El banco responde por phishing bancario

Fundamento normativo de la condena al banco

La Audiencia Provincial de Cáceres ha estimado la demanda interpuesta por una clienta del Banco Santander, condenando a la entidad al reintegro de 4.587,98 euros, importe correspondiente a dos cargos no autorizados derivados de un fraude electrónico. El tribunal considera que no concurre negligencia grave en la actuación de la demandante, conforme a los criterios establecidos en la Directiva (UE) 2015/2366, sobre servicios de pago en el mercado interior (PSD2), transpuesta al ordenamiento español mediante el Real Decreto-ley 19/2018, de 23 de noviembre.

De acuerdo con los hechos probados, la afectada recibió dos comunicaciones electrónicas que simulaban proceder del propio banco y que contenían un enlace a una página web idéntica a la oficial. Una vez introducidos sus datos, recibió varios mensajes de texto alertando de un cambio en el número de teléfono vinculado a su cuenta. Posteriormente, al acceder a su aplicación de banca en línea, detectó los cargos indebidos. Inmediatamente contactó con la entidad y denunció los hechos.

Inaplicabilidad del concepto de negligencia grave

El banco demandado solicitó la desestimación de la demanda, invocando un supuesto incumplimiento por parte de la clienta de su deber de custodia de las credenciales de acceso. Sin embargo, el tribunal descarta esta alegación y afirma que el comportamiento de la usuaria no puede calificarse como gravemente negligente. A tal efecto, la resolución cita expresamente la Directiva (UE) 2015/2366 y su desarrollo doctrinal y jurisprudencial, en particular lo recogido en el considerando 71, que establece que para exonerar al proveedor de servicios de pago, debe probarse una actuación del orden de la “negligencia grave o fraude deliberado”.

La Audiencia precisa que el acto de clicar en un enlace malicioso ante una apariencia verosímil y en un contexto excepcional como fue el confinamiento por el Covid-19, no permite apreciar una falta de diligencia cualificada. La actuación de la víctima, compartida por muchos usuarios ante contextos similares, no puede alcanzar el umbral de imputabilidad exigido en estos casos. El tribunal introduce así un criterio relevante de imputación subjetiva vinculado al estándar medio de conducta del consumidor bancario.

Defectuosa gestión del riesgo por parte del proveedor

La resolución incide además en las obligaciones de seguridad que impone al proveedor de servicios de pago el artículo 74 del Real Decreto-ley 19/2018. Según este precepto, en caso de operaciones de pago no autorizadas, el proveedor está obligado a devolver inmediatamente el importe de las mismas, salvo que se acredite que el ordenante actuó con dolo o negligencia grave.

La clave para imputar la responsabilidad a la entidad reside en que el segundo factor de autenticación no fue introducido por la clienta, sino por el defraudador. Esto indica una modificación no autorizada en el canal de verificación (el número de teléfono vinculado), sin que la entidad detectase el cambio ni aplicase mecanismos antifraude eficaces. Además, los importes cargados eran elevados y no se correspondían con el patrón ordinario de movimientos de la demandante, por lo que el banco debió activar sistemas de alerta internos.

Así, el tribunal concluye que la entidad no cumplió adecuadamente con su obligación de disponer de sistemas seguros y mecanismos de supervisión suficientes para impedir este tipo de actuaciones fraudulentas, circunstancia que refuerza su deber de restitución.

Sentencia AP de Cáceres, nº 436/2025, de 22 de mayo.