El phishing es una de las estafas digitales más comunes, y hasta hace poco, las víctimas a menudo se quedaban sin su dinero porque los bancos se lavaban las manos.
Sin embargo, una sentencia histórica del Tribunal Supremo (STS 571/2025, de 9 de abril de 2025) ha cambiado las reglas del juego, obligando a los bancos a asumir más responsabilidad.
En este artículo te explicaremos qué establece esta sentencia, cómo protege a los consumidores y qué puedes hacer si has sido víctima de phishing.
Índice
¿Qué dice la sentencia del Tribunal Supremo sobre el phishing?
La Sentencia 571/2025, emitida por la Sala de lo Civil del Tribunal Supremo el 9 de abril de 2025, aborda un caso de phishing donde un cliente de Ibercaja perdió más de 83.000 euros debido a un fraude sofisticado conocido como SIM swapping.
Los delincuentes duplicaron la tarjeta SIM del móvil de la esposa del cliente, accedieron a los códigos de seguridad y realizaron 15 transferencias no autorizadas en dos días. El cliente notificó al banco rápidamente, pero Ibercaja se negó a reembolsar el dinero, alegando que las operaciones eran “autorizadas” porque usaron credenciales válidas.
En vez de quitar al banco de toda responsabilidad, el Supremo falló a favor del cliente, estableciendo principios clave basados en el Real Decreto-ley 19/2018 y la Directiva PSD2 de la UE.
Según la sentencia, los bancos deben devolver el dinero sustraído en operaciones no autorizadas, salvo que demuestren negligencia grave o fraude por parte del cliente. El fallo subraya que el simple hecho de que un tercero acceda a las claves del cliente no implica negligencia, ya que los fraudes como el phishing suelen ser sofisticados y difíciles de detectar.
Además, los bancos tienen la obligación de implementar sistemas de seguridad robustos para detectar operaciones sospechosas, como transferencias inusuales por monto o frecuencia.
El Supremo destacó que la entidad no actuó con diligencia, ya que ignoró alertas previas del cliente sobre movimientos extraños. Como resultado, ordenó al banco devolver 56.474,63 euros, más intereses, consolidando un precedente que protege a los usuarios de banca online.
¿Qué implicaciones tiene esta sentencia para las víctimas de phishing?
La sentencia tiene un impacto significativo para quienes han sufrido o podrían sufrir phishing, smishing (phishing por SMS) o vishing (por llamadas). Aquí te detallamos las principales consecuencias y cómo te afectan:
- Mayor responsabilidad para los bancos: Los bancos ya no pueden escudarse en que las operaciones fueron “autenticadas” con claves válidas. Deben probar que el cliente actuó con negligencia grave, como guardar claves en lugares visibles, algo raro en fraudes sofisticados. Si no lo demuestran, deben reembolsar el dinero robado.
- Protección contra fraudes complejos: En casos como el SIM swapping, donde los delincuentes usan técnicas avanzadas, el Supremo considera que el cliente no es responsable si notificó el problema rápidamente. Esto aplica a fraudes por SMS, emails o llamadas falsas, según OCU.
- Obligación de sistemas de seguridad: Los bancos deben tener mecanismos para detectar anomalías, como transferencias nocturnas o a cuentas sospechosas. Si no los implementan, son responsables, incluso si el fraude no explotó fallos técnicos directos.
- Facilidad para reclamar: La sentencia fortalece las reclamaciones judiciales, ya que establece que la carga de la prueba recae en el banco. Esto anima a las víctimas a denunciar, sabiendo que tienen el respaldo del Supremo.
En 2025, el phishing aumentó un 40% en España, impulsado por el uso de inteligencia artificial en estafas. Esta sentencia llega en un momento crítico, cuando los fraudes digitales son una amenaza creciente y más aún con la nueva tecnología.
¿Qué puedes hacer si eres víctima de phishing?
Si has perdido dinero por un fraude de phishing, la sentencia del Supremo te da herramientas para reclamar. Aquí tienes pasos prácticos para protegerte y recuperar tu dinero:
- Notifica al banco inmediatamente: Contacta a tu banco en cuanto detectes una operación sospechosa. Usa el canal oficial (teléfono o app verificada) y guarda pruebas, como correos o capturas de pantalla. La sentencia enfatiza que informar sin demora demuestra tu diligencia.
- Denuncia ante la Policía: Presenta una denuncia en la Policía Nacional o Guardia Civil, detallando el fraude (SMS, email, llamada). Esto es crucial para respaldar tu reclamación, según Diario Sur.
- Reclama formalmente al banco: Envía una reclamación escrita al banco, solicitando el reembolso bajo el Real Decreto-ley 19/2018. Si no responden en un mes o rechazan tu petición, puedes escalar el caso.
- Acude a la justicia: Si el banco se niega a devolver el dinero, presenta una demanda con ayuda de un abogado especializado. La sentencia del Supremo (STS 571/2025) es un precedente sólido para ganar el caso.
La sentencia del Tribunal Supremo del 9 de abril de 2025 es un gran avance para las víctimas de phishing, obligando a los bancos a devolver el dinero robado si no prueban tu negligencia.
