Así Logramos Ganar en el Tribunal Supremo el primer caso de Phishing en 2025: El Caso contra Ibercaja
Mis clientes fueron víctimas de un fraude sofisticado conocido como phishing, una de las técnicas de suplantación de identidad más extendidas en el ámbito bancario digital.
Todo comenzó con un mensaje SMS que imitaba perfectamente los que envía el banco habitualmente. El remitente, el lenguaje y la apariencia eran exactamente iguales. En ese mensaje, se advertía a mis clientes de un supuesto problema con su cuenta, pidiéndoles que «verificaran» sus datos personales de forma urgente para evitar un «bloqueo inmediato».
Movidos por el temor y la apariencia de legitimidad, hicieron clic en el enlace y proporcionaron la información que los delincuentes solicitaban: usuario, contraseña y claves de confirmación. Con estos datos, los estafadores consiguieron acceder a su banca online.
En cuestión de pocas horas, realizaron varias transferencias no autorizadas que sumaron 50.182,10 euros. Era dinero ahorrado durante años, destinado a proyectos familiares y personales. El impacto emocional fue tan devastador como el económico.
Nada más descubrirlo, mis clientes bloquearon el acceso y acudieron inmediatamente al banco para denunciar lo sucedido. La respuesta que recibieron fue desoladora: la entidad alegó que, al haberse usado sus credenciales correctas, ellos eran responsables del uso indebido. En pocas palabras, el banco se lavó las manos.
Lo que muchos usuarios desconocen es que, conforme a la normativa vigente en materia de servicios de pago, los bancos no solo tienen que autenticar operaciones, sino también garantizar que existen sistemas robustos capaces de detectar movimientos anómalos. En este caso, el banco no detectó que en muy pocas horas se estaban realizando transferencias inusuales por cantidades elevadas, algo que debería haber activado una alarma automática.
También es importante destacar que el banco no logró demostrar en ningún momento que mis clientes hubieran actuado con negligencia grave, requisito imprescindible para que la entidad pudiera eximirse de su obligación de devolver el dinero.
Este caso no era solo una lucha por una cantidad económica concreta. Era una lucha por principios: por la protección de los consumidores frente a fraudes digitales cada vez más sofisticados y por exigir responsabilidades a las entidades que tienen los medios para prevenirlos.
Finalmente, gracias a la perseverancia y al trabajo minucioso de todo el equipo, conseguimos que el Tribunal Supremo diera la razón a mis clientes, obligando al banco a devolver la totalidad del importe sustraído, junto con los intereses.
Hoy, este caso representa un paso adelante en la defensa de todos los usuarios de servicios bancarios online. Y me enorgullece haber formado parte de este cambio.
¿Por qué demandamos al banco? Defendiendo Víctimas de Phishing: Victoria en el Supremo
Para mis clientes, significó recuperar 50.182,10 euros más intereses. Para el resto de usuarios, es una garantía más de protección en el cada vez más complejo mundo digital.
Desde el primer momento, vi claro que el banco no había cumplido con su obligación de proteger las cuentas de sus clientes. Según la normativa europea y española de servicios de pago, las entidades financieras deben garantizar no solo la custodia de los fondos, sino también la seguridad de las operaciones.
Un banco no puede limitarse a alegar que el cliente ha usado sus credenciales. Tiene que probar que hubo negligencia grave por parte del cliente, y en este caso no la había. Mis clientes actuaron como personas diligentes: no compartieron claves de forma consciente, denunciaron el fraude en cuanto lo detectaron y colaboraron en todo momento.