Categorías
- Actividades de riesgo y aventura
- Derecho administrativo y urbanismo
- Derecho bancario y consumo
- Derecho inmobiliario y propiedad horizontal
- Derecho matrimonial y familia
- Derecho mercantil y de la empresa
- Derecho penal
- Derecho tributario y contabilidad
- Empresa
- Responsabilidad civil y seguros
- Sucesiones
- (Sin categoría)
El Tribunal Supremo, phishing y SIM swapping. Ciberdelito con vaciado de cuenta bancaria. Responde el banco
02/05/2025
El Tribunal Supremo ha resuelto un recurso de casación a favor de un cliente de Ibercaja. Se trataba de una reclamación por operaciones no autorizadas por un importe total superior a 80.000 €, ejecutadas mediante bizum y transferencias on line.
La técnica utilizada por los ciberdelicuentes fue el denominado “SIM swapping”, que consiste en la duplicación de la tarjeta SIM de la víctima, lo que les permite el acceso a datos personales.
Lo relevante de esta sentencia de 9 de abril de 2025 es que hace un repaso completo al marco de responsabilidad de la entidad bancaria, más allá de la concreta técnica utilizada para la apropiación y establece los criterios de responsabilidad del banco por las operaciones de pago no autorizadas por el cliente. El banco alegaba que debían considerarse autorizadas las transferencias y bizum porque eran conformes con el contrato de cuenta y con el contrato de “Ibercaja Directo” que había suscrito el cliente. Sin embargo, el Tribunal Supremo confirma la condena al banco, que deberá reintegrar todos los importes reclamados.
La sentencia recopila la normativa europea y española de aplicación así como la jurisprudencia del TJUE. Esto es lo más importante que aporta:
1. Consolida el responsabilidad cuasi objetiva del banco. Aunque ya se venía aplicando por las Audiencias Provinciales, esta sentencia refuerza y amplía la interpretación de que la responsabilidad de la entidad bancaria es prácticamente objetiva en operaciones no autorizadas. El Tribunal aclara que el uso correcto de las credenciales de firma de operaciones no excluye que se trate de una operación no autorizada, si el cliente niega su consentimiento y no hay prueba de fraude o negligencia grave por su parte. Si se niega que exista autorización, corresponde al banco la carga de la prueba de que existió fraude o negligencia grave por parte del cliente.
2. La negligencia del usuario no es una causa automática de exoneración de responsabilidad para el banco. El hecho de que el cliente sufra un ataque de phishing o, en este caso SIM swapping, no supone automáticamente la negligencia grave del cliente y será el banco quien deba probar que existió la negligencia grave del cliente.
3. Se matiza de forma muy relevante el artículo 44.1 LSP. Ese precepto considera correctamente ejecutadas las órdenes de pago si el banco acredita que la operación se ejecutó correctamente, salvo fallo técnico o deficiencia del servicio. La sentencia introduce una interpretación amplia y novedosa del concepto “deficiencia del servicio” del banco, considerando tanto los fallos técnicos como la falta de diligencia proactiva del banco para detectar operaciones anómalas (por ejemplo, múltiples transferencias nocturnas inusuales o no reaccionar a alertas previas del cliente sobre intentos de fraude).
4. Rechaza las cláusulas exoneratorias del contrato bancario, declarando inválidas las cláusulas contractuales que pretendan eximir automáticamente al banco de responsabilidad en caso de acceso fraudulento si se oponen a la normativa vigente, con los criterios interpretativos del Tribunal Supremo.
La recopilación normativa que hace el Tribunal Supremo y las reglas de interpretación que introduce nos servirán también para las reclamaciones en otros tipos de estafas cibernéticas como el phishing. También aporta criterios para las reclamaciones por otra conocida estafa denominada “man in the middle”, sobre la que todavía no existe consenso en nuestros tribunales.
Compartir post:
