La jurisprudencia española sobre phishing bancario ha experimentado un giro radical con la STS 571/2025 del Tribunal Supremo. Desde entonces, los tribunales de Madrid vienen condenando de forma sistemática a los bancos a devolver el dinero sustraído mediante técnicas de phishing, smishing y vishing. Recopilamos seis sentencias recientes con nombres y apellidos de las entidades condenadas.
La doctrina del Tribunal Supremo: responsabilidad cuasi-objetiva
Antes de analizar las sentencias individuales, es necesario entender el principio que las vertebra. La STS 571/2025 (Sala de lo Civil, 9 de abril de 2025, ponente Manuel Almenar Belenguer, rec. 1151/2023) establece que la responsabilidad del banco en las operaciones de pago no autorizadas es cuasi-objetiva. Esto significa que el banco responde siempre que se produzca una operación no autorizada, con solo dos excepciones: que el propio usuario haya actuado con fraude o con negligencia grave.
La sentencia añade una precisión fundamental: «el mero hecho del registro por el proveedor de la utilización del instrumento de pago no bastará para demostrar que la operación fue autorizada». Es decir, que el banco registre que se usaron las credenciales del cliente no prueba que el cliente las usó voluntariamente. La carga de la prueba se invierte: es el banco quien debe demostrar la negligencia grave.
El caso en cuestión afectaba a Ibercaja Banco S.A.: un cliente sufrió 15 transferencias fraudulentas en una sola noche por un importe superior a 80.000 euros. El consumidor había alertado a la entidad un mes antes sobre la recepción de SMS sospechosos.
1. Banco Santander condenado: phishing por email (SAP M 2145/2026)
Sentencia: Audiencia Provincial de Madrid, Sección Civil, 21 de enero de 2026.
Ponente: Ramón Badiola Diez.
Recurso: 1060/2024.
Entidad: Banco Santander S.A.
Un consumidor recibió un correo electrónico que reproducía con exactitud el diseño y el logotipo del Banco Santander. El mensaje alertaba de un supuesto problema de seguridad e incluía un enlace a una página web fraudulenta donde el usuario introdujo sus credenciales de banca online. Los atacantes utilizaron esas credenciales para realizar transferencias a cuentas de terceros.
Banco Santander argumentó que el consumidor fue negligente al introducir sus datos en una página no oficial. La Audiencia Provincial rechazó este argumento de forma contundente: «la conducta de la demandante no puede ser calificada de negligencia grave». El banco apeló la sentencia de primera instancia y perdió también en segunda instancia.
Resultado: el banco fue condenado a devolver la totalidad de las cantidades sustraídas, más intereses legales.
2. Caja Rural condenada: SMS phishing con hackeo del teléfono (SAP M 4955/2026)
Sentencia: Audiencia Provincial de Madrid, 17 de abril de 2026.
Ponente: Agustín Manuel Gómez Salcedo.
Recurso: 1587/2024.
Entidad: Caja Rural.
El consumidor recibió un SMS fraudulento y, tras una secuencia de ingeniería social, los atacantes consiguieron hackear su teléfono y ejecutar tres transferencias: 1.997 euros, 999 euros y 2.040 euros (total: 5.036 euros).
Lo más revelador de esta sentencia es un hecho comparativo: el mismo consumidor tenía cuenta en Openbank, y esta entidad detectó y bloqueó la operación fraudulenta de forma inmediata. Caja Rural, en cambio, no activó ningún mecanismo de detección ante tres transferencias inusuales ejecutadas en un breve lapso de tiempo.
La sentencia aplica la doctrina de responsabilidad cuasi-objetiva de la STS 571/2025 y condena a Caja Rural a devolver los 5.036 euros.
Resultado: Caja Rural condenada. El contraste con Openbank evidencia que la tecnología para detectar el fraude en tiempo real existe y funciona: el problema es que algunas entidades no la implementan adecuadamente.
3. Unicaja condenada: vishing desde el número oficial (SAP M 17262/2025)
Sentencia: Audiencia Provincial de Madrid, 18 de diciembre de 2025.
Ponente: Isabel Serrano Frías.
Recurso: 195/2025.
Entidad: Unicaja.
En este caso, el estafador llamó al consumidor desde el número oficial de Unicaja mediante técnicas de spoofing telefónico. El consumidor, al ver en su pantalla el número real del banco, confió en la llamada y facilitó códigos de verificación que permitieron ejecutar operaciones fraudulentas.
La sentencia es especialmente dura con la defensa de Unicaja: «no basta con medidas genéricas de protección o avisos estereotipados». El tribunal exige al banco que implemente medidas de seguridad efectivas y proporcionadas al nivel de riesgo, no simples advertencias genéricas que el banco pueda esgrimir después para trasladar la responsabilidad al consumidor.
Resultado: Unicaja condenada. La doctrina de la STS 571/2025 se aplica íntegramente.
4. CaixaBank condenada en apelación: sentencia de primera instancia revertida (SAP M 16883/2024)
Sentencia: Audiencia Provincial de Madrid, 2 de diciembre de 2024.
Ponente: María Ángeles Martínez Domínguez.
Recurso: 807/2023.
Entidad: CaixaBank S.A.
Este caso es especialmente instructivo porque muestra que incluso una sentencia desfavorable en primera instancia puede revertirse en apelación. El consumidor fue víctima de una transferencia fraudulenta de 6.120 euros a una cuenta en Roma. El juzgado de primera instancia consideró que había existido negligencia por parte del usuario y desestimó la demanda.
La Audiencia Provincial de Madrid revocó la sentencia y condenó a CaixaBank. La clave del razonamiento: «no podemos calificar la posible negligencia de la demandante como grave en ningún caso». El tribunal reafirma el principio de responsabilidad cuasi-objetiva y recuerda que la negligencia debe ser «grave» para exonerar al banco, un umbral que en la práctica rara vez se alcanza.
Resultado: CaixaBank condenada en apelación. Para los consumidores que hayan perdido en primera instancia, esta sentencia demuestra que merece la pena recurrir.
5. Banco condenado por OTP no enviado (SAP M 4572/2025)
Sentencia: Audiencia Provincial de Madrid, 8 de abril de 2025.
Ponente: Juana de la Cruz Serrano González.
Este caso presenta un supuesto de hecho especialmente flagrante: los códigos de verificación OTP (One-Time Password) no fueron siquiera enviados por el banco al teléfono del cliente, y sin embargo las operaciones se autorizaron y ejecutaron. Es decir, el sistema de autenticación reforzada falló por completo.
La sentencia concluye de forma rotunda: «el Banco es el que ha incumplido sus obligaciones, excluyendo la negligencia grave del demandante». Si el propio sistema de seguridad del banco no funciona, no cabe hablar de negligencia del usuario.
Resultado: banco condenado a devolver la totalidad del importe.
Qué demuestran estas sentencias
Las seis sentencias presentan un patrón claro: los bancos pierden cuando el consumidor reclama de forma fundamentada. Los principios que se extraen son:
La negligencia grave se interpreta de forma muy restrictiva. Introducir credenciales en una página fraudulenta, facilitar códigos por teléfono o caer en un SMS de phishing no constituye negligencia grave cuando las técnicas de engaño son sofisticadas.
El banco debe implementar medidas de seguridad efectivas. Los avisos genéricos tipo «nunca le pediremos sus claves» no exoneran a la entidad. El banco debe contar con sistemas de detección de fraude en tiempo real, como los que utilizó Openbank en el caso de Caja Rural.
Incluso sentencias perdidas en primera instancia se pueden revertir. El caso de CaixaBank demuestra que la apelación es viable y exitosa en este tipo de procedimientos.
Los bancos más grandes no son inmunes. Santander, CaixaBank, Unicaja, Ibercaja y Caja Rural han sido condenados. El tamaño de la entidad no influye en el resultado.
Si has sido víctima de phishing bancario, puedes evaluar tu caso con nuestro test gratuito de phishing bancario o consultar la página de servicio para conocer cómo puedo ayudarte a recuperar tu dinero. La primera consulta es gratuita a través de la consulta preliminar.