La Audiencia impone responsabilidad al banco

La Audiencia Provincial de Cáceres ha dictado una sentencia condenatoria contra el Banco Santander, obligándolo a devolver 4.587,98 euros más intereses a una clienta cuya cuenta fue objeto de operaciones no autorizadas. El tribunal considera que no se ha acreditado una conducta gravemente negligente por parte de la afectada, lo que excluye su responsabilidad en el perjuicio económico sufrido.

La resolución recoge que la clienta recibió dos correos electrónicos que simulaban proceder del banco, en los que se le informaba de un bloqueo temporal de su cuenta por supuestos problemas de seguridad. En ellos se incluía un enlace a una web falsa que imitaba la oficial, donde introdujo sus datos personales y bancarios. Días después, la clienta observó dos cargos inusuales de 2.292,99 euros cada uno en su cuenta, realizados a través de un portal de envío de dinero.

Engaño profesional y ausencia de negligencia grave

La entidad bancaria argumentó que la demandante actuó con negligencia al introducir sus claves de acceso, incumpliendo el deber de cuidado y custodia que le impone la normativa vigente. Sin embargo, el tribunal descarta que exista una negligencia grave, aludiendo a la Directiva (UE) 2015/2366, que establece que solo una conducta con un alto grado de descuido puede liberar al proveedor de servicios de pago de su obligación de devolución.

En este caso, el tribunal considera que la clienta fue inducida al error mediante un fraude altamente sofisticado, lo que impide calificar su conducta como negligente en grado grave. Este tipo de estafas, conocidas como phishing, son difíciles de detectar incluso para usuarios diligentes. La Sala subraya que no se puede trasladar automáticamente la responsabilidad al cliente cuando el engaño es inducido por delincuentes con conocimientos técnicos avanzados.

Deficiencias en el sistema antifraude del banco

El tribunal también tuvo en cuenta que la clienta no fue quien proporcionó el segundo código de autenticación necesario para realizar las operaciones. Este fue introducido por el defraudador, que previamente había sustituido el número de teléfono vinculado a la cuenta bancaria. Además, las operaciones realizadas no se correspondían con el patrón habitual de movimientos de la usuaria.

La sentencia concluye que la entidad bancaria no activó los mecanismos de control interno que podrían haber detectado estas anomalías, lo que constituye una falta de diligencia en la prestación del servicio. Por tanto, el banco debe asumir las consecuencias del fraude al no haber garantizado adecuadamente la seguridad del sistema de pagos.

Sentencia AP de Cáceres, nº 436/2025, de 22 de mayo.