Publicado 22/05/25
Escrito y verificado por: David Alfaya Massó
La reciente Sentencia 1671/2025 del Tribunal Supremo de fecha 9/04/25, ha marcado un hito histórico en la protección de los consumidores frente al fraude digital. El caso afecta a un cliente de Ibercaja que sufrió un sofisticado ataque de phishing con duplicación de SIM (SIM swapping), lo que permitió a los delincuentes vaciar su cuenta bancaria durante la noche.
Esta sentencia no solo reconoce la responsabilidad del banco, sino que blinda los derechos de los usuarios que sufren estafas electrónicas sin haber cometido negligencia grave. En Asesority, celebramos esta decisión porque refuerza lo que defendemos cada día: si el banco no te protegió, debe devolverte el dinero.
¿Qué ocurrió exactamente?
El afectado, D. Martín, era titular de varias cuentas en Ibercaja y había contratado el servicio de banca online “Ibercaja Directo”. Un mes antes del fraude, ya había advertido al banco de que estaba recibiendo mensajes SMS sospechosos con códigos de confirmación de operaciones que él no había solicitado. También notificó cargos irregulares en su tarjeta.
A pesar de estas señales claras de alerta, la entidad no bloqueó su acceso ni cambió sus claves, ni activó ningún protocolo de seguridad. El 17 de marzo de 2021, los delincuentes duplicaron la tarjeta SIM de su esposa y usaron sus datos para validar operaciones a través de banca electrónica y Bizum.
En total, se realizaron 15 transferencias no autorizadas por un valor de 83.692 €, de los cuales solo se recuperaron 27.218 €. El cliente reclamó los 56.474 € restantes.
¿Qué decidió el Tribunal Supremo?
Tras dos sentencias favorables (en primera y segunda instancia), Ibercaja presentó recurso de casación. Sin embargo, el Tribunal Supremo lo desestimó y confirmó la condena al banco, obligándole a devolver los 56.474,63 € al cliente, con intereses y costas.
Entre los argumentos clave del Supremo, destacamos:
- La normativa europea y española impone una responsabilidad cuasi objetiva al banco en operaciones no autorizadas.
- El hecho de que se usaran correctamente las credenciales (usuario, contraseña, SMS) no basta para exonerar al banco si esas claves fueron robadas mediante un fraude.
- La entidad no probó negligencia grave ni fraude del cliente.
- El banco falló en activar alertas de seguridad pese a operaciones muy inusuales (más de 80.000 € en una sola noche) y a las advertencias previas del usuario.
- No basta con cumplir la autenticación técnica, también se exige actuar con diligencia profesional, lo que Ibercaja no hizo.
El antes y el después del afectado por fraude phishing
Antes del fraude:
- Usuario habitual de banca online, sin antecedentes de problemas de seguridad.
- Notificó al banco incidencias previas, como códigos no solicitados y cargos indebidos.
- Solicitó la cancelación de la tarjeta y comunicó su preocupación, esperando protección por parte de su banco.
Después del fraude:
- Se encontró con su cuenta vaciada y más de 56.000 € desaparecidos.
- Denunció inmediatamente ante la Policía y reclamó al banco, sin recibir una solución voluntaria.
- Tuvo que iniciar un procedimiento judicial largo y complejo, pero logró justicia gracias al respaldo de los tribunales.
Este caso demuestra que sí se puede ganar una reclamación por phishing, incluso frente a grandes entidades bancarias, cuando el cliente ha actuado con buena fe y el banco ha fallado en su deber de cuidado.
Preguntas frecuentes – FAQ fraude phishing
¿Qué es el phishing bancario?
El phishing bancario es un tipo de fraude en el que los delincuentes suplantan la identidad del banco para obtener tus datos y vaciar tus cuentas.
¿Me debe devolver el banco el dinero si he sido víctima de phishing?
Sí, siempre que no hayas cometido negligencia grave, el banco tiene la obligación de devolverte el dinero, como ha dictado el Tribunal Supremo.
¿Qué dice la Sentencia STS 1671/2025 del Tribunal Supremo?
Confirma que Ibercaja debe devolver 56.474 € a un cliente víctima de phishing porque no demostró negligencia del usuario ni activó medidas de seguridad.
¿Puedo reclamar si el banco me dice que las operaciones estaban autorizadas?
Sí. Aunque se usen tus credenciales, si tú no diste consentimiento y hubo fraude, el banco debe probar que no actuó negligentemente. Si no lo hace, debe devolverte el dinero.
¿Cómo puedo reclamar el dinero robado por phishing?
Puedes iniciar una reclamación extrajudicial con ayuda de abogados expertos. En Asesority estudiamos tu caso sin coste y reclamamos por ti. Saber más
¿Te ha pasado algo parecido? Puedes reclamar
Si has sido víctima de phishing, SIM swapping, o cualquier otro fraude digital, y tu banco se niega a devolverte el dinero alegando que “las operaciones fueron autorizadas”, tienes derecho a reclamar.
En Asesority nos encargamos de estudiar tu caso sin coste, reclamar extrajudicialmente ante el banco y, si no hay acuerdo, llevamos tu caso a juicio. Solo cobramos si ganamos. Y esta sentencia del Supremo refuerza tu posición legal.
👉 Consulta aquí cómo reclamar por phishing con Asesority
Conclusión: El Supremo pone fin a las excusas de los bancos
A partir de ahora, los bancos no pueden mirar a otro lado cuando un cliente sufre un fraude. Están obligados a devolver el dinero si no pueden demostrar negligencia grave o fraude del usuario, y no basta con decir que se usaron las claves correctamente.
Esta sentencia es una gran victoria para los consumidores y un aviso claro a la banca: la seguridad es su responsabilidad.
Escrito por David Alfaya Massó
Abogado, CEO & Fundador de Asesority
Experto en reclamaciones bancarias y cancelar deudas
Consulta gratuita a un abogado especializado
Si buscas un abogado experto en derecho bancario, podemos ayudarte.
Consulta gratis online a un abogado, y resuelve tus dudas de abusos bancarios.
