¿Quién debe asumir las consecuencias económicas, -el cliente o el banco-, en el caso de operaciones aparentemente válidas y auténticas que resultan no serlo ya que no fueron realizadas ni autorizadas por el primero?
Es decir, ¿qué ocurre si un tercero ha utilizado las credenciales del usuario obtenidas por cualquier medio, generalmente técnico, suplantando su identidad y accediendo a su cuenta sin su consentimiento? ¿El banco ha de reembolsar la cantidad en la cuenta del cliente? ¿Es responsable el banco?
En estos supuestos las entidades bancarias suelen rechazar su responsabilidad sobre la base de que el sistema no ha detectado ninguna anomalía al haberse introducido el usuario y la contraseña correctas; o de que el cliente no ha observado la diligencia debida en el cuidado y protección de estas claves o contraseñas; o de que no ha avisado al proveedor del servicio de pago de alguna anomalía.
La normativa para responder a esta cuestión está recogida en la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior; el Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, por el que se complementa la anterior Directiva en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros; y por el Real Decreto Ley 19/2018, de 23 de noviembre, de servicios y pago y otras medidas urgentes en materia financiera (que transpone al ordenamiento jurídico español la señalada Directiva europea).
La Sala Primera del Tribunal Supremo, en su Sentencia n.º 571/2025, de 9 de abril, resolvió afirmativamente la cuestión, apreciando responsabilidad en la entidad bancaria. Así, en su Fundamento de Derecho Segundo, razonó: “La responsabilidad del proveedor de los servicios de pago, en los casos de operaciones no autorizadas o ejecutadas incorrectamente, tiene carácter cuasi objetivo, en el doble sentido de que, primero, notificada la existencia de una operación no autorizada o ejecutada incorrectamente, el proveedor debe responder salvo que acredite la existencia de fraude; y, segundo, cuando el usuario niegue haber autorizado la operación o alegue que esta se ejecutó incorrectamente, corresponde al proveedor acreditar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio, sin que el simple registro de la operación baste para demostrar que fue autorizada ni que el usuario ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave.”
En base a ello, la Sala Primera del Tribunal Supremo desestimó el recurso de casación promovido por el banco, confirmando la Sentencia dictada por la Audiencia Provincial que a su vez había confirmado la sentencia dictada en Primera Instancia, en la que se condenó a la entidad bancaria demandada a indemnizar los daños y perjuicios causados a su cliente, consistentes en el importe de las transferencias fraudulentas.
