Los ciberdelincuentes cada vez emplean técnicas más sofisticadas. No solo se hacen pasar por quienes no son, sino que también imitan y suplantan los canales habituales de contacto de los bancos.
Índice de Contenidos
Vamos a detenernos primeramente en los conceptos:
¿Qué es el smishing?
►El SMISHING es el envío de un SMS a tu móvil simulando ser tu banco con el objetivo de robarte información privada o hacerte un cargo económico, generalmente adjuntado un enlace a una página fraudulenta.
En ocasiones y para crear más confusión estos SMS aparezcan en la misma sección donde con anterioridad habían llegado otros SMS reales de la entidad como los que te envían para las autorizaciones de pagos.
Así pues, se reemplaza por los ciberdelincuentes el número de teléfono móvil desde el que se envía un mensaje por un texto alfanumérico que supone que es su propio banco para que el consumidor, cuando lo reciba, no desconfíe y realice la operación indicada.
¿Qué es el sms spoofing?
► Esta técnica se suele realizar a través de diversas páginas web y aplicaciones móviles que permiten enviar SMS desde una fuente desconocida suplantado la identidad de su banco con relativa facilidad y se conoce como SMS SPOOFING.
►La suplantación de identidad telefónica (caller ID spoofing) consiste en que identificador de llamadas muestre un número de teléfono diferente al del teléfono desde el cual se realizó la llamada. En este caso el ataque se dirige a los números de atención telefónica de la entidad.
¿Tiene responsabilidad la entidad bancaria en estos casos?
Hay que estudiar el caso concreto pero la jurisprudencia viene reconociendo la responsabilidad de las entidades bancarias en estos casos.
Nuestra propia Sección Sexta de la Audiencia Provincial de Pontevedra se ha pronunciado favorablemente hacia el consumidor en un caso de SPOOFING, en concreto la Sentencia 186/2025 de 21 de febrero del 2025 que entre otros razonamientos recoge:
“… “El marco normativo que sirvepara dar respuesta a la controversia se contiene en la actualidad en el Real Decreto-ley 19/2018, de 23 de noviembre (EDL 2018/127163) ,de servicios de pago y otras medidas urgentes en materia financiera, recogen las obligaciones esenciales que incumben al usuario de servicios de pago y a las entidades que los prestan…”
y se destaca:
“…Fuera de esos supuestos -ausencia de comunicación en tiempo de las operaciones, actuación fraudulenta del usuario, o negligencia grave- la proveedora del servicio está obligada a realizar la rectificación del cargo (art 43.1) y devolución del importe (art. 45.1), bajo la premisa de que, ante la negación por el usuario de haber autorizado la operación o la afirmación de que la misma fue realizada de manera incorrecta, corresponde a aquella (art. 44.1º) ”demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado.. ”, al igual que tiene la carga de acreditar (art. 44.3º) ”que el usuario del servicio de pago cometió fraude o negligencia grave”, sin que, a la par, el registro de la utilización del instrumento por el proveedor baste por si solo y necesariamente para demostrar que ”la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave una o varias de sus obligaciones..” (art. 44.2º)
Y esa responsabilidad se acentúa aún más cuando el proveedor no exige ”autenticación reforzada” del cliente, supuesto en que éste último únicamente responde de haber actuado de forma fraudulenta (art. 46.2)…”.
¿Existe negligencia grave del consumidor? ¿Quién tiene que probarlo?
La jurisprudencia cada vez es más favorable a que cuando se utilizan este tipo de técnicas no existe negligencia grave del consumidor y que en todo caso, la carga de la prueba la tiene la entidad bancaria.
En este sentido, en la misma Sentencia dictada por la Audiencia Provincial de Pontevedra mencionada anteriormente resaltamos:
“…Concurren, además, otros datos que apuntan a la responsabilidad de la demandada en lo sucedido. Meses antes del 11 de enero de 2022, el Banco de España se había hecho eco de esta clase de delitos, informando de las nuevas modalidades de smishing y spoofing. Y, sin embargo, la demandada no adoptó las técnicas o medidas de seguridad que fueran suficientes para evitar que se produjeran esta clase de fraudes en su ámbito de actuación, al menos hasta que sucedieron los hechos controvertidos, como lo demuestra que siguieran teniendo lugar. El informe pericial aportado con la demanda corrobora estos extremos .
Incluso las particularidades del caso (transferencias con carácter inmediato, por importe de relativa importancia, desde un nuevo dispositivo que acaba de vincularse a la banca digital, a favor de una financiera extranjera de dinero electrónico), tan poco usuales en la práctica, debían haber permitido al Banco detectar que se estaba ante un posible fraude.
En este contexto difícilmente puede atribuirse la calificación de negligencia grave al actuar del demandante..”
¿Se ha pronunciado ya el tribunal supremo?
► La Sala Primera del Tribunal Supremo, en la reciente y relevante Sentencia núm. 571/2025, de 9 de abril de 2025, ha establecido una línea jurisprudencial clara: corresponde a la entidad financiera la carga de justificar la existencia de una negligencia grave del usuario cuando éste afirma haber sido víctima de una técnica de suplantación (phishing/sim swapping/smishing/vishing) y, salvo que la entidad pruebe la culpa grave del cliente, procede la restitución de las cantidades sustraídas.
