Comentario jurídico a la STS 571/2025, de 9 de abril, sobre un caso de SIM swapping y operaciones de pago sin consentimiento del cliente
Por Luis Ferrer Abogado – www.luisferrer.abogado
Introducción
La Sentencia del Tribunal Supremo 571/2025, de 9 de abril, marca un importante hito en la consolidación de la doctrina sobre la responsabilidad de las entidades bancarias frente a fraudes digitales, especialmente en el contexto de operaciones de pago no autorizadas realizadas mediante técnicas como el SIM swapping. El fallo reitera que la entidad bancaria debe asumir el riesgo derivado de su actividad y responder frente al cliente, salvo prueba de fraude o negligencia grave por parte de este.
1️⃣ El caso: acceso fraudulento a través de SIM duplicada
El demandante sufrió la sustracción de más de 83.000 euros en apenas 24 horas, mediante operaciones realizadas a través de banca electrónica y Bizum, tras haberse duplicado su tarjeta SIM. La entidad bancaria alegó haber cumplido con la autenticación reforzada mediante códigos enviados por SMS y negó responsabilidad.
Sin embargo, el cliente había comunicado anomalías y accesos sospechosos previamente, sin que el banco adoptara medidas de refuerzo. Esta omisión preventiva resultó determinante en el razonamiento del Tribunal.
2️⃣ Responsabilidad del banco: carácter cuasi objetivo
La Sala Primera del Tribunal Supremo reafirma que:
✅ El banco es responsable por las operaciones no autorizadas, salvo que pruebe la existencia de fraude o negligencia grave del cliente (arts. 44 y 45 RDL 19/2018).
✅ La simple utilización de las credenciales correctas no basta para considerar válidamente autorizada la operación si el cliente niega haberla consentido.
✅ Se impone al proveedor de servicios de pago una carga probatoria reforzada, tanto sobre la ejecución correcta como sobre la ausencia de fallos o negligencia.
📌 La sentencia subraya que el sistema de verificación por SMS es vulnerable a técnicas como el SIM swapping, y que el banco debió haber reaccionado ante los avisos de alerta.
3️⃣ Conducta del cliente: no se acreditó negligencia grave
El banco alegaba que el cliente había sido descuidado con sus dispositivos, claves o alertas, imputándole negligencia. No obstante, el Tribunal considera que:
🔹 El usuario adoptó medidas razonables de protección.
🔹 Comunicó al banco varias incidencias previas a las operaciones fraudulentas.
🔹 No se ha acreditado que su conducta facilitara el fraude de manera dolosa o gravemente negligente.
En consecuencia, no se rompe el nexo de responsabilidad de la entidad financiera, que sigue obligada a reembolsar las cantidades sustraídas.
4️⃣ Claves de la decisión: equilibrio y protección al usuario
La sentencia refuerza un principio fundamental en el derecho de los servicios de pago:
👉 El consumidor debe estar protegido frente a fraudes tecnológicos que no está en condiciones de prevenir o controlar.
Además:
- La autenticación técnica no es sinónimo de consentimiento válido.
- El incumplimiento de los deberes de seguridad y reacción del banco agrava su responsabilidad.
- El banco no puede trasladar el riesgo al cliente si existen fallos en sus propios sistemas o protocolos de prevención.
Conclusión
La STS 571/2025 fortalece la doctrina que impone a las entidades bancarias una responsabilidad cuasi objetiva en materia de operaciones no autorizadas, destacando su deber de vigilancia activa, prevención y reacción inmediata ante indicios de fraude digital.
Desde Luis Ferrer Abogado, consideramos que este fallo constituye un precedente clave para proteger a los usuarios bancarios frente a fraudes tecnológicos y para exigir a las entidades una mayor diligencia y robustez en sus sistemas de seguridad.
📍 Consulta profesional en fraudes bancarios, responsabilidad contractual y operaciones no autorizadas en www.luisferrer.abogado.