“SIM swapping”: el Supremo condena a Ibercaja a devolver 56.474 euros a un cliente por no detectar operaciones anómalas

El Tribunal Supremo ha confirmado que Ibercaja Banco S.A. debe reintegrar a un cliente 56.474,63 euros sustraídos mediante un ataque de «SIM swapping», al considerar que la entidad incumplió su deber de adoptar medidas de seguridad adecuadas para detectar operaciones claramente anómalas.

La sentencia subraya que las buenas prácticas bancarias exigen la activación de sistemas automáticos capaces de identificar conductas sospechosas y bloquear o verificar operaciones de alto riesgo.

El caso y sus protagonistas

La resolución, dictada por la Sala de lo Civil del Tribunal Supremo, el 9 de abril de 2025 (sentencia nº 571/2025), compueusta por los magistrados Ignacio Sancho Gargallo, presidente, Rafael Sarazá Jimena, Pedro José Vela Torres y Manuel Almenar Belenguer, ponente, rechaza el recurso de Ibercaja contra un cliente, D. Martín, quien había sido víctima de fraude digital.

El afectado denunció que entre la noche del 17 y la mañana del 18 de marzo de 2021, se realizaron quince transferencias desde sus cuentas bancarias: diez mediante Bizum y cinco a través de Ibercaja Directo, por un total de 83.692 euros.

Todo ello tras una duplicación ilícita de la tarjeta SIM de su esposa, que permitió a los estafadores recibir los SMS de verificación y operar con sus credenciales digitales.

Qué es el «SIM swapping»

El «SIM swapping», también conocido como suplantación de tarjeta SIM, es una técnica delictiva en auge que permite a los ciberdelincuentes secuestrar el número de teléfono móvil de una víctima para acceder a sus cuentas personales, bancarias y redes sociales.

Lo logran engañando a la operadora telefónica para transferir el número a una tarjeta SIM en su poder. Una vez hecho esto, pueden interceptar mensajes SMS y códigos de verificación en dos pasos (2FA), puerta de entrada a servicios críticos.

Este tipo de fraude, basado en la ingeniería social y el acceso no autorizado, ha sido objeto de múltiples investigaciones policiales en Europa y América, y puede dar lugar a delitos de usurpación de identidad, estafa e incluso blanqueo de capitales si se utilizan cuentas bancarias sustraídas.

Para evitarlo, los expertos recomiendan no confiar únicamente en los SMS como método de autenticación, usar apps seguras de doble factor como Authy o Google Authenticator, y solicitar a la operadora un PIN de seguridad para cualquier gestión sobre la línea.

Ibercaja no activó ninguna alerta

Lo relevante de este caso, según el Alto Tribunal, es que el cliente ya había advertido semanas antes a la entidad de accesos sospechosos de SMS de verificación no solicitados y cargos extraños.

Pese a ello, Ibercaja no cambió sus claves ni reforzó los controles. Las operaciones no solo se ejecutaron con normalidad, sino que no activaron ningún protocolo de seguridad interna.

El Supremo reprocha al banco no haber activado mecanismos automáticos de detección de riesgo, algo esencial en una operativa digital.

Cita expresamente que deben adoptarse herramientas que identifiquen patrones de comportamiento anómalo: transferencias consecutivas, en horario nocturno, con importes elevados o a destinatarios atípicos.

“Lógicamente, las buenas prácticas pasan por adoptar las medidas de seguridad necesarias para garantizar el correcto funcionamiento del sistema de servicios de pago, entre las cuales destacan las orientadas a detectar de forma automática la concurrencia de indicios de que puede tratarse de una operación anómala y generar una alerta o un bloqueo temporal», dice la sentencia.

El consentimiento no basta: el Supremo exige más a los bancos

Aunque Ibercaja alegó que las operaciones fueron autorizadas conforme al contrato y la normativa (por cumplirse el doble factor de autenticación), el Tribunal deja claro que la utilización de claves válidas no equivale a un consentimiento real si el cliente niega haberlas ordenado y no hubo negligencia grave por su parte.

De hecho, la normativa nacional (Real Decreto-ley 19/2018) y europea (Directiva UE 2015/2366) imponen a los bancos la carga de probar la autorización real y la ausencia de fallos técnicos o deficiencias en el servicio.

En este caso, la Sala considera que Ibercaja no solo no acreditó negligencia grave del usuario, sino que desoyó señales claras de riesgo.

Fue otra entidad, el Banco Santander, quien alertó de una transferencia sospechosa, lo que evidencia el fallo del sistema de vigilancia de Ibercaja.

Un precedente sobre diligencia digital bancaria

Este fallo marca un estándar de exigencia elevado para las entidades financieras en la era de la banca electrónica.

El Tribunal establece que la diligencia exigible no es la de un “buen padre de familia”, sino la de un “ordenado y experto comerciante”, especialmente ante clientes particulares que no pueden prever sofisticados ataques tecnológicos.

La decisión tiene un impacto relevante en la litigación por fraudes digitales y lanza un mensaje claro: las entidades no pueden ampararse en cláusulas contractuales o en el cumplimiento formal de procesos automáticos si no acreditan que han actuado con una vigilancia efectiva y adecuada al riesgo.

Noticias Relacionadas:

Un magistrado del Supremo y una magistrada de primera instancia identifican los sesgos cognitivos más comunes en jueces y fiscales

Empresas del cártel de los sobres electorales deben indemnizar al PSOE por 33 años de licitaciones amañadas, establece el Supremo

Leticia de la Hoz asume la defensa de Koldo ante su nueva citación en el Supremo por la trama de comisiones

El Supremo ordena a los herederos de Franco devolver al Ayuntamiento de Santiago dos esculturas del Pórtico de la Catedral

ADICAE celebra una victoria histórica en el Supremo tras 15 años de litigio por las cláusulas suelo

El Supremo liquida el último gran frente judicial de las cláusulas suelo: avala la acción colectiva de ADICAE contra más de 100 bancos