La entidad financiera asume una responsabilidad cuasi-objetiva: solo puede eximirse si demuestra que el cliente actuó con dolo o negligencia grave, conforme al Real Decreto-Ley 19/2018 y la Directiva (UE) 2015/2366.— Juzgado de Primera Instancia nº 3 de Málaga
El Juzgado de Primera Instancia nº 3 de Málaga condenó a BBVA en 2025 a devolver 8.400 euros más intereses a una clienta víctima de phishing bancario. Lo ocurrido es un mecanismo de fraude cada vez más sofisticado: la clienta recibió mensajes SMS en el mismo hilo de mensajes que el banco usa habitualmente para comunicarse con sus clientes. Los estafadores suplantaron el número de BBVA. Creyendo que era el banco quien le avisaba de una "actividad inusual" y un "bloqueo temporal" de su tarjeta, la clienta accedió a un enlace fraudulento y facilitó sus credenciales. Inmediatamente se incrementó el límite de su tarjeta y se realizó una transferencia de 8.400 euros a wirexapp.com. La sentencia declaró que BBVA no acreditó haber aplicado la autenticación reforzada exigida por la PSD2 ni haber actuado con la diligencia debida.
En octubre de 2021, la clienta empezó a recibir mensajes SMS en el mismo hilo en que BBVA le comunicaba habitualmente sus alertas bancarias. Los estafadores habían realizado SMS spoofing (suplantación del número de remitente). El mensaje la alertaba de "actividad inusual" en su cuenta y le pedía validar su identidad clicando en un enlace. Confiando en que era el banco, facilitó sus credenciales bancarias. Los atacantes incrementaron inmediatamente el límite de crédito de su tarjeta y realizaron una transferencia de 8.400 euros al servicio wirexapp.com, con el que la clienta nunca había operado. La clienta reclamó a BBVA, que negó responsabilidad alegando que había sido ella quien había facilitado sus credenciales.
La magistrada Estefanía Zapico Martín aplicó la doctrina del RDL 19/2018 (transposición de PSD2): BBVA debía demostrar que la operación fue autorizada por la clienta y que no hubo deficiencias en su sistema. El banco no pudo acreditar ninguno de los dos extremos. El tribunal declaró que la clienta no tenía por qué sospechar que el número del banco podía ser falsificado (SMS spoofing es un riesgo tecnológico del sistema bancario, no del usuario). La sentencia reafirmó el principio de responsabilidad cuasi-objetiva del banco: quien obtiene beneficio de la intermediación financiera debe asumir también el riesgo tecnológico que ella implica. La sentencia se alineó con la doctrina del TS 571/2025.
Si BBVA te ha negado el reembolso de dinero robado mediante phishing y argumenta que tú "facilitaste las claves", este fallo judicial en Málaga demuestra que esa defensa no es suficiente. El banco debe probar que aplicó autenticación reforzada y que no hubo deficiencias en su sistema. La técnica del SMS spoofing (mensajes fraudulentos en el mismo hilo del banco) es un riesgo que corresponde prevenir al banco, no al cliente. Esta sentencia es directamente invocable en cualquier reclamación por phishing contra BBVA.
| Órgano | Juzgado de Primera Instancia nº 3 de Málaga |
| Referencia | Sentencia 350/2025 |
| Fecha | 01/10/2025 |
| Entidad | BBVA |
| Condena | 8.400,00 € |
| Materia | Fraude digital |
| Artículos vulnerados | Arts. 44-46 RDL 19/2018 (PSD2), Art. 1902 CC (responsabilidad extracontractual) |
📄 Fuente oficial:
Ver fuente →El Juzgado de Primera Instancia nº 3 de Málaga condenó a BBVA en 2025 a devolver 8.400 euros más intereses a una clienta víctima de phishing bancario. Lo ocurrido es un mecanismo de fraude cada vez más sofisticado: la clienta recibió mensajes SMS en el mismo hilo de mensajes que el banco usa habitualmente para comunicarse con sus clientes. Los estafadores suplantaron el número de BBVA. Creyendo que era el banco quien le avisaba de una "actividad inusual" y un "bloqueo temporal" de su tarjeta, la clienta accedió a un enlace fraudulento y facilitó sus credenciales. Inmediatamente se incrementó e…
La magistrada Estefanía Zapico Martín aplicó la doctrina del RDL 19/2018 (transposición de PSD2): BBVA debía demostrar que la operación fue autorizada por la clienta y que no hubo deficiencias en su sistema. El banco no pudo acreditar ninguno de los dos extremos. El tribunal declaró que la clienta no tenía por qué sospechar que el número del banco podía ser falsificado (SMS spoofing es un riesgo tecnológico del sistema bancario, no del usuario). La sentencia reafirmó el principio de responsabilidad cuasi-objetiva del banco: quien obtiene beneficio de la intermediación financiera debe asumir ta…
Si BBVA te ha negado el reembolso de dinero robado mediante phishing y argumenta que tú "facilitaste las claves", este fallo judicial en Málaga demuestra que esa defensa no es suficiente. El banco debe probar que aplicó autenticación reforzada y que no hubo deficiencias en su sistema. La técnica del SMS spoofing (mensajes fraudulentos en el mismo hilo del banco) es un riesgo que corresponde prevenir al banco, no al cliente. Esta sentencia es directamente invocable en cualquier reclamación por phishing contra BBVA.
Cuéntanos qué te ha pasado. Consulta gratuita y sin compromiso.