Caso:

• Cliente de entidad bancaria sufre fraude phishing + duplicación de SIM.
• Se realizan 15 transferencias en una sola noche por más de 83.000 €.
• El banco solo logra recuperar 27.218,10 €.
• El cliente había avisado previamente al banco de anomalías y actuó con diligencia (cambio de contraseñas, denuncias, bloqueo).
• La entidad se defiende alegando que:
  1. Usó autenticación reforzada (doble factor con SMS).
  2. El cliente debía proteger sus dispositivos.
  3. El contrato lo eximía de responsabilidad.

⚖️ Decisión del Tribunal Supremo

El TS desestima el recurso de la entidada bancaria y confirma que debe devolver los 56.474,63 € restantes más intereses al consumidor.

10 puntos clave de esta sentencia:

1. Protección al usuario aun con sus claves → El uso de SMS no equivale a consentimiento válido.
2. No basta tener seguridad, hay que aplicarla eficazmente → El sistema no detectó operaciones sospechosas.
3. El cliente actuó con diligencia, sin negligencia grave.
4. Responsabilidad cuasi objetiva del banco según la normativa europea (PSD2, RDL 19/2018).
5. Autenticación ≠ consentimiento → el consentimiento debe ser expreso y consciente.
6. Carga de la prueba en el banco → la entidad bancaria no probó legitimidad de las operaciones.
7. Deficiencia del servicio bancario → no se activaron alertas ante patrones anómalos.
8. El cliente colaboró y denunció → excluye negligencia grave.
9. Cláusulas abusivas nulas → no pueden exonerar al banco de obligaciones legales.
10. Alta diligencia exigida al banco → no basta con actuar “como un buen padre de familia”, sino como un experto con sistemas de detección avanzados.

Implicaciones prácticas

• Para usuarios:
  • No son responsables de operaciones no autorizadas salvo fraude propio o negligencia grave.
  • El hecho de que se usen sus claves no significa consentimiento.
  • Ganan más protección frente a cláusulas abusivas.
• Para bancos:
  • Deben reforzar sistemas antifraude (detección automática de operaciones inusuales, alertas y bloqueos preventivos).
  • No pueden confiar únicamente en la autenticación de doble factor como prueba de consentimiento.
  • Tienen la carga de demostrar que el cliente actuó con dolo o negligencia grave.
• Para el mercado:
  • Se consolida la jurisprudencia en favor de la interpretación pro-consumidor de la normativa PSD2.
  • Aumenta la presión regulatoria y judicial sobre las entidades financieras para elevar estándares de ciberseguridad.

✅ Conclusión

Esta sentencia es un precedente fuerte en materia de protección frente a fraudes digitales:

• Refuerza la responsabilidad objetiva de los bancos.
• Garantiza que el consentimiento debe ser real y consciente, no solo derivado del uso de claves.
• Declara ineficaces las cláusulas abusivas de exoneración.
• Obliga a la banca a dar un salto en la prevención activa de fraudes.

 Pinchando aquí puede acceder a  la SENTENCIA TRIBUNAL SUPREMO 571/2025 DE 9 DE ABRIL