El Tribunal Supremo dicta sentencia relevante contra fraudes informáticos por suplantación de identidad

El Supremo obliga a los bancos a reembolsar fraudes digitales y anula cláusulas exención de responsabilidad, ya que los clientes solo responden si se demuestra que actuaron con fraude, negligencia grave o incumplimiento deliberado.

En una sentencia reciente, el Supremo ha establecido un precedente significativo en la protección de los usuarios de servicios bancarios digitales frente a fraudes informáticos. El caso en cuestión involucra a un cliente de Ibercaja Banco S.A. que sufrió operaciones fraudulentas tras un ataque informático que culminó en el duplicado de su tarjeta SIM (SIM swapping).

La resolución, con número 571/2025 y ponencia del magistrado Manuel Almenar Belenguer, sienta doctrina sobre la interpretación del consentimiento en los servicios de pago digitales y los estándares de autenticación reforzada exigidos por la normativa europea y nacional.

El Tribunal Supremo ha confirmado la responsabilidad de Ibercaja Banco S.A. por las operaciones fraudulentas sufridas por un usuario tras un ataque informático que culminó en el duplicado de su tarjeta SIM. La resolución sienta doctrina sobre la interpretación del consentimiento en los servicios de pago digitales y los estándares de autenticación reforzada exigidos por la normativa europea y nacional.

En el caso enjuiciado, un cliente de Ibercaja vio comprometidas sus cuentas tras una serie de transferencias no autorizadas realizadas los días 17 y 18 de marzo de 2021 por valor de más de 83.000 euros. Las operaciones, efectuadas a través de Bizum e Ibercaja Directo, fueron posibles gracias a la suplantación de identidad del usuario mediante el duplicado no autorizado de la tarjeta SIM asociada al teléfono móvil del titular.

La víctima había alertado con antelación a la entidad bancaria de intentos sospechosos de acceso, además de haberse producido cargos no reconocidos vinculados a servicios de Google. Pese a ello, Ibercaja no bloqueó preventivamente el acceso ni reforzó las medidas de seguridad, permitiendo la ejecución de quince operaciones en una sola noche sin generar alerta interna.

Ibercaja argumentó que las operaciones contaban con una doble autenticación válida –usuario y código SMS–, descargando en el cliente la responsabilidad del uso indebido de sus credenciales.

Apeló a la cláusula contractual que eximía al banco de responsabilidad ante intromisiones ajenas a su control, como las derivadas del uso fraudulento de dispositivos del cliente o correos electrónicos vulnerados.

El Tribunal, sin embargo, ratifica lo resuelto por el Juzgado de Primera Instancia n.º 7 de Zaragoza y la Audiencia Provincial, que ya habían considerado que el banco no logró acreditar la existencia de negligencia grave por parte del usuario y, por tanto, debía asumir las consecuencias del fraude.

El Supremo recuerda que las operaciones no autorizadas deben ser íntegramente asumidas por el proveedor de servicios de pago, salvo que pueda acreditarse dolo o negligencia grave del usuario, conforme a lo dispuesto en los artículos 44 y 46 del Real Decreto-ley 19/2018 y en la Directiva (UE) 2015/2366. Además, señala que el consentimiento para la operación no puede presumirse por el mero uso de credenciales válidas, si se ha producido un acceso por parte de un tercero no autorizado.

El banco tiene la carga de la prueba de que la operación fue autenticada correctamente y no se vio afectada por fallos técnicos ni deficiencias de seguridad. Las cláusulas de exoneración como la invocada por Ibercaja son nulas cuando contradicen el régimen imperativo de protección al consumidor financiero.

La sentencia insiste en la invalidación de las cláusulas contractuales que liberan al banco de responsabilidad en caso de accesos ilegítimos. En concreto, establece que:

En la práctica, esta sentencia implica que:

• Los usuarios disponen de una protección mayor: ya no se les podrá exigir responsabilidad por operaciones fraudulentas derivadas de técnicas como el SIM swapping, phishing o malware, salvo que se demuestre su dolo o negligencia grave.
• Los bancos deben revisar sus contratos y reforzar urgentemente sus medidas de seguridad. Será inexcusable implantar sistemas de autenticación que impidan la suplantación de identidad (por ejemplo, notificaciones instantáneas ante cualquier cambio de SIM, límites de transferencia, bloqueo automático de sesiones sospechosas).
• En casos de fraude, conviene que el usuario notifíe cuanto antes al banco cualquier movimiento extraño y conserve pruebas (capturas de pantalla, comunicaciones, identificadores de transacciones) para acreditar el acceso no autorizado.

En Terrer y García Abogados, estamos comprometidos con la defensa de los derechos de los consumidores y usuarios de servicios bancarios. Si ha sido víctima de un fraude informático o tiene dudas sobre sus derechos en el ámbito de los servicios de pago digitales, no dude en contactarnos. Nuestro equipo de expertos en derecho bancario está a su disposición para asesorarle y defender sus intereses.