La litigiosidad en materia de fraude digital está entrando en una fase de madurez. Tras un periodo en el que la responsabilidad cuasi objetiva del proveedor de servicios de pago se aplicó con una inercia automática, comienza a consolidarse una lectura algo más técnica y equilibrada del sistema diseñado por el Real Decreto-ley 19/2018. Si bien la obligación de reintegro existe, ésta no convierte a la entidad bancaria en aseguradora universal frente a cualquier modalidad de ingeniería social. El verdadero debate, cada vez con mayor nitidez, gira en torno al alcance del deber de custodia del usuario y a la ruptura del nexo causal cuando es este quien facilita activamente los elementos de seguridad.
Esta línea de pensamiento no es nueva; ya en febrero de 2023, en nuestro artículo “Phishing y otros fraudes bancarios: no es oro todo lo que reluce”, advertíamos que la jurisprudencia comenzaría a poner coto al desmán interpretativo que penalizaba sistemáticamente a la banca. En aquel análisis destacábamos resoluciones de distintas Audiencias Provinciales que situaban la falta de diligencia del usuario en el centro del debate, afirmando que no podía imputarse a la entidad financiera el resultado dañoso cuando este trae causa directa de una conducta errática en la custodia de claves, dispositivos o códigos de verificación.
En este sentido, la Sentencia del Tribunal Supremo 571/2025 dictada el pasado 9 de abril, pese a su marcado sesgo protector y a la amplitud con la que extiende el concepto de “prestación defectuosa del servicio”, también ha contribuido a reforzar el marco conceptual al recordar que la responsabilidad del banco puede ceder cuando se acredita fraude o negligencia grave del ordenante. Pero lo verdaderamente relevante no es la reiteración de la norma, sino el enfoque: cuando la operación ha sido correctamente autenticada conforme a los estándares de la PSD2 y no se detecta fallo técnico alguno, el centro de gravedad del litigio se desplaza inevitablemente hacia la esfera de control del cliente, por ser quien recibe en su terminal los códigos de un solo uso, quien conoce su contenido y quien decide introducirlos.
La práctica doctrina que emana de nuestras Audiencias Provinciales está reflejando esta transición sin necesidad de proclamas grandilocuentes. Así, se aprecia negligencia grave cuando el usuario, tras recibir advertencias expresas sobre la instalación de aplicaciones o la ejecución de operaciones concretas, facilita uno a uno los códigos OTP necesarios para autorizarlas. Esto es lo que ha sucedido en una resolución reciente de la Audiencia Provincial de Pontevedra, en su Sentencia núm. 437/2025, de 19 de septiembre, que exoneró de responsabilidad a la entidad bancaria. En tales supuestos, el engaño inicial puede ser sofisticado, pero la conducta posterior del cliente rompe la presunción de ajenidad absoluta respecto del resultado.
En otros casos, como ha señalado la Audiencia Provincial de Cantabria en la reciente Sentencia núm. 707/2025, de 15 de diciembre, la clave no radica tanto en la pericia técnica del banco como en la insuficiencia probatoria del actor. La falta de aportación de los mensajes supuestamente recibidos, la eliminación del contenido del dispositivo o las contradicciones entre la denuncia policial y la demanda judicial impiden reconstruir la dinámica del fraude con el rigor exigible. La notoriedad social del phishing no exonera de la carga de acreditar el caso concreto; cada reclamación, como es evidente en derecho, requiere prueba individualizada.
Ello no significa desconocer que existen escenarios en los que la entidad debe responder. Cuando se constatan fallos objetivos en la monitorización, incoherencias en la aplicación de límites contractuales o déficits en la activación de alertas, la tesis exoneratoria pierde sustento. Precisamente por ello, la defensa eficaz no puede limitarse a invocar la diligencia del “comerciante experto”, sino que debe demostrarla con trazabilidad completa de la autenticación reforzada y coherencia entre los protocolos internos y la operativa real.
A este escenario se suma la dimensión temporal perfilada por la Sentencia dictada el 1 de agosto de 2025 por el Tribunal de Justicia de la Unión Europea (TJUE), en el asunto C-665/23, Veracash, que exige no solo el respeto del plazo máximo de trece meses, sino también la comunicación sin tardanza injustificada desde que el usuario tuvo conocimiento del cargo. Esta doctrina introduce un elemento de responsabilidad activa del cliente que no puede ignorarse en supuestos de pasividad prolongada o de operaciones sucesivas notificadas en tiempo real.
En definitiva, la arquitectura normativa del Real Decreto-ley 19/2018 contiene un equilibrio interno que los tribunales están empezando a aplicar con precisión. La diligencia exigible a la entidad se agota en la provisión de un sistema técnico robusto y conforme a los estándares de autenticación reforzada; no puede extenderse hasta cubrir la entrega consciente de códigos personales en contextos objetivamente sospechosos. Cuando la operación ha sido correctamente autenticada y la pérdida se produce por una infracción patente del deber de custodia del usuario, la ruptura del nexo causal bajo la lógica del artículo 1101 del Código Civil no solo es defendible, sino jurídicamente coherente. Ese es hoy, a nuestro juicio, el espacio estratégico que una sólida defensa jurídica debe ocupar en estos casos.
ARTICULOS RELACIONADOS
