¿El banco debe devolverme el dinero si me han hecho pishing?

Legal
ESCRITO POR Albert Folk i Codinas
12 Jun, 2025 — 1 min
¿El banco debe devolverme el dinero si me han hecho pishing?

El phishing bancario es una de las modalidades de ciberdelincuencia más habituales en la actualidad. Consiste en la captación fraudulenta de datos personales y bancarios de las víctimas – como ahora las contraseñas, datos de tarjetas o credenciales de acceso a la banca online – mediante la suplantación de una entidad legítima, como una entidad financiera Hacienda o la Seguridad Social.

Una vez el ciberdelincuente obtiene estos datos, puede acceder a las cuentas bancarias de la víctima y hacer operaciones sin su consentimiento, provocando la sustracción de fondos. Hasta hace poco, la respuesta de los bancos ante este tipo de fraude a menudo era evasiva: argumentaban que era el cliente quien había facilitado los datos, y que, por lo tanto, no se podía exigir el reembolso por phishing.

Un cambio de paradigma: la Sentencia del Tribunal Supremo del 9 de abril de 2025

El Tribunal Supremo, en su sentencia del 9 de abril de 2025, establece una nueva doctrina que cambia substancialmente el régimen de responsabilidad en casos de phishing. Según esta resolución, las entidades bancarias son responsables de los importes sustraídos mediante fraudes informáticos, excepto que puedan demostrar que el cliente actuó con negligencia grave.

Este criterio implica que la simple utilización fraudulenta de las credenciales de un cliente no presupone automáticamente su negligencia, y que son los bancos los que deben garantizar la seguridad de los sistemas de pago electrónicos.

Obligaciones de seguridad y prevención de las entidades bancarias

El Tribunal subraya que la responsabilidad de los bancos no se limita a proporcionar mecanismos técnicos de seguridad, sino que se extiende a la detección proactiva de operaciones inusuales o sospechosas. En consecuencia, si la entidad no detecta una operación fraudulenta que podría haber estado evitada mediante protocolos de seguridad eficaces, está obligada a reembolsar el importe sustraído al cliente.

Esta doctrina refuerza los derechos de los usuarios de banca online y consolida un alto nivel de exigencia sobre la diligencia de los bancos en materia de seguridad y prevención del fraude.

Con esta sentencia, el Tribunal Supremo establece que la responsabilidad recae sobre la entidad bancaria cuando no puede probar que el cliente actuó con negligencia grave. Se impone así una nueva visión más protectora para el consumidor, donde no se le puede cargar al cliente la responsabilidad de supervisar constantemente la seguridad de sus cuentas, sino que el banco es quien debe garantizar el nivel de seguridad adecuado y actualizado.

Si has sido víctima de un caso de pishing bancario o quieres asesoramiento legal para reclamar a tu banco, ponte en contacto con nosotros. Te ayudaremos a ejercer tus derechos.