de tarjeta SIM» es un tipo de fraude informático donde un delincuente obtiene una copia de la tarjeta SIM de un teléfono móvil de una víctima, generalmente después de engañarla para que revele información personal. Una vez que tiene el duplicado, puede interceptar SMS y llamadas a ese número, lo que le permite acceder a cuentas bancarias, redes sociales y otros servicios online que utilizan verificación de dos factores.
El litigio se origina por la demanda presentada por un usuario, titular de varias cuentas bancarias, contra una entidad de crédito tras ser víctima de un fraude digital,concretamente, al haberse realizado transferencias no autorizadas desde sus cuentas a otras entidades, en una operación fraudulentamente ejecutada mediante esta técnica de SIM swapping.
Los hechos se remontan al momento en el que el usuario recibió un aviso de Google, en el que se le informaba de que se había detectado una vulneración de su cuenta de correo electrónico, comprobándose un acceso no autorizado. Tras unos días, recibió en su teléfono móvil varios mensajes SMS con códigos para la materialización a través del sistema digital de transferencias que no obedecían a órdenes emitidas por él, lo que puso en conocimiento del personal de la sucursal del banco.
Posteriormente se realizó un cargo no autorizado en su cuenta, utilizando su tarjeta. Se comunicó por parte del demandante a la entidad bancaria este hecho, reiterando su preocupación por los SMS recibidos, al tiempo que presentaba la pertinente reclamación a Google, rechazada por su parte, al no haber podido confirmar que se hubiera producido algún tipo de actividad fraudulenta. Asimismo, y días después, se realizaron hasta quince transferencias bancarias desde la cuenta corriente del usuario, de las cuales diez lo fueron a través de la plataforma Bizum y cinco a través de la plataforma de la banca electrónica de la entidad bancaria, con un cargo total de 83.692,73€.
El demandante no supo de lo sucedido hasta la mañana siguiente, cuando el personal de la sucursal detectó el ingreso realizado en una cuenta sospechosa. Se preguntó al usuario si había hecho dichas trasferencias a lo que respondió que no. De hecho, al acceder a la banca electrónica y comprobar la realidad de la información, el mismo usuario presentó la correspondiente denuncia en la comisaría de la Policía Nacional, lo que motivó la incoación de las diligencias previas n.º 1017/21021 por el Juzgado de Instrucción n.º 11 de Zaragoza.
En atención a la reclamación del actor, la entidad solicitó la restitución de las cantidades dispuestas a las distintas entidades de destino, consiguiendo la devolución de 27.218,10 €, que fueron reintegrados al actor.
Todos estos hechos dan lugar a la incoación de una acción de responsabilidad contractual frente a la entidad bancaria, en reclamación de la cantidad restante no percibida en concepto de daños y perjuicios causados por el incumplimiento de las obligaciones asumidas por la demandada en el contrato de banca a distancia y en el contrato de cuenta corriente.
Por su parte, la entidad bancaria se defendió alegando que posiblemente se había producido una suplantación de identidad o «phishing», pero las operaciones se habían autorizado al haberse cumplido el doble factor de autenticación, sin detectarse incidencia alguna, y, por tanto, se había cumplido con lo dispuesto en el artículo 44 del RD-ley 19/2018. Acreditada dicha circunstancia (la doble autenticación),considera que no corresponde a la entidad bancaria demandada determinar si las operaciones de pago cuestionadas las autentificó un cliente o un tercero que disponía de los datos, o incluso del dispositivo móvil utilizado. De hecho, el banco aduce que en los contratos de banca digital y de cuenta corriente y/o depósitos se prevéexpresamente (cláusula 8ª) que la demandada queda exenta de los perjuicios que se pudieran derivar por intromisiones ilegítimas de terceros en el sistema elegido por el cliente, fuera del control de la entidad. Si tales credenciales, expone, eran conocidas por terceros y las emplearon para, a través del móvil del actor, ejecutar las operaciones en la banca digital, no cabe, en consecuencia, imputar responsabilidad alguna a la entidad bancaria.
Una vez expuesto el contexto del caso, es preciso destacar la normativa aplicable en esta materia:
- Directiva 2015/2366/UE (en adelante, PSD2)
La Directiva 2015/2366/UE, más conocida como PSD2, regula los servicios de pago dentro de la Unión Europea, estableciendo una serie de normas que buscan garantizar la seguridad de los pagos y proteger a los consumidores frente a fraudes. En particular, la PSD2 introduce la autenticación reforzada de clientes y exige a las entidades bancarias la implementación de medidas de seguridad para proteger las operaciones realizadas por los usuarios.
Entre las disposiciones clave de la PSD2, destaca la responsabilidad del proveedor de servicios de pago por las operaciones no autorizadas. Esta directiva establece que el proveedor debe garantizar que las transacciones sean autenticadas y autorizadas correctamente. En caso de fraude, si el proveedor no puede probar que se tomaron todas las medidas de seguridad adecuadas, será responsable de los daños sufridos por el usuario.
No obstante, para reducir los riesgos y las consecuencias de operaciones de pago no autorizadas o que hayan sido ejecutadas incorrectamente, el usuario de servicios de pago debe informar al proveedor de servicios de pago, lo antes posible, sobre toda reclamación en relación con operaciones de pago supuestamente no autorizadas o ejecutadas incorrectamente, siempre y cuando el proveedor de servicios de pago haya respetado sus obligaciones de información con arreglo a la presente Directiva. Si el usuario de servicios de pago respeta el plazo de notificación, debe poder hacer valer esas reclamaciones dentro de los plazos de prescripción nacionales.
Reitera, en sus considerandos, que no se le debe imputar responsabilidad al ordenante cuando este se encuentre en una posición que no le permite tener conocimiento del extravío, el robo o la sustracción del instrumento de pago.Asimismo, una vez que el usuario de servicios de pago haya comunicado al proveedor de servicios de pago que su instrumento de pago puede haber sido objeto de uso fraudulento, no deben exigírsele responsabilidades por las ulteriores pérdidas que pueda ocasionar el uso no autorizado del instrumento.
En definitiva, pone de manifiesto de forma clara que, en caso de una operación de pago no autorizada, el proveedor de servicios de pago deberá devolver inmediatamente el importe de dicha operación al ordenante.
- Real Decreto-ley 19/2018, de 23 de noviembre
El Real Decreto-ley 19/2018, que adapta la normativa española a la PSD2, impone a las entidades bancarias la obligación de garantizar la seguridad de las operaciones de pago. La normativa establece que los bancos deben proporcionar autenticación robusta (doble factor, el segundo de los cuales puede ser un certificado digital, un dispositivo criptográfico que genere un número único, una línea de telefonía o una app móvil) y adoptar medidas que protejan al usuario ante intentos de fraude. También especifica los procedimientos que deben seguir los bancos cuando se detecta una operación no autorizada, obligándolos a realizar una investigación diligente para identificar si se cumplió con los requisitos de seguridad.
Además, esta Ley de Servicios de Pago establece un sistema de responsabilidad cuasi objetiva de la entidad proveedora de los servicios de pago, conforme al cual, tratándose de operaciones no autorizadas, salvo actuación fraudulenta, incumplimiento deliberado o negligencia grave del ordenante, la responsabilidad será del proveedor del servicio de pago, lo que implica que recae sobre él la carga de probar que la orden de pago no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado.
3. Reglamento Delegado (UE) 2018/389
Este reglamento complementa la PSD2 al regular las normas técnicas de autenticación y otros aspectos operativos en los servicios de pago. Exige que los bancos y otras entidades financieras implementen tecnologías de seguridad que permitan la verificación segura y eficiente de las transacciones electrónicas. Además, establece los criterios de autenticación reforzada y exige la implementación de sistemas que impidan el acceso no autorizado a las cuentas bancarias de los clientes, esto es, que permitan detectar operaciones de pago no autorizadas o fraudulentas a efectos de la adopción de medidas de seguridad.
4. Código Civil Español
El Código Civil también juega un papel importante en la sentencia, dado que regula las obligaciones contractuales entre las partes. El Código Civil establece que la responsabilidad por incumplimiento de un contrato se produce cuando una de las partes no cumple con las obligaciones estipuladas, en este caso, las medidas de seguridad pactadas entre el banco y el cliente para proteger los fondos de este último.
Una vez analizada la normativa que resulta de aplicación, hay que poner de relieve los siguientes fundamentos jurídicos aducidos por parte del Tribunal en la sentencia:
1. Responsabilidad del proveedor de servicios de pago
El Tribunal Supremo resalta que la responsabilidad del banco no depende de si el fraude fue cometido por un tercero o si el usuario cometió un error. La sentencia establece, en la misma línea que la normativa aducida, que la responsabilidad primaria en estos casos recae sobre el proveedor de servicios de pago, ya que es este quien debe garantizar que las transacciones sean seguras y que las cuentas de los usuarios estén protegidas frente a accesos no autorizados.
La PSD2, efectivamente, establece un principio de responsabilidad objetiva para los bancos, lo que significa que, incluso si el fraude es complejo o difícil de detectar, la entidad bancaria es responsable si no ha implementado las medidas de seguridad requeridas. En este caso, la demandada no adoptó las medidas necesarias para evitar el SIM swapping, lo que conlleva su responsabilidad por las pérdidas sufridas por el demandante.
2. El deber de diligencia de las entidades bancarias
El Tribunal también subraya el deber de diligencia de las entidades bancarias en cuanto a la seguridad de las operaciones electrónicas. La sentencia hace referencia al Código Civil, que impone a las entidades bancarias un deber de seguridad en el cumplimiento de sus obligaciones contractuales. La falta de este deber de diligencia puede dar lugar a la responsabilidad por daños.
En el caso del fraude por SIM swapping, se considera que el banco no cumplió con su obligación de proteger adecuadamente las cuentas del demandante, lo que justifica la restitución de los fondos sustraídos.
3. El marco jurídico del fraude por SIM Swapping
La sentencia no deja de reconocer que el SIM swapping es una técnica de fraude compleja, pero también subraya que los bancos deben implementar sistemas de protección capaces de detectar este tipo de ataques. El Tribunal enfatiza que el fraude por SIM swapping es una de las formas de fraude digital más difíciles de prevenir, pero no puede ser utilizado como excusa para eludir la responsabilidad de la entidad de crédito, especialmente cuando éste no ha implementado medidas de seguridad adecuadas.
Por tanto, esta sentencia conlleva un cambio significativo en la forma en que las entidades bancarias deben abordar la seguridad de los servicios de pago. Incide en que los bancos tienen una responsabilidad proactiva en la protección de los fondos de sus clientes y deben tomar todas las medidas necesarias para evitar fraudes como el SIM swapping. Esto implica una obligación no solo de informar a los usuarios, sino de invertir en tecnologías que permitan la autenticación segura y la detección de fraudes en tiempo real.
Para los consumidores, se refuerza la importancia de notificar inmediatamente cualquier actividad sospechosa a sus entidades bancarias. Aunque la responsabilidad recaiga principalmente en los bancos, los usuarios también deben tomar medidas de seguridad, como el uso de contraseñas seguras y la autenticación de dos factores. La sentencia recuerda lo necesario de mantener un equilibrio entre la responsabilidad del banco y la cooperación del usuario.
Con este nuevo criterio se marca un hito en la protección de los consumidores frente a fraudes digitales. Se hace hincapié en la idea de que las entidades bancarias tienen una responsabilidad primordial en la implementación de medidas de seguridad efectivas para prevenir el fraude y, al mismo tiempo, destaca la importancia de una colaboración activa entre los usuarios y los bancos en la lucha contra los fraudes digitales.
