El Tribunal Supremo, en su reciente sentencia (STS, a 19 de febrero de 2025 – ROJ: STS 699/2025), ha confirmado la responsabilidad civil subsidiaria de Gamboa Automoción S.A., sosteniendo que la brecha de seguridad en su sistema informático facilitó un fraude a terceros.
Un grupo de ciberdelincuentes suplantó la cuenta de correo de un empleado de Gamboa Automoción y envió a Comercio y Asistencia S.A. (CYASA) instrucciones falsas para realizar una transferencia de 32.594,75 euros. CYASA, confiando en la autenticidad del mensaje, efectuó el pago a una cuenta fraudulenta.
En primera instancia, el Juzgado de lo Penal absolvió a Gamboa Automoción de responsabilidad civil subsidiaria.
La Audiencia Provincial de Oviedo revocó la absolución en apelación, considerando que la empresa debió alertar a sus socios comerciales tras detectar una incidencia similar el día anterior.
El Tribunal Supremo confirma este criterio, desestimando el recurso de casación.
Las cuestiones clave de la resolución son: (i) se amplía el concepto de “establecimiento”, incluyendo el sistema informático de la empresa como parte del entorno en el que se comete el delito (art. 120.3 CP); (ii) la empresa tenía conocimiento de una brecha de seguridad previa y no advirtió a otros concesionarios, lo que facilitó la consumación del fraude, conculcando su deber de diligencia; (iii) el Supremo aplica la doctrina consolidada que exige que la omisión de medidas preventivas guarde una relación adecuada con el perjuicio causado (STS 768/2009, STS 413/2015), en relación con la responsabilidad civil subsidiaria.
En relación con las empresas, esto implica que éstas deben gestionar incidentes de ciberseguridad con inmediatez para evitar responsabilidades indirectas y que los delitos informáticos pueden generar responsabilidad civil para la empresa si esta no actúa con diligencia ante vulnerabilidades en su sistema.
A juicio del Tribunal, el concepto de “establecimiento” se adapta a la era digital, incluyendo infraestructuras tecnológicas esenciales para la actividad económica.
Con esta sentencia el Tribunal Supremo amplía el concepto de “establecimiento” en la responsabilidad civil subsidiaria por brechas de ciberseguridad.
