El Tribunal Supremo blinda al consumidor: tu banco debe devolverte el dinero si sufres una estafa

Una reciente sentencia del Tribunal Supremo ha cambiado las reglas del juego en la lucha contra las estafas bancarias. El Alto Tribunal ha establecido un marco de responsabilidades mucho más claro que blinda los derechos de los consumidores frente a fraudes como el phishing, el smishing o la duplicación de tarjetas SIM, que se han convertido en un problema recurrente para los usuarios de la banca online.

La clave de este fallo, recogido en la sentencia número 571/2025, es que invierte la carga de la prueba. A partir de ahora, cuando un cliente asegura no haber autorizado una operación, es la entidad bancaria la que debe demostrar que el usuario dio su consentimiento explícito o que actuó con una negligencia grave. Este matiz es fundamental, ya que protege a la víctima en la mayoría de los escenarios.

¿Qué cambia con esta sentencia?

El Supremo determina que no es suficiente con que el banco demuestre que sus sistemas de seguridad funcionaron correctamente. El simple registro informático de la operación o el uso de las claves de acceso ya no se consideran una prueba de autorización, pues los ciberdelincuentes a menudo se apoderan de estas credenciales para suplantar la identidad de la víctima. La justicia entiende que la autorización debe ser expresa y consciente.

La sentencia profundiza en esta idea al analizar el caso de un cliente de Ibercaja que sufrió quince transferencias no autorizadas en una sola noche, perdiendo más de 83.000 euros mediante la técnica del SIM swapping. Semanas antes del fraude, el cliente había alertado a su banco sobre la recepción de mensajes sospechosos, pero la entidad no tomó medidas de seguridad adicionales ni detectó los movimientos anómalos.

El tribunal concluyó que la entidad había ofrecido un servicio deficiente y no podía culpar al cliente de haber sido engañado. Según la jurisprudencia, "el mero hecho de haber sido engañado por un estafador profesional no puede considerarse negligencia grave por parte del usuario". De esta forma, se refuerza la idea de que las entidades, como expertas, tienen una responsabilidad mayor.

Pasos a seguir si eres víctima de un fraude

La rapidez es un factor determinante para minimizar los daños y facilitar la reclamación. Los expertos jurídicos recomiendan seguir un protocolo claro. Lo primero y más urgente es contactar con el banco para bloquear inmediatamente las cuentas y tarjetas afectadas. Además, se deben cambiar todas las contraseñas de acceso a la banca online desde un dispositivo seguro.

Es fundamental documentar todo el proceso. Se deben conservar todas las pruebas posibles, como capturas de pantalla de los mensajes de phishing o smishing, los SMS con códigos no solicitados o el registro de llamadas. Toda la comunicación con el banco debe realizarse por un medio que deje constancia, como el correo electrónico o un burofax, solicitando formalmente la devolución del importe sustraído.

Si la entidad rechaza la devolución, el siguiente paso es acudir a su servicio de atención al cliente y, si la respuesta sigue siendo negativa, presentar una reclamación ante el Banco de España. Las entidades financieras están obligadas por ley a contar con sistemas de seguridad robustos y a actuar con la diligencia de un profesional para proteger a sus clientes, lo que incluye la detección de operaciones anómalas y la activación de alertas. La ley considera nula cualquier cláusula que intente eximir al banco de esta responsabilidad.