¿Quién responde cuando jaquean nuestra cuenta y efectúan transferencias bancarias no autorizadas?

Analizamos la reciente Sentencia del Tribunal Supremo nº 571/2025, que atribuye la responsabilidad a la entidad bancaria, con carácter objetivo.

En la sentencia del Tribunal Supremo núm. 571/2025, de 9 de abril, el núcleo del recurso de casación interpuesto por Ibercaja Banco S.A. se centró en dos motivos fundamentales, ambos relacionados con la interpretación y aplicación del Real Decreto-ley 19/2018 sobre servicios de pago, y su conexión con la normativa comunitaria, especialmente la Directiva (UE) 2015/2366 y el Reglamento Delegado (UE) 2018/389.

En primer lugar, la entidad bancaria alegó la infracción del artículo 36 del Real Decreto-ley 19/2018, que regula la autorización de operaciones de pago. Sostuvo que las transferencias impugnadas por el cliente debían considerarse autorizadas, ya que habían sido ejecutadas con el uso correcto de las credenciales y conforme a los procedimientos contractuales y normativos establecidos. Ibercaja defendía que, al haberse seguido el procedimiento de autenticación reforzada mediante el doble factor (usuario/clave y código SMS al número registrado), las operaciones estaban válidamente consentidas según lo pactado en los contratos de cuenta y banca electrónica.

En segundo término, invocó la infracción de los artículos 44 y 45 del mismo Real Decreto-ley, relativos a la carga de la prueba y a la responsabilidad en operaciones no autorizadas. A su entender, correspondía al usuario asumir las consecuencias si un tercero accedía a sus claves o dispositivos, siempre que no existiera fallo del sistema bancario. Ibercaja insistió en que el hecho de que las operaciones se realizaran con claves válidas y mediante doble autenticación era suficiente para presumir su validez y que, en consecuencia, no debía responder por la pérdida económica sufrida por el actor.

El Tribunal Supremo, sin embargo, desestimó ambos motivos. Reafirmó el criterio ya recogido por la Audiencia Provincial y por la jurisprudencia del TJUE, según el cual el régimen de responsabilidad del proveedor de servicios de pago es cuasi objetivo. Es decir, ante una operación impugnada como no autorizada, corresponde a la entidad bancaria demostrar no solo que la operación fue técnicamente autenticada y registrada con exactitud, sino también que no se vio afectada por una deficiencia del servicio y que el usuario actuó con fraude, dolo o negligencia grave.

“En suma, la responsabilidad del proveedor de los servicios de pago, en los casos de operaciones no autorizadas o ejecutadas incorrectamente, tiene carácter cuasi objetivo, en el doble sentido de que, primero, notificada la existencia de una operación no autorizada o ejecutada incorrectamente, el proveedor debe responder salvo que acredite la existencia de fraude; y, segundo, cuando el usuario niegue haber autorizado la operación o alegue que ésta se ejecutó incorrectamente, corresponde al proveedor acreditar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio, sin que el simple registro de la operación baste para demostrar que fue autorizada ni que el usuario ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave.”

En este caso, la entidad no acreditó ninguno de esos extremos: el cliente había advertido con antelación de movimientos sospechosos, se había producido una duplicación fraudulenta de la tarjeta SIM, y las transferencias presentaban patrones anómalos que no generaron alerta alguna en el sistema de Ibercaja. Para el Supremo, este último punto evidenció una deficiencia del servicio, entendida como cualquier omisión de diligencia exigible al proveedor.

En particular, se menciona la siguiente normativa comunitaria:

·         Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior (conocida como PSD2).

Esta directiva establece las bases del régimen de responsabilidad entre los usuarios y los proveedores de servicios de pago, introduciendo obligaciones tanto para el usuario (como custodiar sus credenciales y notificar con prontitud los usos no autorizados) como para el proveedor (como garantizar medidas de seguridad adecuadas y asumir la carga de la prueba en caso de operaciones no autorizadas).

El Tribunal cita varios considerandos relevantes de la Directiva:

-          El considerando 7, sobre la necesidad de proteger a los usuarios frente a los riesgos de seguridad en pagos electrónicos.

-          Los considerandos 70 a 72, donde se establece que el proveedor de servicios de pago debe devolver el importe de operaciones no autorizadas salvo que pruebe fraude o negligencia grave del usuario, y que el mero uso de credenciales no basta para imputar responsabilidad al ordenante.

-          Los artículos 64, 69, 70, 71, 72, 73 y 74, relativos al consentimiento, a las obligaciones del usuario y del proveedor, a la carga de la prueba y al régimen de responsabilidad por operaciones no autorizadas.

·         Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, que desarrolla la Directiva PSD2 en lo relativo a la autenticación reforzada de clientes (SCA, por sus siglas en inglés) y a estándares técnicos de comunicación.

Este Reglamento establece exigencias de autenticación multifactorial para ejecutar operaciones electrónicas seguras. También impone a los proveedores de servicios de pago la obligación de implementar mecanismos de supervisión para detectar operaciones fraudulentas.

El artículo 2 es citado por el Tribunal para subrayar que no basta con cumplir formalmente la autenticación técnica, sino que el proveedor debe implementar sistemas que identifiquen operaciones atípicas (por ejemplo, muchas transferencias en poco tiempo, horarios inusuales, o importes anómalos).

·         Sentencia del Tribunal de Justicia de la Unión Europea (TJUE) de 2 de septiembre de 2021 (C-337/20).

El Tribunal Supremo recurre a esta sentencia para reforzar su interpretación del reparto de la carga de la prueba y la configuración cuasi objetiva de la responsabilidad del proveedor en caso de operaciones no autorizadas.

El TJUE confirmó que el proveedor debe reembolsar la operación impugnada si no puede acreditar que fue autorizada, y que debe hacerlo sin que el usuario deba probar la existencia de fallo o fraude, siempre que haya notificado el incidente sin demora.

Sobre la base de lo expuesto, el Alto Tribunal confirmó la sentencia de la Audiencia Provincial, que había condenado a Ibercaja al reintegro de las cantidades transferidas fraudulentamente, y desestimó el recurso de casación imponiendo las costas a la entidad bancaria. Esta resolución consolida el criterio de que el mero cumplimiento técnico de los protocolos de autenticación no exonera al banco si no acredita la inexistencia de fallo o negligencia en la protección del usuario frente a fraudes sofisticados.

Si eres víctima de un caso de phishing bancario, contáctanos.