Es el proveedor de pagos al que corresponde acreditar su comportamiento diligente en la autenticación de la operación de pago. Si no ha sido capaz de limitar el acceso al canal de banca electrónica, no puede pretender que el cliente sea el único responsable.— Juzgado de Primera Instancia e Instrucción nº 5 de Gavà
El Juzgado de Primera Instancia nº 5 de Gavà condenó a CaixaBank en marzo de 2025 a devolver 2.360,33 euros a un cliente víctima de smishing bancario. El smishing es una variante del phishing en que el ataque llega por SMS al móvil del cliente, haciéndose pasar por el banco. El juzgado aplicó la jurisprudencia consolidada: el proveedor del servicio de pago es quien debe demostrar la autenticación reforzada y la diligencia en la custodia del sistema de banca electrónica. Si no puede demostrarlo, debe devolver el importe sustraído. CaixaBank no pudo acreditar ninguno de los dos extremos.
El cliente de CaixaBank fue víctima de un ataque de smishing: recibió un SMS aparentemente remitido por CaixaBank que le pedía validar sus credenciales. Siguiendo el enlace fraudulento, facilitó sus datos de acceso a la banca online. Los estafadores realizaron cargos no autorizados por 2.360,33 euros. El cliente reclamó a CaixaBank, que rechazó la devolución. Presentó demanda ante el Juzgado de Primera Instancia nº 5 de Gavà. La sentencia 166/2025, de 14 de marzo de 2025, estimó íntegramente la demanda y condenó al banco al pago de la cantidad sustraída más intereses y costas.
El juzgado aplicó el RDL 19/2018 y la jurisprudencia del TS 571/2025: el banco es responsable de las operaciones no autorizadas porque es el proveedor del servicio de pago y es quien debe custodiar el canal de banca electrónica. No puede pretender que el cliente víctima del fraude sea el único responsable si el banco no ha sido capaz de limitar el acceso al canal de banca electrónica. El consentimiento para realizar el cargo no puede inferirse de la mera autenticación con las claves correctas cuando esas claves fueron obtenidas mediante engaño.
Si CaixaBank te ha dicho que no te devuelve el dinero porque "la operación fue autenticada" o porque "tú facilitaste las claves", esta sentencia de Gavà demuestra que esa defensa no es suficiente. El banco debe demostrar que custodió su sistema con la debida diligencia y que el cliente actuó con negligencia grave. Si no puede, te debe devolver el dinero.
| Órgano | Juzgado de Primera Instancia e Instrucción nº 5 de Gavà |
| Referencia | Sentencia 166/2025 |
| Fecha | 14/03/2025 |
| Entidad | CaixaBank |
| Condena | 2.360,00 € |
| Materia | Fraude digital |
| Artículos vulnerados | Arts. 44-46 RDL 19/2018 (PSD2) |
📄 Fuente oficial:
Ver fuente →El Juzgado de Primera Instancia nº 5 de Gavà condenó a CaixaBank en marzo de 2025 a devolver 2.360,33 euros a un cliente víctima de smishing bancario. El smishing es una variante del phishing en que el ataque llega por SMS al móvil del cliente, haciéndose pasar por el banco. El juzgado aplicó la jurisprudencia consolidada: el proveedor del servicio de pago es quien debe demostrar la autenticación reforzada y la diligencia en la custodia del sistema de banca electrónica. Si no puede demostrarlo, debe devolver el importe sustraído. CaixaBank no pudo acreditar ninguno de los dos extremos.
El juzgado aplicó el RDL 19/2018 y la jurisprudencia del TS 571/2025: el banco es responsable de las operaciones no autorizadas porque es el proveedor del servicio de pago y es quien debe custodiar el canal de banca electrónica. No puede pretender que el cliente víctima del fraude sea el único responsable si el banco no ha sido capaz de limitar el acceso al canal de banca electrónica. El consentimiento para realizar el cargo no puede inferirse de la mera autenticación con las claves correctas cuando esas claves fueron obtenidas mediante engaño.
Si CaixaBank te ha dicho que no te devuelve el dinero porque "la operación fue autenticada" o porque "tú facilitaste las claves", esta sentencia de Gavà demuestra que esa defensa no es suficiente. El banco debe demostrar que custodió su sistema con la debida diligencia y que el cliente actuó con negligencia grave. Si no puede, te debe devolver el dinero.
Cuéntanos qué te ha pasado. Consulta gratuita y sin compromiso.