Recientemente, el Tribunal Supremo ha dictado la primera sentencia en la que se pronuncia expresamente sobre un caso de phishing y ciberdelincuencia, en el que una clienta de Ibercaja sufrió la sustracción de más de 80.000 euros mediante 17 transferencias no autorizadas realizadas durante una sola noche. En este caso, los delincuentes emplearon la técnica conocida como SIM swapping, consistente en duplicar sin autorización la tarjeta SIM del teléfono móvil de la usuaria para acceder a su información personal y tomar el control de su cuenta bancaria.
La sentencia reviste una enorme trascendencia, no solo por tratarse del primer pronunciamiento del Alto Tribunal sobre este tipo de delitos digitales, sino porque consolida y valida el criterio que desde hace años venimos defendiendo ante los tribunales: los bancos son responsables de garantizar la seguridad de las operaciones bancarias y de proteger con diligencia los intereses de sus clientes.
La resolución del Tribunal Supremo desestima el recurso de Ibercaja y confirma la condena a devolver el importe sustraído, subrayando que la entidad ofreció una «prestación defectuosa del servicio», al no detectar ni prevenir una operativa anómala y altamente sospechosa: 17 transferencias de madrugada y por un importe total superior a 80.000 euros. Un patrón de conducta claramente inusual, que debería haber activado los mecanismos de control interno del banco.
Es el banco quien debe probar de forma clara y contundente la existencia de una negligencia grave por parte del usuario. Y no cualquier clase de descuido: ha de tratarse de una conducta especialmente imprudente
En este sentido, el Supremo enfatiza que el uso de sistemas de doble verificación no puede considerarse prueba inequívoca de que la operación fue consentida por el cliente, especialmente cuando dicho consentimiento ha sido obtenido mediante técnicas fraudulentas. Lo que determina la validez de una operación, conforme a la Ley de Servicios de Pago, es la existencia de consentimiento expreso por parte del ordenante. Y si el cliente niega haberlo otorgado, corresponde al banco demostrar lo contrario.
En la práctica diaria, sin embargo, observamos que la reacción más habitual de las entidades financieras es negar su responsabilidad, atribuyendo al cliente una supuesta negligencia. Esta fue también la línea de defensa de Ibercaja en el presente caso, al responsabilizar a la clienta por el duplicado de su SIM. Pero el Tribunal Supremo rechaza frontalmente esta pretensión, recordando que es el banco quien debe probar de forma clara y contundente la existencia de una negligencia grave por parte del usuario. Y no cualquier clase de descuido: ha de tratarse de una conducta especialmente imprudente que justifique eximir a la entidad de su obligación de garantizar la seguridad de las operaciones.
Resulta igualmente relevante recordar que la Agencia Española de Protección de Datos (AEPD) ha sancionado con más de 6,7 millones de euros a operadores como Vodafone, Telefónica, Orange, MásMóvil o Digi por permitir duplicados de tarjetas SIM sin verificar adecuadamente la identidad de los solicitantes. Este contexto evidencia que la suplantación de identidad mediante SIM swapping no es un hecho aislado, sino una práctica extendida ante la que los ciudadanos se encuentran en una situación de especial vulnerabilidad.
Las técnicas empleadas por los ciberdelincuentes son cada vez más sofisticadas y es irreal exigir que los usuarios puedan protegerse por sí solos de estos ataques. En cambio, los bancos disponen de tecnología avanzada y están legalmente obligados a utilizarla para detectar, bloquear y prevenir operaciones fraudulentas. No basta con actuar a posteriori: la ley exige una actitud proactiva de protección.
Esta sentencia marca un antes y un después. Refuerza la protección de los consumidores frente a estafas digitales, y obliga a las entidades bancarias a asumir su cuota de responsabilidad cuando fallan los sistemas de control. Es también un reconocimiento a todas las personas que, como la clienta afectada en este caso, han sufrido el impacto de la ciberdelincuencia sin haber incurrido en negligencia alguna.
Desde Col·lectiu Ronda seguiremos trabajando para que la jurisprudencia consolidada por esta sentencia se extienda y garantice los derechos de todos los usuarios bancarios frente a una amenaza tan grave como creciente.
mala práctica bancaria 