La justicia es rotunda: los bancos deben hacerse cargo de las estafas a sus clientes
“No es de recibo”
El último caso es el de una entidad financiera de Murcia condenada a devolver los 6.000 euros de un fraude
La fachada de la sede del Tribunal Supremo
Una reciente sentencia del Supremo fija con contundencia la responsabilidad subsidiaria de las entidades financieras en las estafas cada vez más elaboradas que sufren sus clientes. La resolución 571/2025 de 9 de abril del alto tribunal establece que en caso de operaciones no autorizadas o autorizadas bajo engaños “el proveedor de servicios de pago deberá devolver inmediatamente el importe de tales operaciones”.
La única excepción sería cuando la propia víctima, es decir, el cliente estafado, incurra en una negligencia grave. La doctrina del Supremo ha sido utilizada por varios juzgados y tribunales en los últimos meses para obligar a los bancos a devolver las cantidades estafadas a sus clientes. “No es de recibo”, dice la más reciente de estas sentencias, que los bancos se amparen en la falta de pericia de sus clientes para escurrir el bulto.
Los ciberdelincuentes, dice por ejemplo la Audiencia de Badajoz, son “cada vez más astutos” cuando se trata de suplantar la identidad de las entidades bancarias. Pero el ciudadano sigue confiando “en que sus ahorros están más protegidos en el banco que en su casa. En fin, la víctima no puede ser el cliente. Será en todo caso el banco (…) salvo ante engaños patentes o burdos, lo que no siempre es el caso”.
No lo fue tampoco en la última estafa que ha llegado por ahora a juicio: la de una vecina de Murcia que intentó hacer unas compras por internet utilizando la tarjeta de crédito de su banco el 9 de junio del 2023 (los hechos han tardado más de dos años en enjuiciarse). Inmediatamente después recibió un sms con idéntica apariencia a la de su banco alertándole de que su tarjeta “había sido limitada por razones de seguridad”.
Los riesgos del 'phishing'
Un hipervínculo incluido en ese mismo mensaje le remitía una página de su entidad bancaria. Luego recibió una llamada de un teléfono que también aparentaba ser oficial. Una presunta empleada, en realidad una integrante de la banda, le dijo que se había observado “un intento de cargo sobre su cuenta por importe de 5.977 euros desde Sevilla”. La estafadora le preguntó si ella lo había autorizado. La trampa ya estaba tendida...
La víctima comprobó hasta en cinco ocasiones que el número desde el que le habían alertado era el de atención al cliente de su entidad financiera, pero en las cinco ocasiones intentó infructuosamente ponerse en contacto con alguien del servicio. Por eso, cuando más tarde la volvieron a llamar y le dieron datos inequívocos sobre la ubicación de su oficina bancaria, ya no dudó más. Los delincuentes lograron así desvalijarla.
No basta por parte de los bancos con medidas genéricas de protección o avisos estereotipados de cuidado”
Siguiendo las indicaciones que recibió por teléfono, la mujer accedió voluntariamente a dos transferencias por valor de 2.977 y 3.000 euros a “otra cuenta provisional en el mismo banco y a su nombre”. Los sms con la clave para autorizar la operación, resalta el Juzgado de Primera Instancia 8 de Murcia, “provenían del banco”, por lo que la apariencia de verosimilitud era total. La nueva cuenta fue vaciada en cuanto recibió el dinero.
La entidad bancaria en cuestión, como ocurre siempre en el sector, se amparó en la voluntariedad de la clienta y en su falta de cuidado para lavarse las manos y negarse a devolver el dinero. Una sentencia, contra la que cabe recurso, se escuda en la opinión firme del Supremo sobre estos casos para obligarle a reintegrar la suma a la demandante “más los intereses legales”. ¿Por qué? Porque “no es de recibo” el proceder de la demandada.
Los bancos deben hacerse cargo del 'pishing' o suplantación de identidad
Cómo puede ser, se pregunta el juzgador, “que una entidad con millones de clientes no tenga un sistema que detecte el bloqueo de claves por personas que no son los titulares de las cuentas, como sucedió en este caso, y por el contrario cedan claves para consumar operaciones como si fueran lícitas y seguras”. Tales prácticas “deben erradicarse para evitar estos fraudes”. No se está reclamando una quimera, insiste el juez.
“La tecnología actual -dice la sentencia- hace relativamente sencillo diseñar sistemas o aplicaciones informáticas idóneas para detectar anomalías en la prestación de los servicios de pago”. Hay operaciones que deberían “levantar sospechas inmediatamente (...) bastaría con el control automático de ciertos factores como el número y sucesión de operaciones, el intervalo en que se ejecutan, la hora o el importe.”
Llamadas sin respuesta
¿Qué hizo la clienta?
La víctima de la estafa de Murcia no tardó en recelar y el mismo día de los hechos reclamó “la retroacción de las transferencias” que había realizado. La mujer, además, telefoneó reiteradamente al servicio de atención al cliente y no logró contactar con nadie. Más tarde, sobre las 20 horas del 9 de junio del 2023 (un viernes) envió correos electrónicos al banco que tampoco sirvieron de nada. Tres días después, interpuso una denuncia en comisaría.
El fallo reconoce que los bancos realizan periódicas campañas de concienciación para alertar a sus clientes de las estafas, pero el engaño que sufrió la víctima de este caso “fue tan completo y tanta la apariencia de autenticidad del fraude” que no se puede descargar en ella la culpa ni achacarle “una negligencia grave” o exigirle que hubiera obrado con una “mayor diligencia”. Esa mayor diligencia sí es exigible, dice el juez... pero a los bancos.
El papel del proveedor de las operaciones bancarias, ironiza el sentenciador, “no es el del buen padre de familia: la naturaleza de la actividad y los riesgos del servicio que presta obliga a elevar el nivel de diligencia a un plano superior”. Cuando la estafada logró contactar por fin con el banco y explicar qué le había sucedido, la respuesta que recibió fue esta: “Cuando se intentó recuperar, el dinero ya no estaba en la cuenta”.