El bimestre mayo-junio de 2026 ha sido especialmente prolífico en resoluciones judiciales sobre fraude bancario electrónico. Con más de 20 sentencias publicadas en CENDOJ solo en materia civil, la línea jurisprudencial se consolida: la responsabilidad del proveedor de servicios de pago es cuasi-objetiva, y los tribunales siguen condenando a las entidades salvo que acrediten negligencia grave del usuario.
En este primer análisis mensual repasamos las 7 resoluciones más relevantes del periodo, incluyendo una sentencia del Tribunal Supremo que aborda por primera vez la concurrencia de culpas en la «estafa del CEO» por importe superior a 1,5 millones de euros.
Sentencia destacada: STS 2338/2026 — El Tribunal Supremo sobre la «estafa del CEO»
La STS 2338/2026, de 25 de mayo (ECLI:ES:TS:2026:2338, Ponente: Antonio García Martínez) constituye un hito jurisprudencial por varias razones. Se trata de la primera sentencia del Tribunal Supremo que aborda en profundidad la distribución de responsabilidad entre banco y empresa en un caso de phishing corporativo conocido como «estafa del CEO».
Los hechos
La empresa Privalia fue víctima de una estafa de suplantación de identidad que provocó transferencias fraudulentas por importe de 1.566.951,50 euros. Privalia había remitido al banco un protocolo de instrucciones para transferencias, que incluía la obligación de confirmar telefónicamente las órdenes de pago dirigidas a beneficiarios no autorizados. El banco ejecutó las transferencias sin cumplir dicho protocolo.
La doctrina del Tribunal Supremo
El TS aplica la doctrina de la concurrencia de culpas (arts. 1101 y 1902 CC). La sentencia establece tres puntos fundamentales:
Primero, el incumplimiento del protocolo por parte del banco constituye un factor causal jurídicamente relevante en la producción del daño, ya que permitió la efectiva disposición de los fondos.
Segundo, la conducta negligente de Privalia (fallos en sus mecanismos internos de control y la actuación imprudente de su empleada) no elimina el nexo causal derivado del incumplimiento contractual del banco, sino que concurre con él.
Tercero, citando la STS 571/2025, recuerda que «corresponde a los tribunales de instancia fijar el grado de participación de los distintos agentes en la producción del resultado dañoso» y que la revisión casacional se limita a los supuestos de grave desproporción.
Relevancia práctica: Esta sentencia es especialmente importante para empresas víctimas de fraude bancario. Confirma que el banco no puede escudarse en la negligencia del cliente para eludir su propia responsabilidad contractual, aunque sí puede reducirse el importe de la condena en proporción a la culpa de la víctima.
Sentencias favorables al consumidor
SAP Asturias 1973/2026 — ING condenada a devolver 35.550 € por vishing con spoofing
La SAP O 1973/2026, de 21 de mayo (Ponente: Marta Huerta Novoa) confirma la condena a ING a devolver 35.550 euros por un caso de vishing con suplantación del número de teléfono del banco.
El demandante recibió una llamada desde el número oficial de ING y, a continuación, dos SMS desde el canal habitual de comunicación de la entidad. La Audiencia Provincial concluye que «la única negligencia imputable a la actora radica en haber confiado en la legitimidad de una llamada y 2 SMS que le fueron remitidos, lo que no puede ser considerado constitutivo de negligencia grave».
Cita expresamente la STS 571/2025 para recordar que la responsabilidad del proveedor de servicios de pago es cuasi-objetiva y que el simple registro de la operación no basta para demostrar que fue autorizada.
STIC Tenerife 652/2026 — Bankinter condenada: el banco debió detectar la IP inusual
La STIC 652/2026, de 22 de mayo (Ponente: Gemma Vives Martínez) condena a Bankinter a devolver 1.320 euros. Lo más relevante de esta sentencia es la fundamentación sobre la monitorización de IP: el juzgado señala que «la entidad bancaria debe tener un gran nivel de diligencia y cuidado cuando la transacción se produce desde una IP que no es la que corresponde al cliente habitualmente, ya que esta circunstancia es una clara señal para que salten las alarmas».
El tribunal también establece que cuando los delincuentes ya tienen todos los datos personales del cliente antes de contactarle, no es exigible al usuario que sospeche de la llamada: «Nada más le es exigible al cliente. Hablamos de sistemas informáticos sofisticados que se manejan por delincuentes cibernéticos».
SAP Huesca 347/2026 — Ibercaja: 7.430 € por phishing + Bizum
La SAP HU 347/2026, de 13 de mayo (Ponente: Mariano Eduardo Sampietro Román) condena a Ibercaja a devolver 7.430 euros (7 transferencias de 990 € + un Bizum de 500 €). El caso es especialmente relevante porque combina transferencias bancarias fraudulentas con operaciones Bizum no autorizadas.
La Audiencia Provincial de Huesca es tajante: «No se acredita en ningún momento que la demandante actuara de forma negligente accediendo a páginas web sospechosas por propia iniciativa. Fue engañada a través de un sistema tecnificado». Y añade que «la facilidad y sencillez en el manejo de este tipo de datos conlleva el riesgo del fraude electrónico, sin que sea exigible al cliente medio un conocimiento informático sobre las eventuales técnicas de apropiación de sus datos personales».
SAP Barcelona 3530/2026 — Santander condenado por phishing de tarjeta
La SAP B 3530/2026, de 6 de mayo (Ponente: Gonzalo Ferrer Amigo) condena al Banco Santander a devolver 4.272,52 euros por un caso de phishing con uso fraudulento de tarjeta. Las operaciones presentaban patrones inusuales: cargos continuados, importes elevados, durante el estado de alarma y fuera de la localidad habitual de la cliente.
El tribunal recuerda que «el que la entidad bancaria acredite que la operación fue autenticada, registrada con exactitud y contabilizada, no es suficiente para eximirle de responsabilidad».
Sentencias favorables al banco: cuándo hay negligencia grave
SAP Cantabria 1099/2026 — Unicaja absuelta: facilitar OTP por teléfono
La SAP S 1099/2026, de 22 de junio (Ponente: Bruno Arias Berrioategortua) es la sentencia más reciente del periodo y absuelve a Unicaja en una reclamación de 5.000 euros. La demandante recibió una llamada de alguien que se identificó como empleado de Unicaja, informándole de un cargo de 5.000 € y dos compras de 500 €, solicitándole la clave de seguridad que recibiría por SMS para «cancelar» los cargos.
El SMS de Unicaja era meridianamente claro: «Vas a TRANSFERIR 5.000,00 € hacia una cuenta UNICAJA finalizada en [número]». A pesar de ello, la cliente facilitó el código.
La Audiencia concluye que «la brecha en el sistema de seguridad se produjo por la negligencia activa del propio usuario de la banca» y distingue expresamente este caso de aquellos donde el fraude se cometió «mediante la utilización de páginas o aplicaciones que simulaban las del banco o empleando SMS recibidos desde la propia ID de SMS de la entidad bancaria».
Lección clave: Cuando el SMS del banco indica claramente que se va a realizar una transferencia (no una cancelación) y el usuario facilita el código igualmente, los tribunales pueden apreciar negligencia grave.
SAP Bizkaia 1400/2026 — Transferencia autorizada: el RDL 19/2018 no aplica
La SAP BI 1400/2026, de 21 de mayo (Ponente: Izaskun Nazara Lacambra) desestima la demanda en un caso de fraude por email corporativo (Business Email Compromise). La demandante ejecutó ella misma la transferencia desde su banca electrónica, creyendo estar pagando una factura legítima tras la interceptación del correo electrónico de su proveedor.
La Audiencia de Bizkaia establece una distinción fundamental: los artículos 41 a 49 del RDL 19/2018 solo se aplican a operaciones no autorizadas. Cuando el propio usuario ejecuta la transferencia voluntariamente (aunque engañado), se trata de una operación autorizada y el régimen de responsabilidad cuasi-objetiva del proveedor de servicios de pago no es de aplicación.
Tendencias jurisprudenciales mayo-junio 2026
Del análisis de estas sentencias se extraen cinco tendencias claras:
1. Consolidación de la responsabilidad cuasi-objetiva. Los tribunales aplican de forma sistemática la doctrina de la STS 571/2025 sobre la naturaleza cuasi-objetiva de la responsabilidad del proveedor de servicios de pago.
2. Spoofing como factor exculpatorio del usuario. Cuando el fraude se comete mediante suplantación del número de teléfono o el canal SMS del banco, los tribunales rechazan sistemáticamente la negligencia grave del usuario (SAP O 1973/2026).
3. Monitorización de IP como deber del banco. La STIC 652/2026 inaugura una línea argumentativa sobre la obligación de los bancos de detectar operaciones desde direcciones IP inusuales.
4. Límite claro en SMS transparentes. La SAP S 1099/2026 confirma que cuando el SMS describe claramente la operación que se va a autorizar y el usuario ignora esa información, existe negligencia grave.
5. Distinción operación autorizada vs. no autorizada. La SAP BI 1400/2026 refuerza que el Business Email Compromise (fraude por email con factura falsa) queda fuera del régimen del RDL 19/2018 al tratarse de transferencias ejecutadas voluntariamente por el usuario.
¿Has sido víctima de phishing bancario?
Si tu banco se niega a devolverte el dinero tras un fraude electrónico, la jurisprudencia de 2026 refuerza tus opciones de reclamación. Utiliza nuestra calculadora de recuperación para estimar cuánto podrías recuperar, o genera directamente tu escrito de reclamación.
Como abogado especialista en phishing bancario en Madrid, analizo tu caso sin compromiso. Contacta conmigo en [email protected].