La Sala Primera del Tribunal Supremo, mediante la Sentencia 571/2025 de 9 de abril de 2025, se pronuncia sobre el régimen de responsabilidad aplicable en materia de fraude digital.
En el caso analizado, un cliente de la entidad bancaria Ibercaja Banco S.A., interpuso demanda de juicio ordinario frente a la referida entidad, como consecuencia del fraude sufrido en marzo de 2021 mediante técnicas de “SIM phishing”, consistente en la realización de quince transferencias bancarias no autorizadas, de las cuales diez fueron a través de la plataforma Bizum, y cinco mediante la plataforma de banca electrónica “Ibercaja Directo”.
El Juzgado de Primera Instancia nº7 de Zaragoza estimó la demanda presentada frente a Ibercaja Banco, S.A. Asimismo, tanto la sección 5ª de la Audiencia Provincial de Zaragoza como el Tribunal Supremo, desestimaron el recurso de apelación y casación de la entidad financiera respectivamente; confirmando así la Sentencia de primera instancia.
Así pues, la referida resolución establece que, la responsabilidad del proveedor de los servicios de pago, tiene carácter cuasi objetivo en un doble plano de exigencia. Por un lado, cuando el usuario notifica la existencia de una operación no autorizada o ejecutada de forma incorrecta, el proveedor de servicios de pago está obligado a asumir su responsabilidad y reintegrar el importe, salvo que acredite que el ordenante actuó de manera fraudulenta o incurrió en negligencia grave. Por otro lado, si el usuario niega haber autorizado la operación o mantiene que se ejecutó incorrectamente, recae sobre el proveedor la carga de probar que dicha operación fue debidamente autenticada, registrada, contabilizada correctamente y no afectada por ningún fallo técnico, ni por deficiencia en el servicio. En ningún caso basta, a tal efecto, el mero registro de la operación para acreditar su autorización, ni para presumir una actuación fraudulenta o gravemente negligente por parte del usuario.
En este sentido, cabe destacar que, se consideran operaciones no autorizadas, aquellas que han sido iniciadas empleando el nombre de usuario y contraseña -datos requeridos para el acceso al sistema de banca digital- y que han sido validadas a través del código SMS enviado por el sistema al dispositivo móvil registrado por el usuario, siempre que este manifieste que no ha consentido ni autorizado dichas operaciones.
El nivel de diligencia que se exige al proveedor de los servicios de pago es superior al de buen padre de familia, como consecuencia de la naturaleza y riesgos de la actividad. Así pues, el grado de diligencia exigible es el de ordenado y experto comerciante. Por este motivo, pese a que el hecho de que un tercero haya accedido u obtenido las claves no sea imputable a la entidad financiera, no exime a ésta de su responsabilidad, ni conlleva que el usuario sea quien deba asumir las pérdidas derivadas de la situación.
En resumen, la Sentencia consolida: (i) la inversión de la carga de la prueba en perjuicio del proveedor de servicios de pago, (ii) la exigencia a éste de un estándar elevado de diligencia y pruebas para eximirse de responsabilidad, (iii) y, la obligación legal de aplicar protocolos de seguridad efectivos ante indicios de fraude.
Desde IURE LICET ABOGADOS, con sede en Bilbao, resolvemos vuestras consultas y estudiamos vuestro caso. Nuestro equipo velará por sus intereses. Si quiere más información contacte con nosotros a través de nuestra página web, o llamando al 944 42 10 16.
Maite Iribarren Valer
Abogada
En el caso analizado, un cliente de la entidad bancaria Ibercaja Banco S.A., interpuso demanda de juicio ordinario frente a la referida entidad, como consecuencia del fraude sufrido en marzo de 2021 mediante técnicas de “SIM phishing”, consistente en la realización de quince transferencias bancarias no autorizadas, de las cuales diez fueron a través de la plataforma Bizum, y cinco mediante la plataforma de banca electrónica “Ibercaja Directo”.
El Juzgado de Primera Instancia nº7 de Zaragoza estimó la demanda presentada frente a Ibercaja Banco, S.A. Asimismo, tanto la sección 5ª de la Audiencia Provincial de Zaragoza como el Tribunal Supremo, desestimaron el recurso de apelación y casación de la entidad financiera respectivamente; confirmando así la Sentencia de primera instancia.
Así pues, la referida resolución establece que, la responsabilidad del proveedor de los servicios de pago, tiene carácter cuasi objetivo en un doble plano de exigencia. Por un lado, cuando el usuario notifica la existencia de una operación no autorizada o ejecutada de forma incorrecta, el proveedor de servicios de pago está obligado a asumir su responsabilidad y reintegrar el importe, salvo que acredite que el ordenante actuó de manera fraudulenta o incurrió en negligencia grave. Por otro lado, si el usuario niega haber autorizado la operación o mantiene que se ejecutó incorrectamente, recae sobre el proveedor la carga de probar que dicha operación fue debidamente autenticada, registrada, contabilizada correctamente y no afectada por ningún fallo técnico, ni por deficiencia en el servicio. En ningún caso basta, a tal efecto, el mero registro de la operación para acreditar su autorización, ni para presumir una actuación fraudulenta o gravemente negligente por parte del usuario.
En este sentido, cabe destacar que, se consideran operaciones no autorizadas, aquellas que han sido iniciadas empleando el nombre de usuario y contraseña -datos requeridos para el acceso al sistema de banca digital- y que han sido validadas a través del código SMS enviado por el sistema al dispositivo móvil registrado por el usuario, siempre que este manifieste que no ha consentido ni autorizado dichas operaciones.
El nivel de diligencia que se exige al proveedor de los servicios de pago es superior al de buen padre de familia, como consecuencia de la naturaleza y riesgos de la actividad. Así pues, el grado de diligencia exigible es el de ordenado y experto comerciante. Por este motivo, pese a que el hecho de que un tercero haya accedido u obtenido las claves no sea imputable a la entidad financiera, no exime a ésta de su responsabilidad, ni conlleva que el usuario sea quien deba asumir las pérdidas derivadas de la situación.
En resumen, la Sentencia consolida: (i) la inversión de la carga de la prueba en perjuicio del proveedor de servicios de pago, (ii) la exigencia a éste de un estándar elevado de diligencia y pruebas para eximirse de responsabilidad, (iii) y, la obligación legal de aplicar protocolos de seguridad efectivos ante indicios de fraude.
Desde IURE LICET ABOGADOS, con sede en Bilbao, resolvemos vuestras consultas y estudiamos vuestro caso. Nuestro equipo velará por sus intereses. Si quiere más información contacte con nosotros a través de nuestra página web, o llamando al 944 42 10 16.
Maite Iribarren Valer
Abogada
