Responsabilidad bancaria frente a fraudes digitales

La Audiencia Provincial de Cáceres ha condenado al Banco Santander a reembolsar 4.587,98 euros, más intereses, a una clienta víctima de un fraude electrónico. La sentencia considera que la entidad financiera no aplicó medidas adecuadas para detectar y prevenir el fraude digital, contraviniendo lo previsto en la Directiva (UE) 2015/2366 relativa a los servicios de pago.

Los hechos ocurrieron durante el confinamiento derivado de la pandemia de Covid-19, cuando la afectada recibió dos correos electrónicos con apariencia legítima del banco. En ellos se le informaba de incidencias en su cuenta y se le solicitaba verificar su identidad mediante un enlace. Tras introducir sus datos en una web que replicaba la oficial, comenzaron a producirse operaciones no autorizadas. Dos cargos por valor de 2.292,99 euros cada uno se ejecutaron a favor de un portal de envío de dinero.

Rechazo a la alegación de negligencia grave

La entidad demandada alegó que la clienta actuó de forma negligente al facilitar sus credenciales, incumpliendo su obligación de custodiar las claves de acceso. No obstante, el tribunal recuerda que el concepto de “negligencia grave” no puede aplicarse automáticamente ante conductas inducidas por engaños sofisticados, tal como establece el considerando 71 de la citada Directiva (UE) 2015/2366.

La Audiencia diferencia entre una falta de diligencia ordinaria y la existencia de dolo por parte de terceros profesionales. En este caso, el comportamiento de la víctima –acceder a un enlace malicioso bajo apariencia legítima– no alcanzó el umbral de negligencia grave. Así, el tribunal sostiene que la conducta fue común en contextos de estafa digital y no constituye, por sí misma, un motivo para eximir al banco de responsabilidad.

Deficiencias en los sistemas de seguridad bancaria

Un punto determinante en la resolución fue que el segundo factor de autenticación no fue introducido por la clienta, sino por el defraudador. Esto implica que previamente se había sustituido el número de teléfono vinculado a la cuenta, una operación que debería haber activado alertas de seguridad interna.

El tribunal advierte que los cargos realizados no se correspondían con la operativa habitual de la demandante. Por tanto, debieron haber sido detectados como transacciones sospechosas. La ausencia de medidas eficaces para prevenir el fraude o el fallo de las existentes refuerza la conclusión de que la responsabilidad recae en la entidad financiera.

Resolución 436/2025, de 22 de mayo. [TOL10.594.421]