La Sentencia del Tribunal Supremo 571/2025, de 9 de abril (ROJ: STS 1671/2025, ECLI:ES:TS:2025:1671), dictada por la Sala de lo Civil con ponencia de Manuel Almenar Belenguer, es la resolución más importante sobre phishing bancario en España. En ella, el Alto Tribunal analiza por primera vez las obligaciones de los proveedores de servicios de pago frente a operaciones no autorizadas ejecutadas mediante técnicas de ingeniería social, y establece una doctrina que los tribunales de Madrid aplican de forma sistemática desde su publicación.
En este artículo analizo en detalle los hechos, la argumentación jurídica y las tres reglas que la sentencia establece, así como su impacto real en la jurisprudencia posterior.
Los hechos del caso: Ibercaja y las 15 transferencias en una noche
El demandante era cliente de Ibercaja Banco S.A. y tenía contratado el servicio de banca digital «Ibercaja Directo». Tres semanas antes de los hechos, el cliente alertó a la entidad de que estaba recibiendo SMS sospechosos que suplantaban la identidad del banco. Google también le había enviado alertas de seguridad sobre intentos de acceso no autorizados a su cuenta.
A pesar de estas advertencias, Ibercaja no adoptó ninguna medida adicional de protección. Y lo que sucedió después confirma la gravedad de esa omisión: en una sola noche, se ejecutaron 15 transferencias fraudulentas desde la cuenta del cliente por un importe total superior a 80.000 euros.
Las alarmas del banco no saltaron en el momento de las operaciones —algo insólito tratándose de 15 transferencias nocturnas consecutivas—, sino al día siguiente, y ni siquiera por iniciativa propia de la entidad.
La cuestión jurídica: ¿quién responde?
Ibercaja defendió que las operaciones habían sido «autorizadas» porque se utilizaron las credenciales del cliente (usuario, contraseña y códigos OTP), conforme a las condiciones del contrato de banca digital. Según la entidad, no existió fallo técnico alguno en sus sistemas y la responsabilidad debía recaer sobre el usuario, que no protegió adecuadamente sus dispositivos.
El Juzgado de Primera Instancia y la Audiencia Provincial estimaron la demanda del consumidor. Ibercaja recurrió en casación ante el Tribunal Supremo, que desestimó el recurso y confirmó la condena.
Las tres reglas de la STS 571/2025
El Tribunal Supremo sienta tres principios fundamentales que constituyen la doctrina de referencia en materia de phishing bancario en España:
1. Responsabilidad cuasi-objetiva del banco
El régimen de los artículos 36, 41 a 46 del Real Decreto-ley 19/2018 (que transpone la Directiva europea PSD2) establece una responsabilidad cuasi-objetiva del proveedor de servicios de pago. Esto significa que el banco responde por las operaciones no autorizadas con independencia de que exista culpa por su parte. Solo queda exonerado si demuestra que el usuario actuó con fraude, incumplimiento deliberado o negligencia grave.
El Supremo lo explica así: la entidad bancaria no solo debe probar que la operación fue correctamente autenticada y registrada, sino que debe acreditar además que «la operación no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado». Esa expresión —«otra deficiencia»— es clave: implica que el banco debe actuar con la diligencia que las circunstancias exijan, no limitarse a verificar que los sistemas no fallaron.
2. El registro del banco no prueba el consentimiento
La segunda regla ataca directamente el argumento más habitual de las entidades bancarias. Ibercaja sostenía que, al constar en sus registros que se utilizaron las credenciales del cliente, la operación debía considerarse autorizada. El Tribunal Supremo rechaza ese razonamiento de forma rotunda:
«El mero hecho del registro por el proveedor de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones.»
En otras palabras: que conste en el sistema del banco que «se usaron las claves del cliente» no significa que el cliente autorizó la operación. Los registros internos del banco son unilaterales y no constituyen prueba suficiente.
3. Carga de la prueba invertida
El artículo 44.3 del RDL 19/2018 establece que «corresponderá al proveedor de servicios de pago probar que el usuario del servicio de pago cometió fraude o negligencia grave». El Supremo aplica esta regla con rigor: es el banco quien debe demostrar la negligencia grave del usuario, no el usuario quien debe probar que fue diligente.
Además, el concepto de negligencia grave se interpreta de forma muy restrictiva. El Tribunal afirma que «el que un tercero hubiera podido acceder a las claves de acceso a la banca digital del demandante no supone per se que haya incurrido en negligencia alguna, pudiendo existir múltiples explicaciones, muchas de las cuales resultan difícilmente atribuibles a título de negligencia, y menos aún, de negligencia grave».
Las deficiencias del servicio de Ibercaja
El Tribunal identifica dos deficiencias específicas en el servicio prestado por Ibercaja que resultan especialmente reveladoras:
Ausencia de mecanismos de detección: un evento tan inusual como la ejecución de 15 transferencias en una sola noche, por un importe superior a 80.000 euros, no hizo «saltar las alarmas en ese mismo momento y no al día siguiente y ni siquiera por iniciativa propia» de la entidad. El Reglamento Delegado (UE) 2018/389 obliga a los bancos a disponer de mecanismos de supervisión que detecten operaciones no autorizadas o fraudulentas, teniendo en cuenta factores como el importe, la frecuencia, la hora y el destinatario.
Ignorar las advertencias del cliente: a pesar de que el consumidor comunicó a Ibercaja, tres semanas antes, que estaba recibiendo SMS fraudulentos que suplantaban la identidad del banco, la entidad no «extremó las precauciones». El cliente hizo exactamente lo que se espera de un usuario diligente: alertó a su banco. Y el banco no hizo nada.
Impacto en la jurisprudencia posterior
Desde la publicación de la STS 571/2025, las audiencias provinciales la citan como referente obligado. En Madrid, sentencias como la SAP M 2145/2026 (Banco Santander), la SAP M 4955/2026 (Caja Rural) o la SAP M 17262/2025 (Unicaja) aplican explícitamente su doctrina. El patrón es uniforme: los bancos pierden la práctica totalidad de los juicios por phishing.
El impacto se extiende más allá del phishing clásico por email. La doctrina de la STS 571/2025 se aplica también a casos de smishing (fraude por SMS) y vishing (fraude por llamada telefónica), porque el fundamento jurídico —responsabilidad cuasi-objetiva del proveedor, carga de la prueba, insuficiencia del registro— es idéntico con independencia de la modalidad de engaño utilizada.
Puedes consultar el análisis de las sentencias más recientes en el artículo jurisprudencia phishing bancario: sentencias de Madrid.
Qué significa esta sentencia para ti como consumidor
Si has sido víctima de phishing bancario, la STS 571/2025 significa tres cosas:
Primero: que tienes derecho a reclamar aunque hayas facilitado tus claves al estafador. El Tribunal Supremo ha dejado claro que caer en una estafa de ingeniería social no equivale a negligencia grave.
Segundo: que el banco no puede escudarse en que «los sistemas funcionaron correctamente». Debe demostrar que prestó un servicio adecuado a las circunstancias, incluyendo mecanismos de detección de fraude.
Tercero: que la carga de la prueba la tiene el banco. No eres tú quien debe demostrar que fuiste diligente; es el banco quien debe demostrar que fuiste gravemente negligente.
¿No estás seguro de si tu caso es reclamable? Haz nuestro test gratuito de phishing bancario y en menos de dos minutos sabrás si tienes derecho a reclamar. Si quieres que analice tu caso concreto, puedes contactarme a través de la consulta preliminar gratuita.
También puedes consultar la página de servicio de phishing y fraude bancario o el artículo completo sobre cómo reclamar phishing bancario.