El Supremo cambia las reglas del juego: los bancos, responsables de los robos por ‘phishing’
Con esta resolución, el Alto Tribunal unifica criterio y ofrece una interpretación clara que aporta seguridad jurídica tanto a los consumidores como a las entidades financieras
La reciente sentencia del Tribunal Supremo número 571/2025, de 9 de abril, marca un hito en la defensa de los derechos de los consumidores frente a las estafas digitales, concretamente aquellas conocidas como phishing. En este fallo, el Alto Tribunal establece que las entidades bancarias deben reembolsar las cantidades sustraídas mediante fraudes informáticos, salvo que consigan probar que el cliente actuó con negligencia grave o cometió fraude doloso. En particular, se destaca que el simple hecho de que un tercero haya accedido a las credenciales del usuario no implica automáticamente una actuación negligente por parte del titular de la cuenta.
Esta sentencia constituye un importante paso adelante en la protección de los usuarios frente a prácticas fraudulentas cada vez más sofisticadas, como aquellas derivadas del acceso a enlaces maliciosos recibidos por correo electrónico o SMS, o de llamadas telefónicas en las que el estafador se hace pasar por un representante de la entidad bancaria.
El Tribunal Supremo pone de relieve la responsabilidad activa de las entidades financieras, en su condición de proveedores especializados de servicios de pago, lo que implica no solo la puesta a disposición de herramientas de seguridad, sino también la implementación de mecanismos eficaces para la prevención y detección de operaciones inusuales o sospechosas.
Hasta ahora, los pronunciamientos judiciales eran dispares, dando lugar a una jurisprudencia menor que resultaba contradictoria en torno a si, en casos de estafa cometida mediante técnicas como el phishing o el smishing, las entidades bancarias debían o no asumir responsabilidad en virtud del artículo 1101 del Código Civil y del Real Decreto-ley 19/2018.
Con esta resolución, el Tribunal Supremo unifica criterio y ofrece una interpretación clara que aporta seguridad jurídica tanto a los consumidores como a las entidades financieras.
En concreto, el Alto Tribunal establece que, cuando el cliente ha sido víctima de una estafa sin haber incurrido en negligencia grave, el banco debe responder por los daños sufridos como consecuencia del incumplimiento de su obligación de proteger adecuadamente los sistemas de pago y garantizar la seguridad de las operaciones.
De este modo, se consolida una doctrina que refuerza los derechos de los consumidores en el ámbito digital, en un contexto en el que las prácticas fraudulentas son cada vez más sofisticadas y frecuentes. La jurisprudencia del Supremo se decanta, por tanto, de forma inequívoca por imponer a las entidades bancarias un estándar de diligencia elevado y una mayor responsabilidad frente a fraudes que afectan directamente a sus clientes.
Los fraudes digitales, en especial el phishing, se han consolidado como una de las principales amenazas en el ámbito de la banca online y el comercio electrónico. Este tipo de estafa consiste en engañar al usuario mediante correos electrónicos, mensajes de texto o llamadas falsas, suplantando la identidad de entidades legítimas con el objetivo de obtener claves de acceso, contraseñas o datos bancarios.
Ante este panorama, se exige una mayor concienciación por parte de los usuarios, pero también una actuación diligente por parte de los bancos. No basta con imponer la carga de la vigilancia al consumidor: las entidades financieras deben disponer de sistemas que bloqueen o alerten sobre operaciones atípicas, especialmente si no guardan coherencia con el perfil del usuario o con su historial transaccional.
Es sumamente importante actuar con rapidez y diligencia ante cualquier indicio de fraude. Si sospechas que se ha realizado una operación sin tu autorización, es fundamental que tomes medidas inmediatas para proteger tus datos y tu patrimonio.
En primer lugar, cambia todas tus contraseñas, especialmente las relacionadas con tus cuentas bancarias, correos electrónicos y servicios digitales vinculados a tus datos personales o financieros. Esta acción puede evitar accesos no autorizados posteriores y frenar el daño potencial.
A continuación, contacta de inmediato con tu entidad bancaria para informar de la operación sospechosa. Ellos podrán bloquear temporalmente tu cuenta, iniciar los protocolos de seguridad y, en su caso, iniciar el procedimiento para la devolución del importe si se confirma el fraude.
Presenta una denuncia formal ante las autoridades competentes, aportando toda la información y documentación de la que dispongas. Esta actuación es crucial para que puedan investigarse los hechos, identificar a los posibles responsables y, en su caso, iniciar acciones penales.
Finalmente, es recomendable ponerte en manos de un abogado especializado en este tipo de situaciones. Un profesional con experiencia te orientará sobre los pasos legales que debes seguir, velará por tus derechos y te acompañará durante todo el proceso para garantizar que se actúe con todas las garantías jurídicas.