Se pronuncia sobre ello la STS 136/2025, de 19 d febrero👇

En #JurisprudenciaTuitaTuit analizamos la responsabilidad civil subsidiaria en caso de estafa electrónica

Tribuna Madrid
Falla y ciberseguridad AMD_img

¿RESPONDE CIVILMENTE DE MANERA SUBSIDIARIA LA EMPRESA QUE TRAS SUFRIR UNA BRECHA DE SEGURIDAD Y NO ALERTAR A SUS CLIENTES, SUPLANTAN UNA DE SUS CUENTAS DE MAIL Y LA UTILIZAN PARA ESTAFAR ELECTRÓNICAMENTE A UNO DE ELLOS?

En este caso personas no identificadas, el 10-04-18, por medios informáticos, suplantaron la dirección de mail de un empleado de la mercantil A y enviaron un correo a la mercantil B, con la cual mantenía relaciones comerciales,…

el que indicaban que se hiciera una transferencia de más de 30.000 euros por la cesión de un vehículo a una cuenta titularidad del acusado. De esta forma, el 11 de abril de 2018, consiguieron que la mercantil B ordenara la transferencia por dicho importe…

…, a favor de la cuenta del acusado en la creencia de que estaba haciendo el pago de la cesión del vehículo en una cuenta de la mercantil A. Esta cuenta había sido abierta por el acusado, puesto en común con los defraudadores, con la finalidad d recibir en ella el dinero.


El juzgado de lo penal condenó al acusado como autor por cooperación necesaria de una estafa informática a la pena de 6 meses de prisión, y en concepto de responsabilidad civil a indemnizar a la mercantil B en la cantidad defraudada.

La sentencia del Juzgado de lo Penal absolvió a la mercantil A de la responsabilidad civil subsidiaria que le reclamaba la acusación particular.

Contra dicha sentencia se interpuso por la acusación particular recurso de apelación ante la AP.

La AP estimó el recurso, condenando a la mercantil A como responsable civil subsidiaria, incluyendo en los hechos probados de la sentencia que LOS MISMOS SE PRODUJERON COMO CONSECUENCIA DE UNA BRECHA DE SEGURIDAD EN EL SISTEMA INFORMÁTICO DE LA MERCANTIL A,…

… y coincidieron en el tiempo con otra incidencia habida con ocasión de la cesión de un vehículo a otro concensionario donde utilizaron la misma maniobra defraudatoria que posteriormente usaron con la mercantil B.

DE ESTE INCIDENTE SE SABÍA EN LA MERCANTIL A en la mañana del 10 de abril de 2018, A PESAR DE LO CUAL ESTA ENTIDAD NO ALERTÓ A OTROS CONCESIONARIOS CON LOS QUE TENÍA ABIERTAS OPERACIONES SIMILARES, como era el caso de la cesión acordada con la mercantil B,…

… a fin de que se abstuvieran de realizar pago alguno en tanto no se verificara que la cuenta que se les hubiera facilitado correspondía realmente a la mercantil A. Ello propició que la mercantil B efectuara el pago en aquélla cuenta aperturada a nombre del acusado.

Contra dicha sentencia se interpuso por la mercantil A recurso de casación ante el TS, entre otros motivos, por infracción del art. 120.3 CP, al entender que la mercantil A no había cometido ninguna infracción para que se declarase su responsabilidad civil subsidiaria.

Comienza el TS señalando que para el nacimiento de la responsabilidad civil prevista en el art. 120.3 CP son necesarios los siguientes requisitos:

a) que se haya cometido un delito;

b) que tal delito haya ocurrido en un establecimiento dirigido x persona o empresa contra la cual se va a declarar esta resp,

c) que tal empresa o alguno de sus dependientes, haya realizado alguna "infracción de los reglamentos de policía o alguna disposición de la autoridad",

d) que dicha infracción sea imputable no solamente a quienes dirijan o administren el establecimiento, sino a sus dependientes o empleados.

e) que tal infracción esté relacionada con el delito o falta cuya comisión acarrea la responsabilidad civil examinada.

Entiende el TS que el motivo del recurso debe ser desestimado. En los hechos probados se expresa LA EXISTENCIA DE UNA BRECHA DE SEGURIDAD EN EL SISTEMA INFORMÁTICO DE LA MERCANTIL A, acaecida en la mañana del día 10 de abril, …

… LA FALTA DE NOTIFICACIÓN A OTROS CONCEDIONARIOS, COMO LA MERCANTIL B que tenían pendientes abonos por transferencia a la mercantil A, Y QUE ELLO PROPICIÓ QUE EL PAGO DE LA MERCANTIL B SE TRANSFIRIERA A LA CUENTA DE LOS DEFRAUDADORES.

Es decir, EL HECHO OMISIVO QUE PROPICIA EL FRAUDE SE CUMPLIMENTA POR LA FALTA DE AVISO POR PARTE DE LA MERCANTIL A a los concesionarios con transferencias pendientes de ese "incidente" informático a fin de que se abstuvieran de realizar pago alguno…

…en tanto no se verificara que la cuenta se les hubiera facilitado correspondía realmente a la mercantil A.

Esa omisión propició que el día 11 de abril la mercantil B efectuara el pago en la cuenta aperturada a nombre del acusado.

La jurisprudencia ha señalado q, LA RELACIÓN ENTRE TAL INFRACCIÓN Y EL DAÑO, NO LLEGA A SER UNA PROPIA RELACIÓN DE CAUSALIDAD, PUES BASTA UNA RELACIÓN SIMPLEMENTE ADECUADA, DE MANERA Q EL RESULTADO SE VEA PROPICIADO POR ELLA. Lo q entiende el TS q ocurre en el presente supuesto.

Por todo lo expuesto el TS desestima el recurso interpuesto.

ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación