Banco condenado por fallo en seguridad

Una clienta víctima de fraude digital recupera su dinero

La Audiencia Provincial de Cáceres ha ordenado al Banco Santander la devolución de 4.587,98 euros a una clienta que fue víctima de un fraude digital durante el confinamiento por la pandemia. La sentencia establece que la usuaria no actuó con negligencia grave, lo que implica que el banco debe asumir la responsabilidad por las transacciones no autorizadas en su cuenta.

El caso se origina cuando la clienta recibió dos correos electrónicos que parecían legítimos, informándole sobre un supuesto bloqueo de su cuenta. Al acceder al enlace proporcionado, fue redirigida a una página que imitaba la web oficial del banco. Tras ingresar sus datos de acceso, se realizaron dos transferencias de dinero que sumaban un total de 4.587,98 euros. La clienta fue notificada mediante un SMS sobre un cambio en el número de teléfono asociado a su cuenta, y al revisar su banca en línea, descubrió las transferencias.

El tribunal descarta negligencia por parte de la clienta

El banco argumentó que la clienta había incumplido su deber de proteger sus claves de acceso, lo que constituía una conducta negligente. Sin embargo, el tribunal desestimó este argumento. Citando la Directiva (UE) 2015/2366 sobre servicios de pago, el fallo aclara que la negligencia grave no se puede inferir simplemente porque la persona haya sido víctima de un engaño bien diseñado por delincuentes profesionales.

Según la resolución, la acción de la clienta —hacer clic en un enlace fraudulento que parecía auténtico— es común entre muchos usuarios en situaciones similares. Por lo tanto, no se le puede exigir un comportamiento infalible, especialmente cuando el fraude utiliza métodos sofisticados que son difíciles de detectar.

Falta de controles internos del banco

Un aspecto crucial del fallo es que la segunda clave de verificación de la operación no fue proporcionada por la clienta, sino que fue facilitada por el propio defraudador, quien había logrado cambiar previamente el número de teléfono vinculado a la cuenta. Esta modificación no fue detectada por los sistemas de seguridad del banco, lo que, según el tribunal, pone de manifiesto una deficiencia en las medidas antifraude adoptadas por la entidad.

Además, se destaca que los cargos realizados eran de una cantidad considerable y no coincidían con el patrón habitual de uso de la cuenta, lo que debió activar mecanismos de prevención por parte del banco. Al no reaccionar ante estas señales, el tribunal concluye que el banco incumplió su deber de vigilancia y debe asumir las consecuencias.

Implicaciones jurídicas de la resolución

La sentencia refuerza la responsabilidad de las entidades financieras en la protección de los datos y activos de sus clientes, especialmente en un contexto de creciente fraude digital. Se reafirma el principio de que, a menos que se demuestre negligencia grave o dolo por parte del cliente, el banco debe responder por las operaciones no autorizadas.

Sentencia AP de Cáceres, nº 436/2025, de 22 de mayo.