Un juzgado de Bilbao da la razón a la víctima de un ciberataque y condena a Banco Santander a devolver 1.923 euros

“Muchas veces las personas renuncian a reclamar porque piensan que el banco no se va a hacer responsable, pero si no ha habido negligencia por parte del cliente, el banco debe devolver el dinero”, explica el abogado de la afectada, Jon Ortiz Larruzea
— Guardar los mensajes, bloquear al agresor y denunciar: cómo enfrentarse al ciberacoso, que afecta más a las mujeres

La Audiencia Provincial de Bizkaia EFE/ Miguel Toña

Bilbao — 3 de junio de 2025 21:45 h

Seguir al autor/a

El Juzgado de Primera Instancia n.º 12 de Bilbao ha condenado al Banco Santander a reembolsar 1.923,67 euros a una usuaria afectada por un cargo no autorizado en su tarjeta, fruto de una operación fraudulenta. El fallo, que data del 20 de mayo de 2025, establece que no hubo negligencia por parte de la clienta, y que la entidad bancaria no logró probar lo contrario. La afectada es una vecina de la capital vizcaína que detectó en 2021 un cargo por la compra de criptomonedas que nunca había autorizado. Reclamó sin éxito la devolución del importe a la entidad bancaria, que alegó que la mujer autorizó dicha compra, ya que se había realizado utilizando su sistema de autenticación reforzada (3D Secure), que requiere un PIN y un código enviado por SMS, por lo que decidió ir a juicio. En una sentencia que supone un precedente en este tipo de estafas, el juez consideró que esto no prueba de forma automática que la operación fuera autorizada por la usuaria, ni que esta actuara con negligencia.

“La sentencia subraya que la entidad no aportó dictamen pericial alguno, ni fue capaz de acreditar en qué momento se comprometieron los datos ni desde qué dispositivo se ejecutó la transacción. Muchas veces las personas renuncian a reclamar porque piensan que el banco no se va a hacer responsable. Pero la ley está de su parte, y esta sentencia lo deja aún más claro. Si no ha habido negligencia por parte del cliente, el banco debe devolver el dinero”, explica el abogado de la afectada, Jon Ortiz Larruzea de Erreklamatu, despacho especializado en reclamaciones aéreas y bancarias, desde donde emprendió una acción judicial para recuperar su dinero.

Según sostiene el abogado, el Tribunal Supremo ratifica que los bancos son responsables de las operaciones no autorizadas si no logran acreditar que el cliente actuó con dolo o negligencia grave. “Que se haya utilizado la clave correcta o que el sistema de autenticación sea válido no significa que el cliente consintiera la operación. El consentimiento debe ser claro, expreso y consciente. Si el usuario niega haber autorizado la transferencia, es el banco quien debe demostrar lo contrario. El Tribunal Supremo estableció que los sistemas de seguridad no solo deben existir, sino funcionar eficazmente y prevenir operaciones sospechosas. Si no lo hacen, el banco incurre en una prestación defectuosa del servicio. Además, el Supremo advierte que las cláusulas contractuales que pretenden eximir de responsabilidad a las entidades financieras carecen de validez si contradicen la normativa vigente”, defiende.

Ortiz Larruzea insiste en que los consumidores tienen derecho a recuperar su dinero si han actuado con diligencia y han notificado el fraude sin demora. “Y lo más importante: no deben asumir la carga de la prueba. Es la entidad quien tiene que demostrar que no falló ni su sistema ni su deber de vigilancia”, asegura tras recalcar que “es clave que quienes hayan sido víctimas de fraudes digitales reclamen y cuenten con respaldo jurídico especializado, porque la ley y los tribunales están cada vez más del lado de los usuarios”.

El Banco Santander no ha querido realizar declaraciones a este periódico acerca de este caso en concreto, pero recuerda que cuentan con un equipo que se dedica a investigar el 'phishing' y otros ciberataques. “Los correos de phishing que intentan engañarte están entre nosotros a diario. Algunos tienen faltas de ortografía, logotipos de otro color o mensajes difíciles de entender, pero muchos otros están tan bien hechos que requieren de más atención. ¿Te llega un e-mail, mensaje de texto (SMS) o comunicación sospechosa haciéndose pasar por Banco Santander? Reenvíalo a reportphishing@gruposantander.com y nos encargaremos de investigarlo”, sostiene la entidad bancaria.

Desde la Cyberzaintza, la Agencia Vasca de Ciberseguridad, explican que la mejor manera de defenderse de este tipo de estafas es “la precaución al utilizar los medios digitales”. “En definitiva, tener cuidado con cualquier correo electrónico, SMS o mensaje instantáneo (como WhatsApp, Telegram, Twitter, Instagram…) desconfiando de mensajes que procedan de orígenes desconocidos y tratando siempre de evitar ser víctimas de cualquier tipo de ingeniería social que nos pueda llevar a caer en las redes de los ciberdelincuentes. Por otra parte, es muy importante recalcar que una vez haya ocurrido o hayamos identificado una posible estafa, debemos denunciarlos a la mayor brevedad a los organismos competentes para que tomen las medidas oportunas y puedan combatir dicha estafa. En Euskadi contamos con la Unidad de Investigación Criminal y Policía Judicial de la Ertzaintza- Sección Central de Delitos en Tecnologías de la Información (SCDTI)”, apuntan.

Para evitar que este tipo de estafas ocurran, la Cyberzaintza aconseja prestar especial atención al remitente de los emails recibidos, evitar abrir los documentos y archivos adjuntos en los correos electrónicos que se reciben si no se conoce el remitente y no descargar e instalar aplicaciones no oficiales. Una vez que el usuario se da cuenta o sospecha que ha sido víctima de una estafa, comunicar a las entidades bancarias esta circunstancia y denunciar la estafa a la Policía. “Se recomienda que el sistema operativo y las aplicaciones estén correctamente actualizados, así como cambiar periódicamente las contraseñas y no utilizar una única para todo. Además, se debe implementar el doble factor de autenticación cuando sea posible, disponer de un antivirus y firewall activos y no olvidar cerrar la sesión al terminar”, aconsejan.

“En los últimos tiempos, una ciberestafa muy extendida es el envío de un SMS que finge ser de Correos. El mensaje nos avisa de que tenemos un paquete en camino y para poder recibirlo debemos realizar un pago o facilitar la dirección de entrega a través de un enlace. Si pinchamos en él, pueden acceder a nuestro dispositivo, robarnos ciertos datos y empezar a cobrarnos importes en nuestro banco. Debemos tener mucho cuidado con ese tipo de mensajes, pensar si estamos esperando realmente un envío o si estamos suscritos a algún servicio. En caso contrario debemos ignorarlo y siempre tener en cuenta que Correos nunca solicita datos personales, bancarios o movimientos económicos por correo electrónico o mensaje de texto”, alertan.