Responsabilidad de los bancos ante operaciones no autorizadas derivadas de SIM Swapping: Sentencia de la Audiencia Provincial de Burgos
La Sentencia de la Sección 3ª de la Audiencia Provincial de Burgos, de 23 de diciembre de 2024 (nº 435/2024, rec. 341/2024), constituye un precedente relevante en materia de responsabilidad de las entidades bancarias frente a operaciones de pago no autorizadas derivadas de suplantación de identidad y SIM swapping. En el caso analizado, el demandante sufrió la duplicación fraudulenta de su tarjeta SIM, lo que permitió a terceros acceder a su banca digital y realizar un total de 19 transferencias no autorizadas desde su cuenta corriente en Ibercaja Banco, por un importe global de 133.129,87 euros, de los cuales únicamente se recuperaron 34.408,42 euros. La reclamación judicial se dirigió a la restitución del saldo restante, reconociéndose la obligación del banco de reintegrar dicha cantidad.
El fenómeno del SIM swapping consiste en la suplantación de identidad de un cliente ante su compañía de telefonía móvil para obtener una nueva tarjeta SIM, dejando inoperativa la anterior. Esta técnica permite a los defraudadores recibir los códigos de autenticación que la entidad bancaria envía al teléfono del cliente, posibilitando el acceso a su banca electrónica y la realización de operaciones de pago sin autorización del titular. En el caso concreto, los ciberdelincuentes obtuvieron información personal del cliente, posiblemente mediante técnicas de ingeniería social, y consiguieron que Vodafone remitiera una nueva tarjeta SIM a un domicilio distinto al del cliente, lo que facilitó el fraude. Este modus operandi evidencia la sofisticación de los delitos digitales y la vulnerabilidad de los sistemas de seguridad tradicionales frente a técnicas de suplantación de identidad.
¿Qué establece la sentencia de la Audiencia Provincial de Burgos?
Desde el punto de vista jurídico, la sentencia se fundamenta en la Directiva 2015/2366 de Servicios de Pago en el Mercado Interior, cuya trasposición al ordenamiento español se realiza mediante Real Decreto Ley 19/2018 de 23 noviembre, de Servicios de Pago (LSP), así como en el Reglamento (UE) 2018/389 de la Comisión Europea, que regula la implementación de la autenticación reforzada del cliente (SCA). La Directiva y la LSP establecen que el proveedor de servicios de pago está obligado a reintegrar el importe de las operaciones no autorizadas, salvo que pruebe la existencia de fraude o negligencia grave del usuario. En este sentido, el artículo 73 de la Directiva, y 45 de la LSP dispone que, en caso de ejecución de una operación no autorizada, el proveedor debe restituir el importe de forma inmediata, mientras que el artículo 74 de la Directiva señala que el usuario solo soportará pérdidas en caso de actuar fraudulentamente o con negligencia grave, incumpliendo las obligaciones de seguridad del artículo 69. Asimismo, el artículo 71 reconoce al usuario el derecho a la rectificación de operaciones no autorizadas dentro de los trece meses siguientes a la fecha del adeudo, siempre que la notificación se realice sin demora injustificada.
El banco demandado alegó que las operaciones podrían haber sido realizadas por el titular, argumentando que el sistema de autenticación reforzada (basado en el envío de códigos al móvil del usuario) había sido cumplido. Sin embargo, la Audiencia Provincial descartó esta interpretación, señalando que la autenticación por sí sola no convierte en autorizada una operación que el titular no ha ordenado, conforme a los arts. 64.2 y 73 Directiva. La clave del análisis reside en la distinción entre operaciones no autorizadas y errores de ejecución, mientras que las segundas se refieren a fallos en la correcta realización de un pago legítimamente ordenado, las primeras se producen sin el consentimiento del titular y generan la obligación de reintegro por parte del banco.
La valoración sobre la existencia del SIM swapping se basó en los informes de Vodafone, que acreditaban que la tarjeta SIM original del demandante había sido reemplazada por una nueva enviada a un domicilio distinto, y que los códigos de autenticación habrían sido recibidos por terceros. La Audiencia descartó la presunción de que el cliente hubiera autorizado las transferencias, ya que no se aportó evidencia suficiente de que el titular hubiera actuado con negligencia grave, y no se pudieron contrastar los registros de llamadas ni de SMS posteriores a la sustitución de la SIM. La falta de constancia de interacciones del cliente con la nueva tarjeta, así como la inexistencia de pruebas de su participación en las transferencias, reforzó la conclusión de que las operaciones fueron efectivamente no autorizadas.
¿Cómo funciona el fraude por SIM Swapping?
El tribunal también puntualizó que la eventual negligencia de la compañía de telefonía al entregar la tarjeta SIM a un tercero no exonera al banco de su responsabilidad frente al cliente, puesto que ambas operan en planos jurídicos distintos: la obligación de seguridad del banco se encuentra regulada por la LSP y la Directiva 2015/2366, mientras que la actuación del operador se rige por el contrato de telefonía. No obstante, el banco podría ejercitar posteriormente acción de repetición contra la operadora si se demostrara que su conducta facilitó la comisión del fraude.
En términos de jurisprudencia, la sentencia refuerza la doctrina establecida por la Audiencia Provincial de Burgos en la sentencia de 13 de noviembre de 2023 (recurso 229/2023), que sostiene que los fraudes mediante servicios de pago se acreditan normalmente por el vaciado sistemático de la cuenta del titular hacia cuentas ajenas, muchas veces mediante un encadenamiento de transferencias que dificulta la actuación rápida del banco. Esta evidencia constituye la prueba más palmaria de que un tercero ha actuado sin autorización, y en tales casos corresponde al banco probar la supuesta connivencia del titular, cosa que no se acredita por el mero uso de la autenticación reforzada.
La sentencia concluye que las operaciones realizadas mediante SIM swapping constituyen operaciones de pago no autorizadas, generando la obligación del banco de reintegrar al cliente la totalidad del saldo sustraído no recuperado. Asimismo, se reconoce que el cliente está exento de responsabilidad al no haber existido fraude ni negligencia grave en la custodia de sus credenciales, y que el banco cumplió con la obligación de aplicar la autenticación reforzada. Este caso consolida un criterio relevante para la protección de los usuarios frente a fraudes digitales y subraya la necesidad de que las entidades financieras mantengan sistemas de seguridad eficaces y protocolos diligentes frente a posibles suplantaciones de identidad.
Normativa aplicable: Directiva 2015/2366 y Ley de Servicios de Pago
En conclusión, la sentencia de la Audiencia Provincial de Burgos refuerza el marco normativo de protección de los usuarios de servicios de pago, destacando la aplicación conjunta de los artículos 64, 71, 73 y 74 de la Directiva, el cumplimiento de la autenticación reforzada conforme al Reglamento 2018/389, y la carga de prueba diferenciada entre el proveedor de servicios y el usuario. Este fallo sirve como referencia para despachos de abogados en la defensa de clientes víctimas de fraudes electrónicos y pone de relieve la responsabilidad objetiva de los bancos frente a operaciones de pago no autorizadas derivadas de técnicas sofisticadas de suplantación de identidad como el SIM swapping.