El Supremo dictamina que los bancos deben devolver el dinero en las estafas por 'phishing'

Los fraudes digitales como el phishing son cada vez más frecuentes y sofisticados, provocando que miles de usuarios pierdan su dinero en minutos. Sin embargo, una sentencia del Tribunal Supremo ha cambiado las reglas del juego, estableciendo que los bancos tienen la obligación de devolver el dinero si no implementaron las medidas de seguridad adecuadas. Así lo explica Xabier Bilbao, abogado del despacho San José Abogados y colaborador semanal en COPE Euskadi.

Qué es el 'phishing' y cómo actúan

El 'phishing' consiste en la suplantación de la identidad de entidades, generalmente bancarias, para conseguir que la víctima "disponga de su propio dinero en contra de sus propios intereses", señala Bilbao. Los métodos más comunes son llamadas telefónicas que parecen reales, ya que falsean el número del banco, o mensajes SMS y correos electrónicos con enlaces maliciosos en los que se solicita clicar.

Al hacer esa sencilla maniobra, el delincuente consigue instalar un programa malicioso en el dispositivo de la víctima para acceder a sus claves y usuario y poder operar en su nombre, ya sea realizando transferencias a cuentas de terceros o solicitando préstamos.

Un caso real: la estafa de los 4.000 euros

Para ilustrar la sofisticación de estos engaños, el abogado expone un caso real de su despacho. Un cliente recibió una llamada de su supuesto banco para que devolviera 4.000 euros ingresados por error. Previamente, los estafadores habían traspasado ese dinero desde la tarjeta de crédito del cliente a su cuenta para usarlo como cebo. Al ver el ingreso, "el cliente, con plena confianza, llega a disponer de su dinero en contra de sus propios intereses", explica Bilbao.

La clave: la sentencia del Tribunal Supremo

El banco responde siempre, salvo que demuestre que el cliente ha actuado de manera negligente y temeraria"

Xabier Bilbao

Abogado​

Hasta hace poco, los bancos solían culpar al cliente, pero una sentencia del Tribunal Supremo del año 2025 ha delimitado la responsabilidad de la entidad. El fallo establece una responsabilidad 'cuasi objetiva', lo que significa que "el banco responde siempre, salvo que demuestre que el cliente ha actuado de manera negligente y temeraria", aclara el letrado. No basta con argumentar que el usuario utilizó sus claves si ha habido un engaño previo.

Hay que desconfiar totalmente. Los bancos no llaman para que hagas este tipo de operaciones"

Xabier Bilbao

Abogado

Además, el Supremo considera una deficiencia del servicio si el banco no detecta operaciones inusuales, como transferencias de cantidades elevadas, a horas extrañas o a destinatarios sospechosos. La entidad debe implementar medidas de seguridad para frenar estas operaciones y, si no lo hace, tendrá que devolver el dinero al cliente afectado.

Si se es víctima de una de estas estafas, es crucial actuar rápido. El primer paso es denunciarlo en la policía, ya que la denuncia es necesaria para presentar una reclamación por escrito al banco, solicitando siempre el acuse de recibo. Bilbao recomienda contar con un abogado especializado para asegurar que la reclamación prospere y recuerda la principal medida de prevención: "Desconfiar totalmente. Los bancos no llaman para que hagas este tipo de operaciones".