Wooden tiles spelling 'phishing' highlight cybersecurity themes.

¿Qué responsabilidad tiene el banco en una estafa por SIM phishing? Claves tras la Sentencia del Tribunal Supremo de 2025

bancario, Consumidores y usuarios /

En López & Gómez Abogados somos conscientes de que los fraudes bancarios digitales son una de las grandes preocupaciones de nuestros clientes. Una reciente sentencia del Tribunal Supremo (STS 571/2025, de 9 de abril) ha sentado un importante precedente sobre la responsabilidad de los bancos en casos de estafa por SIM phishing. En este artículo, te explicamos qué implica esta sentencia, qué derechos tienen los clientes y cómo reclamar si has sido víctima de un fraude similar.

¿Qué es el SIM phishing?

El SIM phishing es una modalidad de fraude digital en la que los delincuentes duplican la tarjeta SIM del móvil de la víctima, obteniendo acceso a los códigos de verificación enviados por el banco. De este modo, pueden realizar transferencias o pagos no autorizados desde la cuenta del afectado.

El caso: 83.000 € transferidos sin autorización

El caso resuelto por el Tribunal Supremo se refiere a un cliente de Ibercaja que sufrió quince transferencias no autorizadas por un valor superior a 83.000 €, realizadas entre la noche del 17 y la mañana del 18 de marzo de 2021. El fraude fue posible porque los delincuentes duplicaron la tarjeta SIM de su esposa, lo que les permitió recibir los SMS de confirmación enviados por el sistema de banca digital del banco.

El cliente había advertido previamente al banco sobre actividades sospechosas, incluyendo SMS que no correspondían a operaciones suyas y cargos no autorizados en su tarjeta. Aun así, la entidad no activó ningún sistema de alerta ni bloqueó temporalmente las operaciones.

¿Qué resolvió el Tribunal Supremo?

El Tribunal Supremo confirmó la responsabilidad de la entidad bancaria y ordenó indemnizar al cliente por el daño sufrido (56.474,63 € más intereses), al considerar que:

  • El banco no actuó con la diligencia exigible, a pesar de haber recibido múltiples alertas previas del cliente.

  • La normativa nacional y europea en materia de servicios de pago impone una responsabilidad casi objetiva a las entidades bancarias.

  • No basta con que el banco pruebe que la operación fue registrada correctamente o que se usaron credenciales válidas: debe demostrar que no hubo fallo técnico, deficiencia del servicio o negligencia por parte del banco.

  • El cliente actuó diligentemente, informando sin demora del fraude.

¿Qué implica esta sentencia para los clientes?

Esta sentencia refuerza el derecho de los usuarios bancarios a ser protegidos frente a operaciones no autorizadas, incluso cuando se hayan usado sus claves o códigos de acceso. En particular, la sentencia aclara varios puntos clave:

  1. Responsabilidad del banco salvo prueba de fraude o negligencia grave del cliente.

  2. Obligación de los bancos de adoptar medidas de detección automática de operaciones sospechosas.

  3. Derecho del cliente a ser indemnizado si el banco no actuó diligentemente.

Obligaciones legales del banco

El Tribunal Supremo recuerda que los bancos deben cumplir con las obligaciones establecidas en el Real Decreto-ley 19/2018, que traspone la Directiva europea sobre servicios de pago:

  • Adoptar medidas de seguridad reforzadas, como la autenticación en dos pasos.

  • Implementar mecanismos automáticos de supervisión y alerta ante operaciones inusuales (por importe, horario, frecuencia…).

  • Respetar los deberes de información y diligencia ante alertas de riesgo, especialmente si el cliente ha notificado incidentes previos.

¿Qué debe hacer un cliente si es víctima de SIM phishing?

Desde López & Gómez Abogados recomendamos actuar con rapidez:

  1. Notifica inmediatamente al banco cualquier operación sospechosa.

  2. Cambia tus claves de acceso y solicita el bloqueo de tu cuenta o tarjeta SIM si sospechas que han sido comprometidas.

  3. Presenta una denuncia ante la policía.

  4. Reclama formalmente al banco por los daños sufridos.

  5. Si el banco se niega a asumir la responsabilidad, acude a un abogado especializado en responsabilidad bancaria.

¿Puedo reclamar si ya han pasado unos meses?

Sí, pero es crucial que se haya hecho la notificación al banco sin demora injustificada y dentro del plazo máximo de 13 meses desde la operación fraudulenta, según marca la normativa vigente. La rapidez en la actuación del cliente es clave para poder reclamar con éxito.

Conclusión

La Sentencia del Tribunal Supremo es un claro recordatorio de que los bancos no pueden desentenderse de su obligación de proteger a los clientes frente a fraudes digitales. Si el cliente actúa con diligencia y el banco no pone en marcha los mecanismos de alerta o prevención, la entidad es responsable de los perjuicios causados.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Contáctanos
Contáctanos
×