Un juzgado de Bilbo ha dado la razón a una víctima de phishing y ha condenado al Banco Santander a devolverle 1.923 euros que le fueron sustraídos de su cuenta para comprar criptomonedas mediante el empleo de su tarjeta de crédito.

La sentencia del Juzgado de Primera Instancia número 12 de Bilbo considera que el banco no logró demostrar que la víctima actuara con negligencia, como alegó, al argumentar el uso de autenticación reforzada.

La resolución judicial, fechada el 20 de mayo de 2025, recuerda que el 9 de octubre de 2021 se efectuó una operación de adquisición de criptomonedas con la tarjeta de crédito de esta mujer, residente en una localidad vizcaina. Esta negó haberla autorizado, pero el banco le atribuyó la responsabilidad de la operación.

Tras reclamar sin éxito la devolución del importe a su entidad, acudió al despacho especializado en reclamaciones aéreas y bancarias Erreklamatu, que emprendió acciones judiciales para recuperar su dinero.

Sistema de autentificación

El banco argumentó en el juicio que la operación se había realizado utilizando su sistema de autenticación reforzada (3D Secure), que requiere un PIN y un código enviado por SMS. Sin embargo, el juez consideró que esto no prueba de forma automática que la operación fuera autorizada por la usuaria, ni que esta actuara con negligencia.

La sentencia subraya que la entidad no aportó dictamen pericial alguno, ni fue capaz de acreditar en qué momento se comprometieron los datos ni desde qué dispositivo se ejecutó la transacción, carga probatoria que recae en el banco.

El magistrado recordó que la normativa actual (Real Decreto-ley 19/2018 y la Directiva UE 2015/2366) obliga a las entidades financieras a demostrar que el cliente actuó con dolo o negligencia grave para no asumir la responsabilidad. En ausencia de esas pruebas, determina que se debe reintegrar el importe detraído.

Además del reembolso, el banco deberá abonar los intereses legales desde la fecha del cargo y asumir las costas procesales, al haber sido desestimadas todas sus pretensiones.

Necesidad del consentimiento

La defensa de la víctima ha defendido que «el consentimiento» de la víctima para la operación que se realizó con su tarjeta «debe ser claro, expreso y consciente». «Si el usuario niega haber autorizado la transferencia, es el banco quien debe demostrar lo contrario», ha destacado.

Una sentencia del Tribunal Supremo estableció que los sistemas de seguridad no solo deben existir, sino funcionar eficazmente y prevenir operaciones sospechosas. Si no lo hacen, el banco incurre en una prestación defectuosa del servicio.

Además, el Supremo advirtió de que las cláusulas contractuales que pretenden eximir de responsabilidad a las entidades financieras carecen de validez si contradicen la normativa vigente.