Juzgado de Bilbao da la razón a víctima de phishing: su banco debe devolverle 1.900 euros defraudados

Un Juzgado de Bilbao ha dado la razón a una mujer víctima de 'phishing' y ha condenado a su banco a devolverle 1.923 euros, el importe que le fue sustraído de su cuenta para comprar criptomonedas a través del empleo de su tarjeta de crédito.

La sentencia del Juzgado de Primera Instancia número 12 de Bilbao señala que el banco no pudo demostrar que la víctima actuara con negligencia, como alegó, al considerar el empleo de autenticación reforzada.

La resolución judicial, con fecha de 20 de mayo de 2025, recuerda que el 9 de octubre de 2021 se llevó a cabo una operación de adquisición de criptomonedas con la tarjeta de crédito de esta mujer, que reside en una localidad vizcaína, y que negó haberla autorizado, si bien el banco le otorgó la responsabilidad de la operación.

Después de reclamar, sin éxito, la devolución del importe a su entidad, acudió al despacho especializado en reclamaciones aéreas y bancarias, Erreklamatu, que emprendió acciones judiciales para recuperar su dinero.

El banco argumentó en el juicio que la operación se había realizado utilizando su sistema de autenticación reforzada (3D Secure), que requiere un PIN y un código enviado por SMS. No obstante, el juez estableció que esto no prueba de forma automática que la operación fuera autorizada por la usuaria, ni que actuara con negligencia.

normativa actual

La sentencia subraya que la entidad no aportó dictamen pericial, ni fue capaz de acreditar en qué momento se comprometieron los datos, ni desde qué dispositivo se acometió la transacción, carga probatoria que recae en el banco.

El magistrado recordó que la normativa actual (Real Decreto-ley 19/2018 y la Directiva UE 2015/2366) obliga a las entidades financieras a demostrar que el cliente actuó con dolo o negligencia grave con el fin de no asumir la responsabilidad. En ausencia de esas pruebas, determina que se debe reintegrar el importe detraído.

Además del reembolso, el banco deberá abonar los intereses legales desde la fecha del cargo y asumir las costas procesales, al haber sido desestimadas todas sus pretensiones.

La defensa de la víctima ha defendido que "el consentimiento" de la víctima para la operación que se realizó consu tarjeta "debe ser claro, expreso y consciente". "Si el usuario niega haber autorizado la transferencia, es el banco quien debe demostrar lo contrario", ha destacado.

Una sentencia del TS estableció que los sistemas de seguridad no solo deben existir, sino funcionar eficazmente y prevenir operaciones sospechosas. En el caso de que no lo hagan, el banco incurre en una prestación defectuosa del servicio. 

Además, el Supremo advirtió de que las cláusulas contractuales que pretenden eximir de responsabilidad a las entidades financieras carecen de validez si contradicen la normativa vigente.