Sentencia AP de Cáceres, nº 436/2025, de 22 de mayo.

Una clienta víctima de fraude digital recupera su dinero

La Audiencia Provincial de Cáceres ha condenado al Banco Santander a devolver 4.587,98 euros a una clienta que sufrió un fraude digital durante el confinamiento por la pandemia. La sentencia considera que la usuaria no actuó con negligencia grave, por lo que el banco debe asumir la responsabilidad de las operaciones no autorizadas en su cuenta.

El caso se remonta a la recepción por parte de la clienta de dos correos electrónicos aparentemente legítimos, en los que se le informaba de un supuesto bloqueo de su cuenta. Accedió al enlace incluido, que la llevó a una página que replicaba la web oficial del banco. Tras introducir sus datos de acceso, comenzaron a ejecutarse dos operaciones de envío de dinero por un importe total de 4.587,98 euros. La clienta fue alertada por SMS de un cambio en el número de teléfono vinculado a su cuenta, y al revisar su banca online descubrió las transferencias.

El tribunal descarta negligencia por parte de la clienta

La entidad bancaria sostuvo que la clienta incumplió su deber de custodia de las claves de acceso, incurriendo en una conducta negligente. Sin embargo, el tribunal rechazó este argumento. Citando la Directiva (UE) 2015/2366 sobre servicios de pago, el fallo precisa que la negligencia grave no puede deducirse del hecho de haber sido víctima de un engaño bien diseñado por parte de delincuentes profesionales.

Según la resolución, la conducta de la clienta —clicar en un enlace fraudulento con apariencia verosímil— es compartida por muchos usuarios ante contextos similares. Por tanto, no se le puede exigir una conducta infalible, especialmente cuando el fraude emplea métodos sofisticados difíciles de detectar.

Falta de controles internos del banco

Un punto clave del fallo es que la segunda clave de verificación de la operación no fue facilitada por la clienta, sino por el propio defraudador, que había logrado cambiar previamente el número de teléfono vinculado a la cuenta. Esta alteración no fue detectada por los sistemas de seguridad del banco, lo que, según el tribunal, evidencia una deficiencia en las medidas antifraude implementadas por la entidad.

Además, se señala que los cargos realizados eran de cuantía significativa y no coincidían con el patrón habitual de uso de la cuenta, otro indicador que debió haber activado mecanismos de prevención por parte del banco. Al no reaccionar ante estos indicios, el tribunal concluye que el banco incumplió su deber de vigilancia y debe asumir las consecuencias.

Implicaciones jurídicas de la resolución

La sentencia refuerza la responsabilidad de las entidades financieras en la protección de los datos y activos de sus clientes, especialmente ante un contexto creciente de fraudes digitales. Se reafirma el criterio de que, salvo que se pruebe negligencia grave o dolo por parte del cliente, el banco debe responder por las operaciones no autorizadas.