La Audiencia Provincial de Cantabria resuelve que la entidad bancaria es responsable de restituir el importe transferido en un supuesto de fraude electrónico mediante SMS. El caso se centra en la vinculación fraudulenta de un nuevo dispositivo a la cuenta de una consumidora y la posterior transferencia no autorizada a otra entidad.

La afectada recibió dos SMS que aparentaban proceder del banco. La usuaria afirma que no accedió a los enlaces incluidos y que su acceso a la cuenta se realizó únicamente a través de la banca online. Fue en ese momento cuando detectó la transferencia no consentida. De inmediato intentó anularla, pero se le comunicó que no era posible al tratarse de una transferencia inmediata.

El banco sostuvo que la clienta actuó de forma negligente, alegando que accedió al enlace o facilitó sus credenciales, ya que la operación constaba debidamente autenticada con el procedimiento de doble factor. Según la entidad, la introducción de la clave de seguridad enviada al teléfono móvil era suficiente para imputar la responsabilidad al usuario.

El Juzgado de Primera Instancia estimó la demanda de la consumidora, declarando que no existía prueba de negligencia grave ni de fraude en su actuación. Condenó al banco a la devolución íntegra de la cantidad transferida, aplicando la normativa de protección al usuario de servicios de pago.

La Audiencia Provincial confirma este criterio al analizar el RDL 19/2018, que regula la prestación de servicios de pago. La norma establece un régimen de responsabilidad cuasi objetiva del proveedor en operaciones no autorizadas. El banco solo queda liberado de restituir el importe si logra demostrar que el ordenante actuó con dolo o negligencia grave. La carga de la prueba corresponde, en consecuencia, a la entidad financiera.

El tribunal subraya que la vinculación del nuevo dispositivo y la posterior transferencia se realizaron mediante una cadena de mensajes que efectivamente procedían del banco. No obstante, los SMS no informaban con la claridad necesaria sobre la trascendencia de la operación de vinculación. Introducir la clave recibida no puede calificarse como conducta gravemente negligente, puesto que la información suministrada era ambigua y el fraude se denunció de forma inmediata.

Además, el hecho de que la operación apareciera contabilizada y autenticada no resulta suficiente para desplazar la responsabilidad hacia el usuario. El tribunal entiende que, cuando la propia configuración del sistema de seguridad permite la suplantación con cierta facilidad, el riesgo debe recaer sobre la entidad que presta el servicio y no sobre el consumidor.

En consecuencia, la responsabilidad de restitución corresponde a la entidad bancaria. La actuación diligente del usuario, la falta de advertencias claras en los mensajes y la ausencia de prueba de culpa grave consolidan la aplicación del régimen cuasi objetivo previsto en la legislación vigente.

SAP Cantabria de 30 julio de 2025. EDJ 2025/676067