El Tribunal Supremo ha dictado una relevante sentencia en la que confirma la responsabilidad de Ibercaja Banco S.A. por las operaciones fraudulentas sufridas por un usuario tras un ataque informático que culminó en el duplicado de su tarjeta SIM (SIM swapping). La resolución, con número 571/2025 y ponencia del magistrado Manuel Almenar Belenguer, sienta doctrina sobre la interpretación del consentimiento en los servicios de pago digitales y los estándares de autenticación reforzada exigidos por la normativa europea y nacional.
Un caso paradigmático de fraude digital
El caso enjuiciado parte de los hechos sufridos por un cliente de Ibercaja, quien vio comprometidas sus cuentas tras una serie de transferencias no autorizadas realizadas los días 17 y 18 de marzo de 2021 por valor de más de 83.000 euros.
Las operaciones, efectuadas a través de Bizum e Ibercaja Directo, fueron posibles gracias a la suplantación de identidad del usuario mediante el duplicado no autorizado de la tarjeta SIM asociada al teléfono móvil del titular. La víctima había alertado con antelación a la entidad bancaria de intentos sospechosos de acceso, además de haberse producido cargos no reconocidos vinculados a servicios de Google. Pese a ello, Ibercaja no bloqueó preventivamente el acceso ni reforzó las medidas de seguridad, permitiendo la ejecución de quince operaciones en una sola noche sin generar alerta interna.
Rechazo del banco y defensa judicial del cliente
Ibercaja argumentó que las operaciones contaban con una doble autenticación válida –usuario y código SMS–, descargando en el cliente la responsabilidad del uso indebido de sus credenciales. Apeló a la cláusula contractual que eximía al banco de responsabilidad ante intromisiones ajenas a su control, como las derivadas del uso fraudulento de dispositivos del cliente o correos electrónicos vulnerados.
El Tribunal, sin embargo, ratifica lo resuelto por el Juzgado de Primera Instancia n.º 7 de Zaragoza y la Audiencia Provincial, que ya habían considerado que el banco no logró acreditar la existencia de negligencia grave por parte del usuario y, por tanto, debía asumir las consecuencias del fraude.
Claves jurídicas de la sentencia
El Supremo recuerda que las operaciones no autorizadas deben ser íntegramente asumidas por el proveedor de servicios de pago, salvo que pueda acreditarse dolo o negligencia grave del usuario, conforme a lo dispuesto en los artículos 44 y 46 del Real Decreto-ley 19/2018 y en la Directiva (UE) 2015/2366.
Además, señala que:
• El consentimiento para la operación no puede presumirse por el mero uso de credenciales válidas, si se ha producido un acceso por parte de un tercero no autorizado.
• El banco tiene la carga de la prueba de que la operación fue autenticada correctamente y no se vio afectada por fallos técnicos ni deficiencias de seguridad.
• Las cláusulas de exoneración como la invocada por Ibercaja son nulas cuando contradicen el régimen imperativo de protección al consumidor financiero.
El Alto Tribunal considera especialmente grave que las alertas no fueran detectadas por Ibercaja, sino por un tercer banco, y que no se aplicaran mecanismos de supervisión proactiva conforme exige el Reglamento Delegado (UE) 2018/389.
Una sentencia que marca el camino
Esta resolución representa un hito en la defensa de los derechos de los usuarios de banca digital y contribuye a delimitar las obligaciones activas de los bancos
en la prevención de fraudes cibernéticos. Refuerza la interpretación de que el riesgo tecnológico no puede trasladarse al consumidor cuando el proveedor del servicio no actúa con la diligencia exigible.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación