Qué dice la jurisprudencia sobre el phishing bancario en el Estado
La jurisprudencia sobre el phishing bancario se ha ido construyendo en los últimos años a medida que los tribunales han tenido que dar respuesta al aumento de los fraudes digitales. A partir de la normativa europea y estatal que regula los servicios de pago, los jueces han perfilado una doctrina clara: los bancos solo pueden eludir su responsabilidad si prueban que el cliente actuó con dolo o negligencia grave. En los apartados siguientes analizamos el marco legal que sustenta esta doctrina, la carga probatoria que recae sobre las entidades financieras y la evolución jurisprudencial que ha consolidado este criterio en los tribunales del Estado.
El marco normativo que regula los fraudes bancarios digitales
La jurisprudencia sobre fraudes bancarios tiene su fundamento en el Real Decreto-ley 19/2018, de servicios de pago y otras medidas urgentes en materia financiera, que transpone la Directiva (UE) 2015/2366, conocida como PSD2. Estas normas establecen un principio esencial: las entidades financieras son responsables de las operaciones no autorizadas, salvo que demuestren que el cliente actuó con dolo o negligencia grave.
El artículo 45 del Real Decreto-ley 19/2018 es especialmente claro al respecto: si el usuario niega haber autorizado una operación, el proveedor de servicios de pago —es decir, el banco— debe reembolsar el importe sustraído “de inmediato y, en todo caso, a más tardar al final del día hábil siguiente”. Solo podrá negarse a hacerlo si logra probar que el cliente actuó con negligencia grave o de forma fraudulenta.
Este marco normativo constituye la base sobre la que se asienta toda la jurisprudencia sobre fraudes bancarios digitales, reforzando la idea de que la protección del consumidor es prioritaria y que la seguridad de los sistemas informáticos recae sobre las entidades financieras, no sobre los usuarios.
La carga de la prueba recae en el banco
Uno de los pilares más firmes de la jurisprudencia en materia de phishing bancario es el relativo a la carga de la prueba. Los tribunales coinciden en que corresponde a la entidad bancaria demostrar que el cliente autorizó la operación o que actuó con negligencia. Esta inversión probatoria responde a una lógica de protección del consumidor, dado que solo el banco tiene acceso a los registros técnicos, trazas digitales y protocolos de autenticación utilizados en la transacción.
La jurisprudencia sobre fraudes bancarios ha dejado claro que no basta con que el banco invoque el uso de “autenticación reforzada” o sistemas 3D Secure. Estos mecanismos no prueban por sí solos el consentimiento del cliente. Para exonerarse de responsabilidad, la entidad debe acreditar que el proceso de autenticación fue correctamente ejecutado, que no existieron fallos de seguridad y que el cliente no facilitó sus datos de manera imprudente.
Numerosas resoluciones recientes de juzgados y audiencias provinciales han aplicado este criterio, subrayando que la mera alegación de haber enviado un SMS o un código de verificación no exime al banco de responsabilidad. Cuando no se demuestra la causa del fraude ni la supuesta negligencia del cliente, la entidad está obligada a reintegrar las cantidades sustraídas.
En definitiva, los jueces están estableciendo un mensaje claro: la confianza en el sistema financiero solo se sostiene si los bancos garantizan que sus sistemas son seguros y asumen las consecuencias cuando no lo son.
La evolución de la doctrina judicial y su consolidación reciente
La jurisprudencia sobre el phishing bancario ha seguido una evolución notable en los últimos años. En una primera etapa (2018–2020), los tribunales se enfrentaban a casos novedosos, con criterios dispares sobre la responsabilidad de las entidades. Sin embargo, a medida que las estafas digitales se multiplicaron y se conocieron sus mecanismos, los juzgados comenzaron a unificar doctrina, interpretando de manera más protectora las normas de servicios de pago.
A partir de 2021, las audiencias provinciales empezaron a dictar sentencias en las que se imponía al banco la obligación de devolver las cantidades defraudadas, consolidando el principio de responsabilidad objetiva salvo prueba en contrario. Este criterio fue reforzado por el Tribunal Supremo, que en los últimos años ha sentado doctrina firme en favor del consumidor, destacando que el consentimiento de una operación bancaria debe ser claro, expreso y consciente, y que la mera existencia de sistemas de autenticación no basta para acreditar su validez.
Esta consolidación culmina con la STS 571/2025, de 9 de abril, en la que el Alto Tribunal ratifica que los bancos son responsables de las operaciones no autorizadas si no demuestran negligencia grave del cliente y recuerda que los sistemas de seguridad deben ser no solo existentes, sino también eficaces. Con este fallo, el Supremo cierra definitivamente cualquier duda interpretativa y refuerza una jurisprudencia que hoy constituye la base de todas las reclamaciones por phishing bancario en el Estado.
¿Quieres que analicemos tu caso gratis y sin compromiso? Somos expertos en reclamaciones de phishing: analizaremos tu caso y te recomendaremos qué hacer.
Sentencias del Tribunal Supremo sobre phishing y fraudes bancarios
La jurisprudencia del Tribunal Supremo ha sido decisiva para consolidar la doctrina que protege a los consumidores frente a los fraudes bancarios. En los últimos años, el Alto Tribunal ha fijado criterios claros sobre la responsabilidad de las entidades financieras en casos de phishing, reforzando el principio de que el cliente no debe asumir las consecuencias de una operación no autorizada salvo que haya actuado con negligencia grave.
Entre todas las resoluciones, destaca la Sentencia del Tribunal Supremo nº 571/2025, de 9 de abril, que constituye un auténtico punto de inflexión en la interpretación de la normativa sobre servicios de pago.
La STS 571/2025: un antes y un después en la jurisprudencia sobre phishing bancario
En esta sentencia, la Sala Primera de lo Civil del Tribunal Supremo resolvió un caso de fraude digital en el que un cliente había sufrido la sustracción de fondos mediante técnicas de suplantación de identidad. El banco alegó que la operación se había realizado bajo un sistema de autenticación reforzada (3D Secure) y que, por tanto, debía considerarse válida. Sin embargo, el Supremo rechazó ese argumento y fijó una doctrina contundente: la existencia de autenticación reforzada no implica que el cliente haya prestado consentimiento real.
El fallo establece que el consentimiento debe ser claro, expreso y consciente, y que la entidad no puede presumirlo solo porque se hayan introducido las claves correctas. Asimismo, subraya que los bancos deben garantizar que sus sistemas de seguridad no solo existan, sino que funcionen eficazmente y detecten operaciones sospechosas, especialmente cuando implican cambios de dispositivo, de localización o transferencias de importe elevado.
El Tribunal añade que el principio de “autenticación reforzada” no exime al banco de responsabilidad si no demuestra que su infraestructura tecnológica funcionó correctamente y que el ataque no fue consecuencia de una vulnerabilidad de su sistema. En ausencia de esa prueba técnica, la entidad está obligada a reintegrar al cliente las cantidades defraudadas, conforme al artículo 45 del Real Decreto-ley 19/2018 y la Directiva (UE) 2015/2366.
La nulidad de las cláusulas que limitan la responsabilidad del banco
Otro aspecto fundamental de la STS 571/2025 es su pronunciamiento sobre las cláusulas contractuales que intentan eximir a las entidades de responsabilidad en casos de fraude. El Tribunal Supremo considera que tales cláusulas carecen de validez cuando contradicen la normativa imperativa de protección al consumidor o suponen una renuncia anticipada de derechos. En consecuencia, las entidades financieras no pueden ampararse en el contenido de sus contratos para evitar devolver el dinero sustraído.
Este criterio supone una garantía adicional para las víctimas de phishing bancario, ya que impide que los bancos utilicen condiciones generales de contratación para trasladar el riesgo de las operaciones fraudulentas al usuario.
Otras sentencias relevantes que consolidan la doctrina
La STS 726/2022 ya había anticipado parte de esta línea al declarar que la simple introducción de credenciales válidas no equivale al consentimiento del cliente si este niega haber realizado la operación. En la misma dirección, la STS 280/2023 reafirmó que la carga de la prueba recae sobre la entidad, y que la falta de medidas de detección temprana de operaciones anómalas constituye una prestación defectuosa del servicio bancario.
Junto a ellas, distintas audiencias provinciales han aplicado estos principios en sus resoluciones más recientes, configurando un cuerpo jurisprudencial coherente que refuerza los derechos del consumidor y fija un estándar de diligencia elevado para las entidades financieras.
Una doctrina que refuerza la confianza del consumidor
La doctrina fijada por el Tribunal Supremo en materia de phishing y fraudes bancarios marca un punto de equilibrio entre la innovación tecnológica y la protección del usuario. El mensaje es claro: el banco debe probar la negligencia grave del cliente, no basta con alegarla. Si no logra demostrarlo, debe devolver el dinero.
Esta jurisprudencia no solo unifica criterios, sino que también fortalece la confianza de los consumidores en el sistema financiero y en la posibilidad real de reclamar phishing con éxito. En definitiva, el Tribunal Supremo ha dejado sentado que la seguridad digital es una obligación del banco y que la víctima de un fraude no puede quedar desprotegida ante un fallo del sistema o una estafa sofisticada.
Si dejas tu reclamación en manos de nuestros abogados, te olvidarás de problemas y papeleos y aumentarán tus posibilidades de conseguir la devolución de tu dinero.
Caso real: Banco Santander condenado por phishing (sentencia de Bilbao, mayo 2025)
La doctrina del Tribunal Supremo se está reflejando cada vez con mayor claridad en los juzgados de primera instancia, donde se multiplican las resoluciones favorables a los consumidores víctimas de fraudes digitales. Uno de los casos con mayor repercusión mediática fue este, gestionado por ERREKLAMATU, que ejemplifica cómo los tribunales aplican con rigor las normas de protección frente al phishing bancario.
Los hechos
El Juzgado de Primera Instancia nº 12 de Bilbao dictó el 20 de mayo de 2025 una sentencia que se alinea con la doctrina actual y refuerza la tendencia jurisprudencial favorable al consumidor. La resolución condena a Banco Santander a reembolsar 1.923,67 € a una clienta vizcaína tras un cargo no autorizado en su tarjeta por la compra de criptomonedas.
La afectada detectó la operación fraudulenta en octubre de 2021 y, tras reclamar sin éxito la devolución del importe, acudió a ERREKLAMATU, despacho especializado en reclamaciones por phishing bancario. Desde allí se inició una demanda judicial para recuperar la cantidad sustraída, alegando que la operación había sido realizada sin su consentimiento y que la entidad no había cumplido con sus obligaciones de seguridad.
La defensa del banco y el rechazo judicial
Durante el proceso, Banco Santander argumentó que la transacción había sido ejecutada bajo su sistema de autenticación reforzada (3D Secure), el cual exige la introducción de un PIN y un código enviado por SMS. Según la entidad, este sistema garantizaba la autorización de la clienta.
Sin embargo, el juez desestimó la defensa del banco al considerar que dicho sistema, por sí solo, no demuestra que la usuaria hubiera autorizado la operación ni que actuara con negligencia. La sentencia subraya que el banco no presentó peritaje técnico alguno, ni fue capaz de acreditar desde qué dispositivo o en qué momento se vulneraron los datos. Por tanto, el uso de autenticación reforzada no exime de responsabilidad si la entidad no puede probar el origen y la legitimidad de la operación.
La sentencia y sus fundamentos jurídicos
El magistrado basó su fallo en la Directiva (UE) 2015/2366 y en el Real Decreto-ley 19/2018, que regulan los servicios de pago en el Estado. Ambas normas imponen a los bancos la obligación de reintegrar inmediatamente las cantidades sustraídas por operaciones no autorizadas, salvo que demuestren que el cliente actuó con dolo o negligencia grave.
El juzgado recuerda que la carga de la prueba recae sobre la entidad bancaria, de acuerdo con la legislación vigente y la doctrina del Tribunal Supremo. Ante la falta de pruebas periciales y la ausencia de indicios de negligencia, el juez concluye que el banco debe devolver el importe íntegro y abonar los intereses legales desde la fecha del cargo, además de asumir las costas procesales.
El papel de Erreklamatu en la reclamación
El caso fue gestionado por ERREKLAMATU, cuyos abogados especializados en fraudes digitales lograron una resolución favorable para la víctima. La sentencia consolida la línea jurisprudencial que responsabiliza a las entidades financieras de los fraudes por phishing cuando no acreditan culpa del cliente.
El letrado Jon Ortiz Larruzea, representante de ERREKLAMATU, destacó que esta resolución “refuerza el derecho de los consumidores a ser resarcidos ante fraudes digitales” y demuestra que reclamar funciona.
Este fallo se suma a otros precedentes recientes y refuerza la jurisprudencia sobre el phishing bancario, dejando claro que la protección del consumidor prevalece frente a la falta de diligencia de las entidades.
Claves que deja esta sentencia para las víctimas de phishing
Esta sentencia del Juzgado de Primera Instancia nº 12 de Bilbao deja varias enseñanzas prácticas para las personas afectadas por un fraude digital. Estos puntos resumen los criterios que los tribunales están aplicando de forma reiterada en casos de phishing bancario:
- El banco tiene la carga de la prueba. Si niegas haber autorizado una operación, es la entidad quien debe demostrar que fuiste tú quien la realizó o que actuaste con negligencia grave. No basta con presumir tu consentimiento.
- No basta alegar “autenticación reforzada”. El uso de sistemas como 3D Secure o códigos por SMS no exonera al banco si no puede probar cómo se vulneraron los datos ni acreditar que el proceso se ejecutó correctamente.
- Notificar el fraude de inmediato es esencial. Informar al banco y denunciar ante la policía o la Ertzaintza en cuanto se detecta la operación fraudulenta demuestra diligencia por parte del cliente y evita que la entidad alegue retraso o descuido.
- Reclamar funciona, y existen precedentes favorables. Los tribunales están fallando cada vez más a favor de los consumidores, aplicando la normativa europea y estatal que obliga a las entidades financieras a reembolsar el dinero sustraído.
- Contar con especialistas como ERREKLAMATU aumenta las posibilidades de éxito. Disponer de abogados expertos en phishing bancario permite plantear la reclamación de forma sólida, exigir la prueba técnica al banco y garantizar que se cumpla la jurisprudencia vigente.
En ERREKLAMATU nos encargamos de todas las gestiones y asumimos los gastos del proceso de reclamación. Y te ofrecemos una garantía total: solo cobramos si ganamos.
Otras sentencias relevantes sobre fraudes bancarios y jurisprudencia reciente
La jurisprudencia sobre phishing bancario continúa fortaleciéndose en todo el Estado. En los últimos años, distintos juzgados han condenado a diversas entidades a reembolsar a sus clientes las cantidades sustraídas mediante operaciones no autorizadas. A continuación se recogen algunos de los casos más representativos, que ilustran cómo los tribunales aplican la normativa vigente y consolidan la responsabilidad de los bancos ante fraudes digitales.
Salamanca – 9.900 €
El Juzgado de Primera Instancia nº 7 de Salamanca condenó a BBVA a devolver 9.900 € a una clienta víctima de phishing. La sentencia considera probado que la operación no fue autorizada y que la entidad no pudo acreditar negligencia por parte de la usuaria, pese a alegar medidas de seguridad reforzadas.
Mollet del Vallès – 12.720 €
El Juzgado de Primera Instancia e Instrucción nº 1 de Mollet del Vallès (Barcelona) estimó la demanda de un cliente y condenó a CaixaBank a reembolsar 12.720 € tras un fraude por phishing. El tribunal declaró que la entidad no detectó operaciones inusuales ni demostró que la transacción fuera consentida.
Valencia – 15.571 €
El Juzgado de Primera Instancia nº 29 de Valencia condenó a Banco Mediolanum a indemnizar con 15.571 € a un cliente afectado por un fraude digital. El juez concluyó que la entidad no acreditó la existencia de negligencia grave ni presentó peritaje técnico que demostrara el origen de la operación.
Alicante – 800 €
El Juzgado de Primera Instancia nº 15 de Alicante impuso a Banco Sabadell la devolución de 800 € a una clienta estafada, recordando que la autenticación no presume consentimiento si el banco no acredita su correcta ejecución.
Baeza (Jaén) – 12.450 €
El Juzgado de Primera Instancia e Instrucción nº 1 de Baeza ordenó a ING reembolsar 12.450 € por un caso de smishing; la jueza apreciò fallos de control y autenticación frente a operaciones que superaron límites del cliente.
Encuentra sentencias y reclamaciones por banco
La evolución de la jurisprudencia sobre fraudes bancarios no se limita a los casos anteriores. En todo el Estado, numerosos juzgados y audiencias provinciales han dictado resoluciones condenatorias contra distintas entidades por no garantizar la seguridad de sus sistemas ni reembolsar las operaciones fraudulentas.
En los siguientes enlaces puedes consultar sentencias reales y actualizadas de cada banco, junto con información práctica sobre cómo reclamar el dinero sustraído por phishing y los pasos necesarios para iniciar la reclamación con respaldo jurídico.
Preguntas frecuentes sobre jurisprudencia y phishing bancario
La jurisprudencia en materia de fraudes digitales evoluciona con rapidez, y cada nueva sentencia refuerza la posición del consumidor frente a los bancos. Estas son las dudas más habituales que se plantean las víctimas de phishing bancario y las respuestas basadas en los criterios fijados por los tribunales y el Tribunal Supremo.
¿Qué dice la jurisprudencia sobre el phishing bancario?
La jurisprudencia más reciente establece que las entidades financieras son responsables de las operaciones no autorizadas derivadas de fraudes digitales, salvo que demuestren que el cliente actuó con dolo o negligencia grave. Los tribunales del Estado han consolidado este criterio aplicando el Real Decreto-ley 19/2018 y la Directiva (UE) 2015/2366.
¿Qué papel tiene el Tribunal Supremo en los casos de phishing bancario?
El Tribunal Supremo ha fijado doctrina clara en materia de phishing, especialmente con la Sentencia 571/2025, que obliga a los bancos a devolver el dinero sustraído cuando no prueban negligencia del cliente. Esta resolución refuerza la protección del consumidor y sirve de referencia para todos los tribunales inferiores.
¿Qué ocurre si el banco alega que usó autenticación reforzada?
La jurisprudencia ha determinado que el uso de autenticación reforzada, como códigos por SMS o sistemas 3D Secure, no implica que el cliente haya dado su consentimiento. El banco debe demostrar que el proceso de autenticación fue correctamente ejecutado y que la operación fue autorizada de forma consciente.
¿Quién tiene la carga de la prueba en un caso de phishing bancario?
La carga de la prueba recae en la entidad bancaria. Es el banco quien debe acreditar que el cliente autorizó la operación o que actuó con negligencia grave. Si no puede hacerlo, está obligado a reembolsar el dinero sustraído y asumir los intereses e incluso las costas procesales.
¿Qué leyes regulan la responsabilidad de los bancos ante fraudes digitales?
Los principales textos legales que regulan estos casos son el Real Decreto-ley 19/2018, sobre servicios de pago, y la Directiva (UE) 2015/2366. Ambas normas establecen que los bancos deben devolver el dinero al usuario si no logran demostrar negligencia o fraude por parte del cliente.
¿Qué sentencias recientes refuerzan la responsabilidad de los bancos?
Además de la sentencia del Tribunal Supremo 571/2025, muchos juzgados han dictado fallos favorables a los consumidores, ordenando a los bancos devolver las cantidades defraudadas a los clientes.
¿Qué debe hacer una persona si ha sido víctima de phishing bancario?
La persona afectada debe notificar el fraude de inmediato al banco, conservar toda la documentación y presentar una reclamación formal. Si la entidad no devuelve el dinero, puede iniciar una reclamación legal con apoyo de especialistas en derecho bancario, como Erreklamatu, para exigir el reembolso.
¿Es posible recuperar el dinero perdido en un fraude bancario?
Sí. Cuando no hay negligencia del cliente, los tribunales están ordenando la devolución de las cantidades sustraídas. Cada vez más víctimas logran recuperar su dinero gracias a la jurisprudencia favorable y al trabajo de abogados especializados en fraudes digitales como Erreklamatu.
¿Por qué son nulas las cláusulas que eximen al banco de responsabilidad?
El Tribunal Supremo ha considerado nulas las cláusulas contractuales que intentan limitar la responsabilidad del banco frente a fraudes. Este tipo de condiciones vulneran la normativa de protección al consumidor, que impide renunciar anticipadamente a derechos reconocidos por la ley.
¿Cómo puede ayudar ERREKLAMATU a las víctimas de phishing?
Erreklamatu cuenta con abogados expertos en derecho bancario que han conseguido múltiples sentencias favorables contra las principales entidades. Analizan cada caso de forma individual, preparan la reclamación y representan al cliente para recuperar su dinero de forma rápida y eficaz.
