En un mundo cada vez más conectado, los ciberdelincuentes perfeccionan sus técnicas. Una de las más peligrosas y que afecta directamente a las cuentas bancarias es el «SIM swapping».
La reciente Sentencia del Tribunal Supremo 571/2025 dictada el 9 de abril de 2025, ha consolidado un régimen de protección reforzada para los usuarios de servicios de pago frente al fraude por SIM swapping. Para el profesional del derecho, esta resolución es fundamental, pues delimita la responsabilidad «cuasi objetiva» de las entidades financieras y los estrictos requisitos de la negligencia grave del cliente.
El Iter fraudulento: ingeniería social y SIM swapping
El SIM swapping (o SMS swapping) es una técnica de suplantación de identidad en la que un tercero obtiene ilícitamente el control de la línea telefónica de una víctima para interceptar los mensajes SMS utilizados en la autenticación reforzada bancaria. El ataque se articula mediante técnicas de ingeniería social dirigidas a las operadoras de telecomunicaciones, fundamentadas en dos fases:
- Captación de datos mediante técnicas de desvío: El atacante utiliza el phishing (engaño al usuario mediante correos electrónicos fraudulentos ) y el smishing (engaño análogo ejecutado a través de mensajes de texto SMS) para conseguir información personal básica de la víctima (dni, domicilio, …).
- Suplantación ante la operadora: Con los datos obtenidos, el tercero solicita un duplicado de la tarjeta SIM o un cambio de titularidad de la línea, logrando que la operadora desactive la tarjeta original y le entregue el control total de las comunicaciones a él.
La delimitación jurídica de la negligencia grave
Conforme al Real Decreto-ley 19/2018 (LSP), el proveedor de servicios de pago solo queda exonerado de su obligación de reembolso si demuestra que el usuario actuó con negligencia grave. La jurisprudencia actual (SAP Asturias 83/2025; SAP Cantabria 392/2024; SAP Madrid 155/2025, entre otras) define la negligencia grave como una conducta caracterizada por un grado significativo de falta de diligencia, diferenciándola de una falta de diligencia menor o leve.
Los tribunales aprecian negligencia grave únicamente en supuestos de imprudencia manifiesta, tales como:
- Facilitar voluntariamente las credenciales de acceso, contraseñas y claves de validación a terceros.
- Introducir claves de seguridad en URLs sospechosas o que no guardan relación con la entidad bancaria.
- Ignorar advertencias de seguridad explícitas y previas enviadas por el banco sobre no compartir datos por teléfono o SMS.
- No comunicar de forma inmediata el extravío de la línea o la detección de operaciones no autorizadas.
Responsabilidad cuasi objetiva y carga de la prueba
La sentencia del Tribunal Supremo 571/2025, de 9 de abril, profundiza en el régimen de responsabilidad de las entidades bancarias ante fraudes sofisticados como el sim swapping. A continuación, se detallan los puntos clave y el razonamiento del alto tribunal basándose en el documento aportado :
1. Contexto fáctico del caso: el litigio surge tras una estafa en la que se realizaron quince transferencias no autorizadas (vía Bizum y banca electrónica) entre la noche del 17 y la mañana del 18 de marzo de 2021, por un total de 83.692,73 euros.
- Modus operandi: los delincuentes duplicaron la tarjeta sim de la esposa del titular el 17 de marzo a las 17:29 horas en un distribuidor de Murcia, sin autorización. Esto les permitió interceptar los códigos sms de verificación enviados por el banco para autorizar las operaciones.
- Advertencias previas: el cliente había informado a la sucursal semanas antes sobre la recepción de sms con códigos para transferencias que él no había solicitado y sobre accesos no autorizados a su cuenta de Google.
2. Doctrina de la responsabilidad «cuasi objetiva»: el Tribunal Supremo establece que la responsabilidad del proveedor de servicios de pago tiene un carácter cuasi objetivo. Esto implica:
- Carga de la prueba: cuando un cliente niega haber autorizado una operación, recae sobre el banco la carga de probar que la operación fue autenticada, registrada con exactitud y que no se vio afectada por un «fallo técnico u otra deficiencia del servicio».
- Insuficiencia del registro: el mero hecho de que la operación esté registrada correctamente en los sistemas informáticos no basta para demostrar que fue autorizada por el cliente ni que este actuó con negligencia.
Obligación de reembolso inmediato: ante una operación no autorizada, el banco debe devolver el dinero de inmediato (a más tardar al final del siguiente día hábil), salvo que sospeche de fraude por parte del cliente y lo comunique por escrito al Banco de España.
3. El concepto de «deficiencia del servicio»: la sentencia eleva el nivel de diligencia exigible a la entidad bancaria al de un «ordenado y experto comerciante», superando el estándar del «buen padre de familia». Se considera que hay deficiencia del servicio cuando:
- Falta de detección automática: el banco debe contar con sistemas que detecten anomalías automáticamente (por ejemplo: reiteración de transferencias, horarios inusuales de madrugada, importes elevados o destinatarios sospechosos) y generen bloqueos temporales.
- Inacción ante alertas: en este caso, el Supremo critica que, pese a las advertencias previas del cliente sobre el riesgo de seguridad en sus claves, el banco no adoptó medidas de protección inmediatas, como la modificación de los códigos de acceso.
4. Valoración de la negligencia del cliente: el tribunal es muy estricto al definir qué supone una «negligencia grave» para exonerar al banco:
- No hay negligencia en el engaño: el hecho de que un tercero acceda a las claves del usuario no supone per se negligencia grave. El Supremo señala que el robo o la interceptación de credenciales puede ocurrir sin una falta de diligencia inexcusable del cliente.
- Conducta diligente: en este caso concreto, se consideró que el cliente actuó de forma diligente al informar inmediata y reiteradamente a la entidad sobre los incidentes previos de seguridad.
5. Ineficacia de cláusulas de exoneración: la sentencia confirma que las cláusulas contractuales que pretenden eximir al banco de responsabilidad por «intromisiones ilegítimas de terceros fuera de su control» son nulas o ineficaces si contravienen el régimen legal imperativo de protección al usuario . El banco no puede eludir su responsabilidad legal mediante pactos privados que aumenten la carga de la prueba sobre el consumidor .
Gestión eficiente del expediente con Avodesk
La complejidad probatoria en casos de ciberestafa exige analizar una importante cantidad de informes de operadoras, logs bancarios y resoluciones de la AEPD. Avodesk permite a los abogados centralizar esta documentación y, a través de su agente de IA, interactuar con el expediente en lenguaje natural.
En lugar de rastrear manualmente cientos de datos, el profesional puede preguntar directamente a Avodesk: «¿Qué fecha exacta indica el log de la operadora para el duplicado de la SIM?» o «¿Existe evidencia de negligencia grave según las sentencias de la Audiencia Provincial de Asturias cargadas?». Esta capacidad de análisis automático facilita la redacción de demandas sólidas y permite al abogado centrarse en la estrategia jurídica de fondo.
(Referencia: Sentencia del Tribunal Supremo, Sala Primera de lo Civil, nº 571/2025, de 9 de abril de 2025; Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago).