El Supremo obliga a la banca a hacerse responsable del dinero robado en casos de ‘phishing’ si no puede probar la negligencia del cliente

El Tribunal Supremo ha establecido que son las entidades financieras las que deben responder de los fraudes y estafas hechos por medios telemáticos siempre que no puedan demostrar que el usuario fue negligente. Es decir, que no dejó expuestas sus contraseñas o no informó inmediatamente de movimientos extraños.

En una sentencia fechada el pasado 9 de abril a la que ha tenido acceso EFE, la sala de lo civil desestima el recurso de casación presentado por Ibercaja contra un fallo de noviembre de 2022 de la Audiencia Provincial de Zaragoza.

El titular de una cuenta en esta entidad sufrió varias retiradas de efectivo y pagos con su tarjeta por importe de 83.692,73, varias de ellas realizadas de madrugada, sin que hubiera autorizado ninguna de ellas.

No sólo eso, sino que en cuanto recibió el primer aviso de Google de que alguien había intentado entrar en su cuenta de correo y empezó a recibir notificaciones de operaciones en su cuenta se dirigió a la entidad financiera.

Tras una serie de gestiones, Ibercaja consiguió recuperar algo más de 27.000 euros, pero rechazó hacerse cargo del reembolso del resto de los fondos sustraídos.

Ahora, el Supremo ratifica el fallo de primera instancia, que dio la razón al cliente, y recuerda que la normativa europea establece que el usuario solo responde cuando haya incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones.

En el presente caso, al no existir ningún elemento del que se deduzca la existencia de un fraude o incumplimiento deliberado, la cuestión se reconduce a dilucidar si es posible hablar de negligencia grave, cuya prueba incumbe al banco.

Incluso en el caso de haber sido víctima de “phising” o suplantación de identidad y haber proporcionado inconscientemente sus datos, el usuario “hizo lo correcto”, pues se puso en contacto con su banco, que “debía hacer reaccionado proporcionando un nuevo número de usuario, clave de acceso y firma electrónica -datos que ya obraban en poder de terceros-”.

Aunque el sistema de banca electrónica de Ibercaja y su operativa se adecúa a la legislación aplicable, lo cierto es que al no haberse acreditado negligencia grave del usuario, “es la entidad bancaria la que debe responder del reintegro de las cantidades dispuestas de forma fraudulenta, sin que corresponda a los clientes/usuarios prevenir ni averiguar las modalidades de riesgos que el sistema conlleva”, añaden los magistrados.

La legislación europea, recuerda el Supremo, establece que el usuario debe notificar a su entidad cualquier movimiento sospechoso, y es esta la que debe demostrar que el cliente ha actuado con negligencia; y en caso de no poder aportar pruebas de dicha negligencia, es el banco el que debe responder.

La Sala también llama la atención sobre el hecho de que la entidad financiera no considerara anormal que un cliente se pusiera a realizar operaciones de miles de euros a altas horas de la madrugada, cuando eso no había sucedido nunca, algo que permite sospechar que ha habido actividades irregulares.