Una reciente sentencia del Tribunal Supremo ha establecido que, salvo que el cliente haya incurrido en negligencia grave, el banco debe devolver el importe de cualquier operación online no autorizada. Esta resolución refuerza los derechos de los usuarios frente a las ciberestafas y marca un antes y un después en la forma en la que la banca debe actuar ante estos casos.
La sentencia responde a un caso de SIM Swapping, donde los delincuentes duplicaron el número de teléfono de la víctima para recibir los códigos de verificación y vaciar su cuenta. El Tribunal obliga a Ibercaja a reintegrar más de 56.000 euros al cliente.
Responsabilidad del banco y carga de la prueba
El Supremo deja claro que no es el usuario quien debe demostrar que no autorizó la operación. Es el banco quien debe acreditar que el cliente dio su consentimiento y que el sistema de seguridad funcionó correctamente. Mientras el usuario actúe con diligencia, se le presume inocente.
Aplicación del criterio a todo tipo de fraudes
Este principio se extiende a operaciones realizadas con Bizum, tarjetas bancarias o transferencias SEPA. Lo importante es que no exista consentimiento por parte del cliente y que este no haya facilitado sus datos de forma imprudente.
s numerosas, jóvenes, personas con discapacidad o si la vivienda está en zonas rurales.
Diferencia entre negligencia leve y grave
La negligencia leve puede ser un olvido o una falta menor, como no cambiar la contraseña con frecuencia. La grave, en cambio, implica facilitar datos personales o códigos a terceros sin verificar su autenticidad.
Cláusulas abusivas anuladas
Muchas entidades habían incorporado cláusulas en sus contratos que eximían de responsabilidad al banco en caso de uso indebido. El Tribunal Supremo declara nulas esas condiciones, por ser contrarias a la normativa imperativa que protege al consumidor.
Legislación aplicable
Tanto el Real Decreto-ley 19/2018 como la Directiva Europea 2015/2366 (PSD2) obligan a los bancos a reembolsar cualquier operación no autorizada si no pueden probar que el cliente actuó de forma negligente. La doble autenticación (por ejemplo, vía SMS) no exime de responsabilidad si el cliente niega haber autorizado el movimiento.ede declarar el valor escriturado, y será Hacienda quien deba demostrar que no se ajusta al de mercado.
Plazo para reclamar
Los clientes tienen 13 meses desde el cargo no autorizado para reclamar. Sin embargo, deben notificarlo sin demora injustificada una vez detectado, ya que el retraso puede perjudicar su derecho.
Deberes de las entidades bancarias
Los bancos deben contar con sistemas de detección de fraudes adaptados al perfil de cada cliente. Esto incluye alertas automáticas, bloqueos ante operaciones inusuales, validaciones reforzadas y respuesta rápida ante advertencias del cliente.
Obligaciones del cliente
Aunque la ley protege al usuario, también se espera de él un comportamiento responsable: avisar de operaciones extrañas, proteger sus credenciales, no compartir información sensible y mantener sus dispositivos seguros.
Tres ideas erróneas que la sentencia desmonta
- «Con doble verificación ya no puedes reclamar»: Falso. El consentimiento debe ser real, no solo técnico.
- «Si te estafan, es culpa tuya por haber dado tus datos»: Falso. Solo hay responsabilidad si hay negligencia grave.
- «El contrato con el banco te exime de reclamar»: Falso. Las cláusulas que contradicen la ley son nulas.
Conclusión
El Tribunal Supremo refuerza la posición del consumidor en los fraudes digitales. Si un cliente actúa con diligencia y niega haber autorizado una operación, el banco deberá reembolsar el importe salvo que pueda probar negligencia grave. Esta sentencia sienta jurisprudencia y abre la puerta a nuevas reclamaciones por operaciones no autorizadas en el entorno online.
imagen: Creative Commons
