La reciente sentencia del Tribunal Supremo núm. 571/2025, de 9 de abril, supone un hito en la protección de los usuarios de servicios bancarios digitales frente a fraudes informáticos, y en particular, frente a una modalidad cada vez más frecuente: el “SIM swapping”. Esta técnica consiste en duplicar la tarjeta SIM de la víctima para interceptar los mensajes de verificación enviados por el banco y ejecutar transferencias sin su consentimiento.

¿Qué ocurrió en el caso?

El caso juzgado se refiere a un cliente de Ibercaja Banco S.A. al que, tras sufrir el duplicado no autorizado de su SIM, le fueron sustraídos más de 83.000 euros mediante 15 transferencias electrónicas fraudulentas, realizadas en una sola noche. A pesar de haber alertado previamente a su banco sobre actividades sospechosas (como la recepción de SMS con códigos que no había solicitado), y de haber actuado con rapidez, el banco alegó que las operaciones eran válidas, por haberse ejecutado con las credenciales correctas y cumpliendo el doble factor de autenticación.

¿Qué resolvió el Tribunal Supremo?

El Tribunal desestimó el recurso de casación interpuesto por Ibercaja y confirmó la condena a restituir 56.474,63 € (lo que no había sido recuperado), reforzando así el criterio pro consumidor. Entre sus fundamentos más relevantes destacan:

1. Responsabilidad cuasi objetiva del banco

El proveedor de servicios de pago debe devolver de inmediato el importe de las operaciones no autorizadas, salvo que acredite:

– Que fueron debidamente autenticadas,

– Que no se vieron afectadas por fallos técnicos o deficiencias del servicio,

– Y que el usuario actuó con dolo o negligencia grave.

2. No basta con cumplir el protocolo técnico

La utilización de claves válidas y SMS no equivale automáticamente a autorización del cliente si este niega haber realizado la operación. La carga de la prueba recae sobre el banco, quien debe demostrar la existencia de consentimiento válido o negligencia del cliente.

3. Deficiencias del sistema de seguridad

La sentencia subraya que el banco no reaccionó pese a los signos de alarma:

– Volumen y horario inusual de las transferencias,

– Advertencias previas del cliente,

– Falta de alerta automatizada o control interno.

La alerta, paradójicamente, llegó desde una entidad externa (Banco Santander), lo que evidencia una deficiente praxis en la detección del fraude.

4. Nulidad de cláusulas abusivas

El Tribunal anula las cláusulas contractuales que pretendían exonerar al banco de toda responsabilidad por intromisiones de terceros, por ir contra la normativa imperativa de protección al consumidor recogida en el Real Decreto-Ley 19/2018, que transpone la Directiva PSD2 (Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo).

Conclusión

Esta sentencia supone un espaldarazo a los derechos de los consumidores en el entorno digital y obliga a las entidades bancarias a revisar sus protocolos de seguridad y sus prácticas de gestión del riesgo, especialmente ante señales de posible fraude. Las cláusulas contractuales no pueden servir de excusa para eludir responsabilidades impuestas por una normativa que protege de forma expresa al usuario final.

En un entorno en el que las estafas digitales aumentan exponencialmente, esta jurisprudencia refuerza la exigencia de diligencia reforzada a los bancos y aporta seguridad jurídica a los consumidores.

Nuestro despacho está especializado en asesorar sobre este tipo de asuntos, por lo que si tiene dudas sobre ciberestafas o desea asesoramiento específico, nuestro despacho está a su disposición para ayudarle.