Devolución por SIM swapping. Los 3 criterios del TS para condenar a los bancos a hacerse cargo de las estafas

El Tribunal Supremo ha condenado a Ibercaja a abonar una devolución por SIM swapping de más de 56.000€ a un cliente estafado

Los intentos de fraudes online son tan comunes y, en muchos casos, burdos que nos hemos acostumbrado a ellos. Este proceso de normalización trae consigo un gran peligro: que los ciudadanos bajen la guardia y crean que a ellos nos les van a afectar. La realidad muestra que no solo los intentos han crecido de manera vertiginosa, sino que la tasa de éxito de los ciberdelincuentes también va en aumento.

Por eso, cobra especial importancia aclarar si es posible reclamar al banco por un fraude online y obtener una devolución por SIM swapping, phishing u otras técnicas maliciosas desplegadas por los malos.

De hecho, las técnicas y tácticas de los ciberdelincuentes son cada vez más sofisticadas y difíciles de detectar por los ciudadanos. Además, los criminales aprovechan los acontecimientos que están de actualidad para incrementar su capacidad de engañar a las víctimas, como está ocurriendo con las estafas tras el apagón sufrido por España y Portugal a finales de abril de 2025.

Por eso, no debe sorprendernos que los delincuentes estén usando ya Inteligencia Artificial para suplantar la identidad de profesionales y empresarios o que recurran a técnicas más complejas como el SIM swapping.

Precisamente, el Tribunal Supremo acaba de emitir una histórica sentencia en la que se obliga a una entidad bancaria a realizar una devolución por SIM swapping.

En este artículo, vamos a desgranar las claves de la doctrina del Alto Tribunal para aclarar cuándo se puede obtener una devolución por SIM swapping u otra clase de fraude online.

Cómo funciona el SIM swapping, un fraude online sofisticado

Los expertos de ciberseguridad han ido perfilando con el paso de los años la operativa del SIM swapping:

1. Los delincuentes obtienen datos de su víctima, generalmente adquiriéndolos en la Dark Web o rastreando su presencia digital.
2. Proceden a elaborar un perfilado de la víctima para almacenar el mayor número de información posible sobre ella.
3. Suplantan la identidad de su víctima y se ponen en contacto con su operadora de telefonía móvil para solicitar un duplicado de su tarjeta SIM. La compañía lleva a cabo el duplicado porque la persona al otro lado de la línea fue capaz de aportar la información necesaria para, teóricamente, demostrar que es quien dice ser.
4. Instalan la tarjeta SIM en un dispositivo bajo su control y acceden a toda la información almacenada en ella.
5. Gracias a la recopilación de datos bancarios de la víctima, los delincuentes pueden acceder a sus cuentas superando, incluso, la doble autenticación. ¿Por qué? Al tener la SIM de la víctima, reciben el SMS o la llamada que funcione como segundo factor para autenticarse.
6. Una vez dentro de la cuenta bancaria, los delincuentes llevan a cabo transferencias y pagos ilegítimos hasta que la víctima o su banco detectan el fraude.

El caso analizado por el Tribunal Supremo

La solicitud de una devolución por SIM swapping ha sido analizada por el Tribunal Supremo a partir de un caso en que se pudo acreditar que:

• Tres semanas antes del fraude, el demandante recibió en su teléfono varios SMS en los que se incluían códigos para validar transferencias hechas desde su cuenta y que no había solicitado.
• A lo largo de tres días, Google Play y Google Ads realizaron cargos a su cuenta que el demandante tampoco había autorizado y procedió a avisar a su banco.
• Cinco días después del último cargo a su tarjeta, el demandante acudió a una oficina a cancelarla y solicitar una nueva.
• Esa misma madrugada, se llevaron a cabo 15 transferencias bancarias (10 de ellas a través de Bizum) por valor de más de 80.000 euros.
• Esto fue posible porque los delincuentes habían conseguido duplicar la SIM de su mujer y obtener, así, los códigos enviados por SMS para autorizar las transferencias.
• Al día siguiente, otra entidad financiera alertó sobre esta circunstancia al banco demandado.
• El consumidor presentó una denuncia ante la Policía Nacional y reclamó a su banco, Ibercaja, la devolución por SIM swapping del dinero perdido. Sin embargo, la entidad solo le devolvió algo más de 27.000 euros.
• Como consecuencia de ello, solicitó la devolución por SIM swapping del resto del dinero perdido: más de 56.000 euros. ¿Por qué? El demandado consideró que el banco había incumplido sus obligaciones contractuales al «haberse realizado quince transferencias bancarias no autorizadas».

Qué se debe tener en cuenta al condenar a un banco a realizar una devolución por SIM swapping

Tanto el Juzgado de Primera Instancia nº7 de Zaragoza como la Audiencia Provincial de Zaragoza dieron la razón al demandante y condenaron al banco a efectuar a cabo la devolución por SIM swapping de los más de 56.000 euros solicitados por el consumidor, así como el pago de los intereses dejados de percibir por dicha cantidad desde el momento que se cometió el fraude.

Ibercaja se opuso a ambos dictámenes y, por eso, esta cuestión ha llegado hasta el Tribunal Supremo.

El Alto Tribunal no solo ha ratificado las sentencias previas, reconociendo el derecho del consumidor a la devolución por SIM swapping, sino que ha fijado los criterios que deben tener en cuenta los tribunales españoles para resolver casos en los que ciudadanos o empresas deciden reclamar el dinero de una estafa online a sus entidades financieras.

Para fijar estos criterios, el TS ha analizado la normativa aplicable, tanto española como europea, así como la jurisprudencia europea:

• La Directiva 2015/2366 y el Reglamento Delegado 2018/389 que la complementa.
• La Ley 19/2018 de Servicios de Pago (LSP).
• La sentencia C-337/20 del Tribunal de Justicia.

1. Medidas razonables de protección y notificación inmediata al banco por parte del consumidor

Tanto la Directiva 2015/2366 como su transposición al ordenamiento jurídico español mediante la Ley de Servicios de Pago establecen que:

• El consumidor debe tomar todas las medidas que resulten razonables para proteger sus credenciales de seguridad para usar tarjetas de crédito, apps móviles o cuantas bancarias online.
• Si el consumidor detecta una «utilización no autorizada» de sus instrumentos de pago, debe notificar al banco «sin demora indebida en cuanto tenga conocimiento de ello» (artículo 41 de la Ley de servicios de pago).

Por lo tanto, para conseguir una devolución por SIM swapping u otra técnica fraudulenta es fundamental que la víctima haya notificado la actuación fraudulenta con la máxima celeridad a su banco.

2. El banco debe probar que el cliente prestó su consentimiento y no se produjo ninguna deficiencia en el servicio

El artículo 44 de la LSP establece que si un usuario niega haber autorizado una operación ya realizada o sostenga que esta se llevó a cabo de manera incorrecta, debe ser la entidad financiera la que demuestre que la operación:

• «Fue autenticada, registrada con exactitud y contabilizada».
• «No se vio afectada por un fallo técnico u otra deficiencia del servicio».

En línea con esta última cuestión, el Reglamento Delegado 2018/389 establece en su artículo 2 que los proveedores de servicios de pago deben:

• Implementar mecanismos de supervisión de las operaciones que permitan detectar operaciones no autorizadas o fraudulentas.
• Garantizar que estos mecanismos tengan en cuenta:
  • Listas de elementos de autenticación comprometidos o sustraídos.
  • El importe de las operaciones de pago.
  • Tipos de fraudes conocidos relacionados con la realización de pagos indebidos.
  • Indicadores que alerten sobre malware durante el proceso de autenticación.

Es decir, no basta con que la entidad financiera constate que la operación fue autenticada, sino que debe contar con mecanismos lo suficientemente robustos como para detectar operaciones anómalas y potencialmente fraudulentas.

En este sentido, el Tribunal Supremo ha hecho hincapié en que el desarrollo tecnológico actual permite a las entidades financieras diseñar mecanismos avanzados que alerten de comportamientos sospechosos y, así, evitar que se lleven a cabo pagos y transferencias fraudulentos.

Asimismo, en esta línea debemos tener en cuenta que los bancos ya están usando estrategias para hacer frente a la IA y a los deepfakes como palabras clave contra la ingeniería social, para que sus clientes no caigan víctimas de fraudes en los que se suplanta la identidad de profesionales bancarios.

3. El banco ha de demostrar que la víctima cometió una negligencia grave

El artículo 44 de la Ley de Servicios de Pago, siguiendo la estela de la directiva europea que transpone, va un paso más allá al dictar que constatar la utilización del instrumento de pago para demostrar que:

• La operación fue autorizada por el ordenante.
• El consumidor actuó de manera fraudulenta.
• La víctima incurrió en una negligencia grave.

Es más, el proveedor de servicios de pago debe «probar que el usuario del servicio de pago cometió fraude o negligencia grave» para librarse de su responsabilidad cuasi-objetiva y, así, no tener que realizar una devolución por SIM swapping, phishing, smishing u otra técnica de ciberestafa bancaria.

Qué dice la ley sobre la obligación de los bancos de efectuar una devolución por SIM swapping u otra clase de estafa

El artículo 45 de la Ley de Servicios de Pago es claro al establecer que en caso de que se lleve a cabo una operación no autorizada, el proveedor de servicios de pago debe devolver el importe de la operación al consumidor.

Mientras que el cliente solo soportará las pérdidas producidas por operaciones no autorizadas si actuó de manera fraudulenta o si incumplió por negligencia grave sus obligaciones.

Por lo que la LSP avala el derecho a reclamar la devolución por SIM swapping u otra técnica fraudulenta de todo el dinero sustraído ilegítimamente.

Los 3 elementos del régimen de responsabilidad de la UE y la devolución por SIM swapping u otro fraude

Como apuntamos anteriormente en este artículo sobre la posibilidad de obtener una devolución por SIM swapping, el Tribunal Supremo se ha apoyado en la doctrina del Tribunal de Justicia. Dicho órgano estableció en una sentencia de 2021 que el legislador europeo, al aprobar la Directiva 2007/64, antecesora de la Directiva 2015/2366, estableció un régimen de responsabilidad sustentado sobre tres elementos:

1. El usuario de un servicio de pago debe notificar a este cualquier pago que se haya realizado sin su autorización.
2. El proveedor de servicios de pago debe asumir la carga de prueba para demostrar que la operación fue autenticada.
3. Si no se puede probar, la responsabilidad recae en el proveedor de servicios de pago, sin que el usuario tenga que demostrar una falta o negligencia de este.

A la luz de todo lo que hemos ido relatando, el Tribunal Supremo ha concluido que existe el derecho a conseguir la devolución por SIM swapping, phishing o smishing de lo perdido ya que «la responsabilidad del proveedor de los servicios de pago, en los casos de operaciones no autorizadas o ejecutadas incorrectamente, tiene carácter cuasi objetivo».

Los tribunales españoles están fallando a favor de los consumidores y condenando a los bancos a devolver el dinero estafado

Esta sentencia del TS que avala el derecho de una víctima de fraude a obtener una devolución por SIM swapping viene a fortalecer la posibilidad de que cientos de personas que han sufrido estafas bancarias puedan reclamar a sus entidades bancarias la devolución del dinero que han perdido si:

• Adoptaron medidas razonables para proteger sus credenciales de uso de tarjetas bancarias o cuentas online.
• Notificaron sin demora al banco cuando detectaron una operación que no habían autorizado.
• No incurrieron en una actuación que pueda ser catalogada como una negligencia grave.

En definitiva, es posible obtener una devolución por SIM swapping u otra clase de fraude online. Las víctimas no deben resignarse y asumir las pérdidas causadas por las ciberestafas.

Contacta con nosotros