La Sección Primera de la Audiencia Provincial ha condenado a Banco Sabadell a reintegrar 5.000 euros a un vecino de Cuenca que fue víctima de phishing, una técnica de ciberdelincuencia basada en la suplantación de identidad que en este caso se realizó vía llamada telefónica para que autorizase una serie de operaciones con sus claves con el fin de obtener dinero. La Audiencia ha impuesto esta condena a la entidad bancaria al considerar que el perjudicado no actuó con negligencia grave y que la entidad debe asumir la responsabilidad conforme a la normativa de servicios de pago. La sentencia, dictada el 20 de enero de 2026, revoca la resolución previa del Juzgado de Primera Instancia nº 2 de Cuenca, que había desestimado la demanda del afectado dando la razón a la entidad bancaria.
Una llamada que parecía real
Los hechos se remontan al 11 de septiembre de 2023, cuando el cliente recibió una llamada desde un número que aparecía como perteneciente al banco. Su interlocutor se identificó como miembro del servicio de ciberseguridad y le alertó de una supuesta transferencia fraudulenta de 5.000 euros para la compra de un vehículo en Murcia. El estafador facilitó datos personales del cliente, lo que reforzó la apariencia de veracidad. Siguiendo las instrucciones recibidas para «anular» la operación, el usuario introdujo las claves y códigos que le fueron solicitados a partir de un SMS que acababa de recibir en su móvil, creyendo que estaba bloqueando un cargo indebido. Siguiendo las instrucciones, el afectado proporcionó el código, lo que permitió ejecutar la transferencia real.
Al percatarse de lo ocurrido, intentó contactar de inmediato con el servicio de atención al cliente 24 horas de la entidad. Sin embargo, según consta en la sentencia, durante la tarde y noche del lunes no logró hablar con ningún operador, recibiendo únicamente respuestas automatizadas. No fue hasta las 08:15 horas del día siguiente cuando consiguió atención telefónica y se procedió al bloqueo de la banca online. Para entonces, la transferencia ya se había hecho efectiva y no pudo ser revertida.
El cliente presentó denuncia y reclamó al banco la devolución del importe, invocando la normativa de servicios de pago. Banco Sabadell rechazó devolver el dinero al considerar que la operación había sido correctamente autenticada, ya que se utilizaron las claves personales del cliente y el código de verificación enviado por SMS. En primera instancia, el juzgado entendió que, al haber introducido el cliente sus credenciales personales —usuario, contraseña y códigos de verificación— ello implicaba consentimiento válido y la operación debía considerarse autorizada.
La Audiencia aplica la normativa europea y señala la responsabilidad de la entidad financiera
No obstante, la Audiencia Provincial ha corregido ese criterio. En su sentencia realiza un extenso análisis del Real Decreto-ley 19/2018, que regula los servicios de pago y transpone la directiva europea PSD2, así como de la jurisprudencia del Tribunal de Justicia de la Unión Europea y del Tribunal Supremo. El tribunal recuerda que el sistema legal vigente establece una responsabilidad “cuasi objetiva” para las entidades financieras en casos de operaciones no autorizadas. Esto significa que, una vez que el cliente comunica sin demora una operación que niega haber autorizado, el banco debe devolver el importe de inmediato, salvo que pruebe que hubo fraude o negligencia grave por parte del usuario.
La entidad financiera era quien debía demostrar en el juicio que actuó correctamente según dicta la ley, no bastaba con acreditar que la operación fue autenticada técnicamente, pues esto únicamente demostraba que la operación fue validada técnicamente (es decir, que el sistema reconoció las claves correctas), pero no se probaba así necesariamente que el cliente quisiera hacer la transferencia. De este modo, para no proceder a la devolución del dinero el banco debía probar que el cliente actuó con fraude o con negligencia grave, que no hubo ningún fallo técnico en su sistema y que no hubo ninguna deficiencia en el servicio (por ejemplo, falta de controles ante una operación sospechosa).
La Audiencia ha reconocido que pudo existir un exceso de confianza por parte del cliente, pero ha descartado que su conducta alcance el nivel de negligencia grave necesario para exonerar al banco. En la sentencia se subraya que no se trató de un engaño burdo, sino de una acción fraudulenta suficientemente elaborada como para superar las cautelas de un consumidor medio. Además, el afectado notificó el fraude de manera inmediata, aunque no obtuvo respuesta efectiva el mismo día.
Por ello, la Audiencia ha concluido que debe ser la entidad financiera quien asuma las consecuencias del fraude. El fallo ha estimado íntegramente la demanda y ha condenado a Banco Sabadell a abonar al cliente los 5.000 euros más los intereses legales desde el 11 de septiembre de 2023. También ha impuesto las costas procesales de ambas instancias a la entidad bancaria.
