Índice de contenidos
Los tribunales españoles avalan el derecho de los consumidores a que sus bancos les abonen una indemnización por phishing tras sufrir un fraude bancario
56.000€. Esta cifra es la que Ibercaja le debe devolver a un cliente que fue víctima de un fraude bancario acometido mediante la técnica del SIM swapping. Así lo estableció el Tribunal Supremo en una histórica sentencia en mayo de 2015 que reconoce el derecho de las víctimas de diversas clases de ciberestafas a reclamar un fraude bancario y conseguir que sus entidades financieras asuman las pérdidas causadas por los delincuentes.
En las últimas semanas, ya se han hecho públicas varias sentencias que hacen suya la doctrina del TS y condenan a los bancos a abonar una indemnización por phishing. Por ejemplo, el Juzgado de Primera Instancia nº7 de Salamanca ha sentenciado que BBVA debe pagar una indemnización por phishing de 9.900€.
Si bien, es importante señalar que, ya con anterioridad al pronunciamiento del Alto Tribunal, los juzgados españoles estaban concediendo una indemnización por phishing a las víctimas de los ataques de ingeniería social.
Tribunales de toda España reconocen el derecho a una indemnización por phishing
Por ejemplo, en febrero de 2025, la Audiencia Provincial de Badajoz condenó a Unicaja a abonar 3.441€ a la víctima de un fraude. En abril, la Audiencia Provincial de Madrid condenó a Triodos Bank a abonar una indemnización por phishing de 5.700€ a un cliente. Mientras que, en mayo, el Juzgado de Primera Instancia nº2 de Cangas, sentenció que Abanca debía hacerse cargo de una indemnización por phishing de 9.410€.
El año anterior, la Audiencia Provincial de Cantabria había ratificado una condena a Unicaja que se vio obligada a asumir una indemnización por phishing de 4.990€ a un cliente y otra indemnización de 3.390€ a otro consumidor.
Podríamos seguir listando casos. Pero lo importante es que los consumidores sean conscientes de que la Justicia avala su derecho a demandar una indemnización por phishing que contribuya a compensar el daño patrimonial sufrido por un fraude bancario.
A continuación, vamos a explicarte cuál es la operativa más común de los delincuentes y cuáles son los elementos clave para conseguir que un tribunal sentencie que una víctima tiene derecho a una indemnización por phishing a cargo de su banco.
Teléfono rojo. Tenemos un problema con tu cuenta bancaria
Una de las técnicas más empleadas por los delincuentes es el fraude bancario por SMS y llamada, pudiendo llegar a añadir una tercera vía de engaño: el correo electrónico. ¿Cómo funciona esta técnica?
Un cliente recibe en el hilo legítimo de SMS de su banco un mensaje informándole de un problema con su cuenta que debe resolverse de manera urgente. Ello es posible gracias a que los delincuentes recurren a la técnica del spoofing para suplantar el número del banco.
En el SMS se incluye un enlace que redirige a la víctima a una web de login que aparenta ser del banco y que, por lo tanto, no despierta las suspicacias de la víctima. De esta forma, introduce sus credenciales de acceso.
Para que la víctima no desconfíe, se realiza una llamada de teléfono suplantando la identidad del servicio de atención al cliente del banco. En dicha llamada se corroboran los problemas que afectan a la cuenta bancaria y se solicita que el cliente facilite el código de doble autenticación que se le acaba de enviar. ¿Por qué el banco envió dicho código? Al estar en posesión de las credenciales de acceso, los delincuentes intentan acceder a la cuenta de la víctima, de ahí que el banco le remita el código de autenticación.
Una vez que la víctima facilita el código, los delincuentes ya están dentro y pueden efectuar pagos fraudulentos. E, incluso, en algunos casos modifican los datos de la cuenta y asociando un número de teléfono en su posesión a la misma.
¿Por qué funcionan estas estafas?
La suplantación de los bancos es cada vez más perfecta.
Las víctimas entran en pánico al pensar que alguien ha podido acceder a sus cuentas bancarias o que se han hecho pagos indebidos y por eso facilitan sus credenciales de seguridad.
¿De qué forma se pueden prevenir estos fraudes? Es recomendable corroborar cualquier comunicación recibida por SMS, email o llamada, poniéndose en contacto con el banco a través del número de teléfono oficial de su servicio de atención al cliente o dirigiéndose a la oficina bancaria de la víctima o a su gestor personal.
No existe negligencia grave cuando el consumidor actúa engañado y con angustia y urgencia
La normativa clave a la que están acudiendo los tribunales españoles para determinar el derecho a una indemnización por phishing es el RD-ley 19/2018 de servicios de pago, así como la directiva europea que dicho RD-ley transpuso a nuestro país.
La sentencia del Tribunal Supremo arrojó luz sobre cómo se debe interpretar esta normativa al analizar dos cuestiones clave:
- La existencia de negligencia grave por parte de la víctima.
- El deficiente funcionamiento del servicio que permitió que el fraude se completase con éxito.
Solo si el banco es capaz de demostrar que el consumidor actuó de forma gravemente negligente y que sus sistemas de seguridad eran lo suficientemente robustos puede evitar tener que pagar una indemnización por phishing a la víctima.
¿En qué casos se puede considerar que el consumidor incurrió en una negligencia grave? Los tribunales españoles han determinado que:
- No se puede aducir una negligencia grave cuando la víctima actúa como consecuencia de un engaño.
- Que la víctima se encuentre en un momento de angustia y urgencia porque cree que su cuenta bancaria está siendo atacada, diluye la posibilidad de que su comportamiento sea gravemente negligente.
- Para determinar que el consumidor incurrió en una negligencia grave, la facilitación de sus credenciales de seguridad debería llevarse a cabo por su propia iniciativa y no como consecuencia de un engaño.
Esto supone que un banco que desea eludir el pago de una indemnización por phishing debe ser capaz de demostrar que la autorización de acceso a la cuenta bancaria o de realización de operaciones fraudulentas se produjo por iniciativa de la víctima y no como fruto de un engaño.
Los bancos deben mejorar de forma continua sus mecanismos de seguridad frente a los fraudes
Como apuntamos antes, la otra gran cuestión que señala la sentencia del Tribunal Supremo es el deber de los bancos de fortalecer sus mecanismos de prevención y detección de fraudes.
Según el dictamen del TS, las entidades financieras deben probar que las estafas no se produjeron porque sus medidas de seguridad fuesen insuficientes. De lo contrario, deben abonar una indemnización por phishing a las víctimas.
La doctrina del Alto Tribunal va en la línea de lo dictado previamente por otros tribunales de nuestro país que han puesto el foco en la necesidad de que los bancos adapten continuamente sus mecanismos de seguridad ante el perfeccionamiento de los ataques y la innovación constante de los delincuentes.
Es decir, no basta con requerir la doble autenticación para acceder a cuentas bancarias o realizar pagos, sino que es imprescindible que los bancos cuenten con mecanismos que les permitan detectar operaciones inusuales o anómalas y bloquearlas para evitar que los delincuentes tengan éxito.
De lo contrario, sí se puede reclamar una indemnización por phishing con éxito, ya que la normativa establece que, si se ejecuta un pago no autorizado, el banco debe devolver el importe al consumidor.
La doctrina del Tribunal Supremo puede forzar a un banco a hacerse cargo de una indemnización por phishing
Aunque numerosos tribunales españoles ya están reconociendo el derecho a una indemnización por phishing a las víctimas de fraude, la sentencia del Tribunal Supremo abre la puerta, definitivamente, a que se pueda exigir a los bancos dicha indemnización.
¿Cuál debe ser el procedimiento para reclamar una indemnización por phishing al banco?
- El consumidor debe haber informado con la máxima celeridad al banco sobre los pagos fraudulentos que se han realizado con cargo a su cuenta.
- La víctima debe presentar la pertinente denuncia ante la Policía o la Guardia Civil, aportando todas las pruebas que tenga a su disposición para intentar atrapar a los delincuentes.
- Es necesario acudir a un abogado especializado en Derecho Bancario para que redacte una reclamación extrajudicial previa en la que se establezca lo sucedido, se haga referencia a la normativa y a la jurisprudencia y se determine el importe reclamado al banco.
- Si la entidad financiera no responde, rechaza la reclamación u ofrece un acuerdo que no satisface a la víctima, se puede activar la vía judicial.
- El abogado elaborará el escrito de demanda solicitando la indemnización por phishing.
- Si el banco no puede probar la negligencia grave de la víctima, ni demostrar que sus mecanismos de seguridad fueron lo suficientemente eficaces, el tribunal concederá a la víctima una indemnización por phishing.
¿A cuánto puede ascender la cuantía de una indemnización por phishing? Al importe de los pagos fraudulentos. A dicha cifra se le deben sumar los intereses legales.
Además, el banco será condenado en costas. De ahí que tras la sentencia del TS sea muy probable que las entidades financieras se avengan a negociar extrajudicialmente y abonar una indemnización por phishing sin obligar a la víctima a acudir a la Justicia.
En Lex Hoy colaboramos con abogados especializados en fraudes bancarios que te pueden asesorar y ayudarte a recuperar el dinero de una estafa online.
