La Sentencia del Tribunal Supremo 571/2025 constituye un hito fundamental en la protección de los consumidores frente a estos fraudes, al establecer de forma tajante las obligaciones de los bancos en la prevención de transferencias no autorizadas. En este artículo analizamos en profundidad el contenido de dicha sentencia, los fundamentos jurídicos que la sustentan y las consecuencias prácticas para los usuarios y las entidades financieras. También destacamos la importancia de contar con un perito informático especializado en estos casos, tanto para demostrar la veracidad de los hechos como para aportar pruebas técnicas contundentes en sede judicial.
El fraude bancario mediante duplicado de tarjeta SIM, también conocido como SIM swapping, se ha convertido en una de las formas más sofisticadas y peligrosas de estafa digital en los últimos años. Este tipo de ataque permite a los ciberdelincuentes acceder a las cuentas bancarias de las víctimas utilizando sus credenciales de acceso, especialmente cuando estas se basan en sistemas de autenticación de doble factor que envían códigos por SMS.
¿Qué es el SIM swapping y por qué es peligroso?
El SIM swapping es una técnica de fraude en la que un tercero consigue duplicar la tarjeta SIM de una víctima. Para lograrlo, los delincuentes convencen a una operadora de telecomunicaciones de emitir un duplicado de la SIM vinculada a un número de teléfono que no les pertenece, suplantando la identidad del titular. Una vez obtienen el control del número de teléfono, pueden interceptar mensajes SMS con códigos de autenticación y acceder a servicios bancarios o personales protegidos por sistemas de doble factor.
Cómo afecta el SIM swapping a la banca electrónica
En el contexto de la banca online, el SIM swapping permite a los ciberdelincuentes superar el segundo nivel de autenticación requerido para realizar transferencias u otras operaciones. Aunque el acceso a la cuenta bancaria suele requerir usuario y contraseña, muchas entidades bancarias utilizan como segundo factor de autenticación el envío de códigos SMS al móvil del cliente. Si los delincuentes ya tienen las credenciales (por ejemplo, tras una campaña de phishing) y además controlan el número de teléfono, pueden autorizar operaciones como si fuesen el titular. Esta vulnerabilidad plantea serias dudas sobre la suficiencia de las medidas de seguridad implementadas por los bancos.
El caso: cliente de Ibercaja afectado por fraude digital
El asunto resuelto por el Tribunal Supremo en su sentencia STS 571/2025 tiene como protagonista a un cliente de Ibercaja, D. Martín, quien sufrió un ataque de SIM swapping. El 17 y 18 de marzo de 2021, se realizaron quince transferencias no autorizadas desde su cuenta bancaria, tras haberse duplicado la tarjeta SIM asociada a su número móvil. Las operaciones se ejecutaron mediante Bizum y Ibercaja Directo, el sistema de banca electrónica de la entidad.
Cantidades sustraídas
Las transferencias ascendieron a un total de 83.692,73 euros, de los cuales el banco solo consiguió recuperar y devolver 27.218,10 euros. Por tanto, el cliente reclamó judicialmente la devolución de 56.474,63 euros, más los intereses legales correspondientes y las costas procesales.
¿Cómo actuó el cliente?
D. Martín actuó con gran diligencia. Días antes del fraude, ya había comunicado a su entidad bancaria que estaba recibiendo códigos SMS sin haber solicitado ninguna operación. También informó de cargos sospechosos en su tarjeta y solicitó la anulación y reposición de la misma. Pese a estas advertencias, Ibercaja no modificó sus credenciales de acceso ni aplicó medidas de seguridad adicionales, lo que facilitó el ataque.
¿Qué dice la sentencia STS 571/2025 del Tribunal Supremo?
Normativa aplicada: RD-Ley 19/2018 y normativa europea (PSD2)
El Tribunal Supremo se apoya en el Real Decreto-ley 19/2018, que transpone la Directiva (UE) 2015/2366 (PSD2) al ordenamiento español. Esta normativa establece una responsabilidad cuasi objetiva del proveedor de servicios de pago, es decir, del banco. En caso de operaciones no autorizadas, el banco debe reembolsar al cliente salvo que pruebe que este actuó con fraude o negligencia grave.
Criterios jurídicos clave: consentimiento, carga de la prueba, responsabilidad
Uno de los aspectos más relevantes que aclara la sentencia es el concepto de «operación autorizada». El Tribunal deja claro en la Sentencia 571/2025 que el uso correcto de las credenciales del cliente (usuario, contraseña y SMS) no implica necesariamente consentimiento si el titular niega haber realizado la operación. La entidad financiera tiene la obligación de demostrar no solo que se usaron los datos correctos, sino que no hubo ninguna deficiencia en el servicio prestado y que el cliente incurrió en negligencia grave o fraude.
¿Qué debe probar el banco para eximirse de responsabilidad?
El banco solo puede eludir su responsabilidad si acredita de forma contundente que:
- El cliente cometió fraude.
- O incurrió en negligencia grave, como por ejemplo, compartir sus claves voluntariamente.
- O que la operación no fue afectada por fallos o deficiencias en su sistema.
En este caso, el banco no pudo probar ninguno de estos extremos. Al contrario, el cliente demostró haber avisado con antelación de movimientos anómalos y haber seguido todas las recomendaciones de seguridad.
Conclusión del Supremo: responsabilidad del banco
El Tribunal valora positivamente la conducta del cliente, que fue proactiva y coherente con las obligaciones legales. No se aprecia en él negligencia grave, ni falta de diligencia. Comunicó con antelación los intentos sospechosos de acceso a su cuenta y colaboró con su banco para resolver la situación.
El banco no adoptó medidas pese a las alertas
Ibercaja, en cambio, no adoptó ninguna medida efectiva tras recibir los avisos del cliente. No reforzó los sistemas de seguridad, no cambió los datos de acceso y no activó ningún protocolo de alarma, pese a que se realizaron 15 transferencias en una sola noche por más de 80.000 euros. Según el Supremo, estas operaciones debieron haber activado sistemas automáticos de alerta.
Devolución del importe sustraído y condena en costas
La sentencia 571/2025 del Tribunal Supremo confirma la condena a Ibercaja a pagar 56.474,63 euros, más los intereses legales devengados desde la fecha de las transferencias, y a asumir las costas judiciales. El fallo refuerza la doctrina de que las entidades financieras tienen una obligación activa de prevenir el fraude, incluso cuando se emplean mecanismos de autenticación reforzada.
¿Qué hacer si has sido víctima de un fraude bancario?
- Contacta con tu banco y bloquea todas las operaciones.
- Denuncia los hechos ante la Policía Nacional o Guardia Civil.
- Recopila toda la información posible: mensajes, correos, movimientos bancarios.
¿Por qué es clave notificar y documentar?
Notificar el fraude cuanto antes es esencial para limitar tu responsabilidad. Además, la documentación detallada servirá como prueba en caso de reclamación. Cualquier comunicación que hayas tenido con el banco (por email, app o teléfono) puede ser clave.
Importancia de acudir a asesoramiento jurídico
Contar con un abogado y un perito informático es vital para demostrar el origen del fraude, su técnica, y la ausencia de negligencia por parte del cliente. Solo así podrás reclamar judicialmente la devolución de las cantidades perdidas.
¿Cómo puede ayudarle Perytas en su reclamación por un fraude bancario o por un SIM swapping?
En Perytas, somos especialistas en periciales informáticas aplicadas a fraudes bancarios. Nuestro equipo de peritos analiza las evidencias tecnológicas, determina si se ha producido una intrusión externa y elabora informes periciales imparciales y rigurosos que sirven como prueba en procedimientos judiciales.
Aportamos valor probatorio en casos de SIM swapping, phishing, duplicación de tarjetas SIM, y otros ciberataques que afectan al patrimonio de nuestros clientes. Si has sufrido un fraude digital y necesitas reclamar a tu entidad bancaria, podemos ayudarte a fundamentar tu caso con base técnica y legal.
¿Has sido víctima de un fraude bancario? ¿Tu banco no te devuelve el dinero?
No estás solo. En Perytas te ayudamos a reclamar lo que te corresponde. Rellena nuestro formulario de contacto y uno de nuestros especialistas se pondrá en contacto contigo para valorar tu caso sin compromiso.
Peritos Arquitectos
Peritos Tasadores
Peritos Economistas
Peritos Agrícolas
Peritos Contra-aseguradoras – IRD (Art 38 LGS)
Peritos de reconstrucción de accidentes
Peritos Informáticos
Peritos Calígrafos
