La recent sentència del Tribunal Suprem de 9 d’abril del 2025, de la Sala Civil (consultable aquí) ha certificat el que mols òrgans ja deien. El cas afecta a un consumidor que estava vinculat a Ibercaja víctima de SIM swapping. Tot i aquesta concreció, aquest pronunciament resulta aplicable a altres formes d’afectació com pshishing, smishing i altres formes d’engany per obtenir rèdits per part de delinqüents. La normativa aplicable, en aquest sentit, no delimita ni fa distincions.
Antecedents
El demandant va interposar demanda contra Ibercaja per un frau sofert a través de la seva banca electrònica. Sol·licitava el reconeixement de l’incompliment contractual per part del banc i el pagament de 56.474,63 € més interessos, resultat de 15 transferències no autoritzades efectuades els dies 17 i 18 de març de 2021, ja que havien estat utilitzades emprant el sistema SIM swapping (obtenció d’informació per poder emprar-la després i evitar alarmes o sospites amb els controls de seguretat). Tant a primera com en segona instància es va donar la raó al consumidor tot declarant la responsabilitat indemnitzatòria d’Ibercaja per incompliment contractual.
Davant d’aquests posicionaments, Ibercajava interposar recurs de cassació fonamentat en dos aspectes principals:
- Infracció del art. 36 del RD-llei 19/2018, relatiu a l’autorització de les operacions de pagament.
- Infracció dels arts. 44 i 45 del mateix RD-llei, que regulen la responsabilitat dels proveïdors de serveis de pagament.
El Tribunal Suprem posa sobre la taula, davant d’aquestes al·legacions, tres punts clau que caldrà analitzar en cada cas:
- El demandant havia informat amb anterioritat al banc de l’existència de SMS sospitosos i càrrecs no autoritzats. És a dir, l’entitat sabia que passava alguna cosa però no va actuar.
- Les transferències fraudulentes es van realitzar per terceres persones mitjançant duplicació de la SIM de la seva esposa i ús de les seves credencials de banca en línia.
- El banc només va recuperar parcialment els fons: 27.218,10 €, quedant pendents 56.474,63 €.
Amb aquests punts les posicions de cada part quedaven marcades. El demandant al·legava responsabilitat contractual del banc per no haver garantit la seguretat en la seva plataforma i la custòdia de dades, per una banda. Per l’altra, Ibercaja sostenia que es van seguir els protocols de doble autenticació (usuari/contrasenya + SMS), per tant, no hi havia incompliment per part seva.
Fonamentació jurídica
Les bases que hem resumit en el punt anterior, i que a MENDIA ADVOCATS ja hem tractat en altres articles i amb nombrosos clients, porten al Tribunal Suprem a una posició clara: hi ha responsabilitat de l’entitat bancària.
1. Interpretació del concepte d’operació no autoritzada»
Moltes entitats bancàries responen amb una carta estandarditzada que si consta una autorització amb l’aplicatiu propi ells no poden fer res, doncs el client «ho ha autoritzat». En canvi, el Tribunal estableix que, encara que s’hagi utilitzat el sistema de doble autenticació, això no és suficient per presumir el consentiment del client si aquest nega l’autorització i no s’acredita ni frau ni negligència greu. Es fa una lectura estricta de l’art. 36 del Reial decret llei 19/2018, en consonància amb la Directiva (UE) 2015/2366 (PSD2), exigint que l’entitat bancària provi no només l’autenticació formal, sinó també la veracitat material del consentiment prestat.
Aquest punt és clau i nombrosos advocats hem estat qüestionant les respostes de les entitats es centraven en un simple registre formal de «l’autorització» i no pas el context material d’aquesta autorització, en si connectava amb la voluntat real del titular.
2. Règim de responsabilitat objectiva del proveïdor
El Suprem reforça la doctrina d’un règim de responsabilitat gairebé objectiva del proveïdor de serveis de pagament (IBERCAJA, en aquest cas), d’acord amb els articles 44 a 46 del RD-llei 19/2018, el qual obliga l’entitat financera a reintegrar immediatament els imports de les operacions no autoritzades, llevat que pugui acreditar frau o negligència greu del client.
En el cas concret, Ibercaja no va aportar cap element probatori que permetés imputar al demandant un comportament negligent greu. Ans al contrari, el client havia advertit reiteradament del risc i havia actuat amb diligència, informant del frau i sol·licitant mesures preventives. Recordar, en aquest sentit, que és doctrina pacífica que sobre la negligència greu qui ho ha d’acreditar és el banc.
3. Diligència exigible al banc
La sentència fa especial èmfasi en la obligació proactiva de vigilància i prevenció que recau sobre el proveïdor, exigint un estàndard elevat de diligència tècnica i comercial. El Tribunal destaca que el banc hauria d’haver activat protocols de seguretat davant d’un comportament clarament anòmal (15 transferències nocturnes per un import superior als 80.000 €), i critica la inacció malgrat els avisos previs del client.
El Suprem afirma que el simple registre de l’ús de les claus d’accés no eximeix el banc si no s’acredita una conducta fraudulenta o negligent per part del client. Així, es reforça el deure del banc d’incorporar sistemes d’anàlisi de riscos i alertes automàtiques davant patrons de conducta sospitosos.
Conclusions
Resumint, es tracta d’un posicionament que reafirma la tendència general entre les diferents audiències provincials. En comptes d’innovar, doncs, consolida les garanties pels consumidors i usuaris bancaris. Tanmateix, aquesta major protecció no ve exempta d’exigències: els consumidors cal que avisin amb rapidesa al banc si es produeix cap tipus de frau en els seus comptes. Aquest avís, des de MENDIA ADVOCATS, recomanem que sigui per escrit i amb acreditació tant de l’enviament de la comunicació (data, interlocutors, etc.) com del seu contingut.
MENDIA ADVOCATS té una llarga experiència en la defensa contra fraus tant en procediments penals com en reclamacions en l’àmbit civil. Si has estat víctima i no saps com gestionar-ho, posa’t en contacte amb nosaltres per rebre assessorament professional.