Una reciente sentencia del Tribunal Supremo (Sala de lo Civil, STS 220/2024, de 12 de febrero) ha marcado un punto de inflexión en la jurisprudencia sobre ciberfraude y responsabilidad bancaria, reafirmando que no basta con alegar imprudencia del cliente para exonerar al banco. En los casos de phishing —un tipo de fraude cada vez más sofisticado—, si la entidad no demuestra una negligencia grave por parte del usuario, debe responder por el perjuicio económico sufrido.
¿Qué resuelve el Supremo?
En el caso analizado, el cliente fue víctima de un fraude por el que, mediante técnicas de ingeniería social y redirección a una web falsa, se obtuvo su contraseña y se ejecutó una transferencia no autorizada. El banco rechazó la devolución del importe, invocando presunta negligencia del usuario.
El Tribunal Supremo, sin embargo, rechaza este enfoque y establece una regla clara:
La carga de la prueba sobre la conducta negligente del cliente recae en la entidad financiera.
En su ausencia, el banco debe asumir las consecuencias del uso fraudulento de los sistemas de pago.
Fundamento normativo: la Directiva PSD2
Esta doctrina se alinea con lo dispuesto en el artículo 74 de la Directiva (UE) 2015/2366 (PSD2) y su transposición al Derecho español (art. 45 y 46 del Real Decreto-ley 19/2018), que regulan los derechos y obligaciones en el uso de servicios de pago electrónicos:
- Si una operación no ha sido autorizada por el cliente, el proveedor de servicios de pago deberá reembolsarla de inmediato.
- Solo se podrá limitar esa obligación si se prueba que el usuario actuó con negligencia grave o fraude.
Relevancia para el sector financiero y los consumidores
Esta resolución es un serio aviso a la banca: no basta con redactar contratos estandarizados ni escudarse en cláusulas genéricas sobre seguridad. La entidad tiene la obligación de garantizar sistemas robustos, trazabilidad clara y protocolos eficaces de verificación. En palabras del propio fallo, el deber de diligencia bancaria es reforzado dada la asimetría técnica y de información entre banco y cliente.
Para los consumidores, la sentencia representa una protección clave frente a los riesgos crecientes del fraude digital, que ya no se limita a usuarios incautos, sino que afecta también a perfiles digitalmente competentes.
¿Hacia una nueva cultura de la prueba en ciberfraude?
Este fallo refuerza la tendencia a exigir a las entidades financieras una prueba activa, documentada y fehaciente de la supuesta negligencia del cliente, eliminando fórmulas vagas como “debió haber sospechado” o “no tomó las debidas precauciones”.
En consecuencia, la jurisprudencia apunta a un régimen de responsabilidad objetiva mitigada a favor del consumidor, exigiendo al banco algo más que simples sospechas: debe demostrar que el cliente facilitó datos, actuó de forma temeraria o eludió advertencias claras del sistema.
Conclusión: entre ciberseguridad y protección jurídica
En un entorno digital cada vez más expuesto a ciberamenazas, el Tribunal Supremo ha reforzado un principio esencial: la confianza en los medios de pago electrónicos requiere que los bancos asuman su rol de garantes de seguridad, no de simples intermediarios. Esta doctrina afianza la protección del usuario sin impedir que los bancos se defiendan, pero con una exigencia clara: probar la negligencia, no presumirla.
