La Organización de Consumidores y Usuarios (OCU) ha manifestado este miércoles su satisfacción por una reciente sentencia del Tribunal Supremo que dictamina que “los bancos deberán reponer el dinero sustraído por phishing”, una noticia alentadora para las víctimas de esta estafa, incluyendo algún vecino de Ceuta.
De acuerdo con lo explicado por la OCU en función de lo señalado por el Tribunal Supremo, “esta devolución corresponde a la entidad bancaria, salvo que pueda probar que hubo negligencia grave del cliente”.
“La sentencia advierte que las buenas prácticas bancarias exigen la activación de los sistemas capaces de detectar actividades sospechosas, así como de bloquear o verificar operaciones de alto riesgo”, destacan.
El caso que dio pie a la decisión
En una comunicación publicada este miércoles, la Organización de Consumidores y Usuarios se ha hecho eco de que el Tribunal Supremo, “por sentencia del 9 de abril, ratifica el fallo en primera instancia de una sentencia que daba la razón a un cliente de Ibercaja que reclamaba el reembolso de más de 83.000 euros que habían retirado de su cuenta y con su tarjeta, sin haberlo autorizado en ningún momento”.
Al respecto, recuerdan sobre este caso que “a pesar de que el cliente prestó la diligencia debida, la entidad bancaria rechazó devolverle cantidad alguna”. Sin embargo, “ahora el alto tribunal obliga a la entidad bancaria a reponer de forma inmediata el dinero sustraído”.
Salvo pruebas de negligencia grave
En este sentido, la OCU explica que “el Tribunal Supremo advierte que las entidades bancarias deberán reponer el dinero sustraído por phishing en cuanto tengan conocimiento del mismo, salvo que puedan probar negligencia grave por parte del cliente”.
Para ampliar la información, detallan que “el consentimiento no se entiende prestado por el solo hecho de que la operación de pago se haya realizado mediante la utilización de las claves personales, sino que es necesario que provenga del usuario o, en caso de que éste niegue su intervención, que se acredite fraude, incumplimiento deliberado o, al menos, negligencia grave por parte del usuario, cuya prueba recae sobre la entidad bancaria”.
¿Víctima de phishing? El banco debe reponer el dinero sustraído.
📢Según el Tribunal Supremo, esta devolución corresponde a la entidad bancaria, salvo que pueda probar que hubo negligencia grave del cliente.https://t.co/sRBir7jSKn
— OCU (@consumidores) May 7, 2025
De acuerdo con la OCU, “el alto tribunal señala que las buenas prácticas bancarias exigen la activación de los sistemas capaces de detectar actividades sospechosas, así como de bloquear o verificar operaciones de alto riesgo”, añadiendo que “la filtración o el conocimiento de las claves por el tercero no sea imputable a la entidad bancaria tampoco la libera de la obligación de responder ni traslada al usuario la obligación de soportar las pérdidas”.
Asimismo, se habla de que “la entidad bancaria acredite que la operación fue autenticada, registrada con exactitud y contabilizada, no es suficiente para eximirle de responsabilidad”.
¿Qué hacer si el bando se niega a la devolución?
En caso de que la entidad bancaria no esté dispuesta a reembolsar el dinero sustraído, Organización de Consumidores y Usuarios aconseja reclamar judicialmente, recalcando que “el Tribunal Supremo da la razón a los usuarios y por tanto, ningún pago realizado bajo los efectos de un engaño podrá ser considerado como autorizado y deberá ser reembolsado de forma automática”.
La organización de consumidores pone a disposición de los posibles afectados su plataforma contra el phishing y otros fraudes bancarios, donde entre otras cosas se facilita un modelo dirigido a la entidad financiera para solicitar el reembolso del dinero sustraído.
¿Qué es el phishing?
De acuerdo con lo que explica la OCU, "este término proviene de la palabra en inglés 'fishing' que significa pesca. Aplicado a la infórmatica, el phishing es una técnica de engaño que utilizan los piratas informáticos para 'pescar' nuestros datos personales y bancarios a través de un engaño".
