La negligencia grave es el principal argumento que utilizan los bancos para negarse a devolver el dinero sustraído mediante phishing. Es también la única defensa que la ley les concede: si el banco demuestra que el usuario actuó con negligencia grave, queda exonerado de responsabilidad.

Pero, ¿qué es exactamente negligencia grave? ¿Dónde está la línea? La jurisprudencia de 2025 y 2026 ha ido perfilando esta frontera con cada vez más claridad, y los resultados son matizados: caer en un engaño no es negligencia grave, pero hay conductas del usuario que sí cruzan el umbral.

En este artículo analizamos sentencias reales en las que el banco ganó alegando negligencia grave, para que entiendas exactamente qué conductas debes evitar — y por qué, en la mayoría de casos, esta defensa no prospera.

Qué es la negligencia grave en la Ley de Servicios de Pago

El artículo 46 del Real Decreto-ley 19/2018 (que transpone la Directiva PSD2) establece que el usuario soporta todas las pérdidas derivadas de operaciones de pago no autorizadas cuando haya actuado con negligencia grave o de manera fraudulenta.

La clave está en la carga de la prueba. La Sentencia del Tribunal Supremo 571/2025 ha dejado claro que:

Es el banco quien debe probar la negligencia grave del usuario, no al revés. La responsabilidad del proveedor de servicios de pago es cuasi-objetiva: solo queda exonerado si demuestra que el usuario incurrió en negligencia grave o fraude.

La negligencia grave no se presume. No basta con que el usuario haya sido víctima de un engaño; el banco debe acreditar que la conducta del usuario fue manifiestamente descuidada, más allá de lo que cabría esperar de una persona media.

Cuándo los tribunales SÍ aprecian negligencia grave

De la jurisprudencia reciente se extraen patrones claros de conductas que los tribunales consideran negligencia grave. Veamos los casos:

SAP A Coruña 1467/2026 — Abanca, 3.030,50 € (banco GANA)
La clienta recibió cuatro SMS consecutivos con este contenido: «TRANSFERENCIA de X EUR a cuenta Y. Para confirmar, teclea la clave Z. Si no eres tú, llama al 900…». Cada mensaje indicaba claramente la cuantía, la cuenta de destino y un número de teléfono para cancelar. La clienta facilitó los cuatro códigos sin leer el contenido de los mensajes, durante un período de 20 minutos.

El tribunal consideró que, aunque es comprensible caer en un engaño inicial de phishing, ignorar cuatro mensajes de confirmación que describían exactamente lo que estaba ocurriendo constituye negligencia grave. Los SMS no eran ambiguos: detallaban importes y cuentas de destino desconocidas.

SAP Córdoba 673/2026 — BBVA, 5.000 € (banco GANA)
El cliente facilitó los datos completos de su tarjeta bancaria y, a continuación, 16 códigos OTP a un tercero. BBVA había implementado autenticación reforzada de doble factor. El tribunal apreció negligencia grave: facilitar 16 códigos de un solo uso a un desconocido demuestra una falta de diligencia que no puede calificarse de mero descuido.
SAP Málaga 1111/2026 — Unicaja (banco GANA)
Caso similar: el usuario facilitó sus credenciales y múltiples códigos OTP sin detenerse a leer el contenido de los mensajes de confirmación, que describían las operaciones que se estaban autorizando. El tribunal entendió que no leer los SMS de verificación — que explícitamente indicaban que se estaban autorizando transferencias — constituye negligencia grave.

De estos tres casos se extraen los factores determinantes para apreciar negligencia grave:

Multiplicidad de códigos facilitados. No es lo mismo facilitar un código que facilitar 4 o 16. La repetición demuestra una falta de atención sostenida.

Claridad de los mensajes de alerta. Si los SMS de confirmación indicaban expresamente que se trataba de transferencias, con importes y cuentas de destino, y el usuario los ignoró, los tribunales aprecian negligencia grave.

Tiempo disponible para reaccionar. Si el fraude se extiende durante 20 minutos o más, con múltiples interacciones, el usuario tuvo oportunidad de detenerse y verificar.

Cuándo los tribunales NO aprecian negligencia grave

La mayoría de sentencias rechazan la alegación de negligencia grave del banco. Los tribunales distinguen entre ser víctima de un engaño sofisticado y actuar con descuido manifiesto:

Cuando el engaño es sofisticado. Si el SMS fraudulento aparece en el mismo hilo que los mensajes legítimos del banco (técnica de spoofing), o si la llamada muestra el número real del banco, el tribunal entiende que el usuario no tenía forma razonable de detectar el fraude.

Cuando se facilita un solo código. Facilitar un único código de verificación ante un engaño convincente no constituye negligencia grave. Los tribunales reconocen que cualquier persona media podría caer en un engaño bien ejecutado.

En casos de SIM swapping. Cuando el fraude se ejecuta mediante duplicado de SIM, el usuario no ha facilitado nada. Los códigos son interceptados sin su intervención.

Cuando el banco no implementó medidas adecuadas. Si el banco no tenía sistemas de detección de anomalías (operaciones inusuales, IPs diferentes, horarios atípicos), los tribunales consideran que el banco no puede escudarse en la negligencia del usuario cuando él mismo no cumplió sus obligaciones de seguridad.

La doctrina del Tribunal Supremo: STS 571/2025

La STS 571/2025 ha establecido el marco definitivo. Sus puntos clave respecto a la negligencia grave son:

La responsabilidad del banco es cuasi-objetiva. El banco responde salvo que pruebe negligencia grave del usuario.

La negligencia grave debe ser probada por el banco, no presumida ni invertida.

La negligencia grave exige una conducta que vaya más allá del simple descuido: debe ser una falta de diligencia manifiesta, una conducta que cualquier persona mínimamente cuidadosa habría evitado.

Caer en un engaño de phishing, por sí solo, no es negligencia grave. Lo es cuando el usuario ignora señales de alerta claras y reiteradas.

Qué hacer si el banco te alega negligencia grave

Si tu banco se niega a devolverte el dinero alegando que actuaste con negligencia grave, ten en cuenta lo siguiente:

No asumas que tiene razón. Los bancos alegan negligencia grave de forma sistemática como primera línea de defensa. En la mayoría de casos, los tribunales la rechazan.

Analiza tu caso con objetividad. ¿Facilitaste múltiples códigos ignorando mensajes claros? ¿O caíste en un engaño sofisticado con un solo código? La diferencia es decisiva.

Revisa los SMS de verificación. ¿Indicaban claramente que se trataba de transferencias? ¿Incluían importes y cuentas de destino? Si los mensajes eran genéricos o ambiguos, la negligencia grave no debería prosperar.

Verifica las medidas de seguridad del banco. Si el banco no detectó operaciones anómalas (múltiples transferencias, horarios inusuales, IPs diferentes), esto debilita su alegación de negligencia grave.

Consulta nuestra guía paso a paso para reclamar y, si el banco persiste en su negativa, valora la vía judicial, donde la jurisprudencia es mayoritariamente favorable.

¿Tu banco alega negligencia grave?

Analizo tu caso y te digo con franqueza si la alegación tiene fundamento o si puedes reclamar con éxito.

[email protected]

Paseo de la Castellana 194, Madrid

Jose Manuel Dominguez Gonzalez

José Manuel Domínguez González

Abogado en Madrid. Especializado en litigación civil, mercantil y contencioso-administrativa.

Colegiado ICAM nº 137.813