La suplantación del canal SMS hace imposible para el cliente distinguir el mensaje fraudulento del legítimo. Es un riesgo tecnológico del sistema bancario que el banco debe gestionar.— Juzgado de Primera Instancia e Instrucción nº 6 de Coslada
El Juzgado de Primera Instancia nº 6 de Coslada condenó a Santander en diciembre de 2024 a devolver 2.310 euros a un cliente víctima de SMS spoofing. El 1 de enero de 2022, el afectado recibió un SMS aparentemente enviado por Banco Santander informando del bloqueo de su cuenta y pidiéndole acceder a un enlace para reactivarla. Confiando en que era el banco, siguió el enlace. La web no cargó y el cliente accedió directamente a su banca online — pero para entonces los atacantes ya habían capturado sus credenciales y realizaron transferencias no autorizadas por 2.310 euros.
El 1 de enero de 2022, el cliente recibió un SMS en el mismo hilo en que Santander le enviaba comunicaciones habituales. El mensaje informaba del bloqueo de su cuenta y le pedía acceder a un enlace para reactivarla. El cliente siguió el enlace, que no cargó. Accedió entonces directamente a la banca online pero los atacantes ya tenían sus credenciales. Se realizaron transferencias no autorizadas por 2.310 euros. Santander rechazó devolver el importe. El cliente demandó y el juzgado de Coslada falló en su favor en diciembre de 2024, condenando al banco al pago más intereses y costas.
El juzgado destacó que no cumplió con sus obligaciones de seguridad: el banco debía haber detectado accesos desde dispositivos nuevos y operaciones inusuales. La sentencia destacó que la suplantación del canal SMS (SMS spoofing) hace imposible para el cliente distinguir el mensaje fraudulento del legítimo — es un riesgo tecnológico del sistema bancario que el banco debe gestionar, no el cliente. El banco no aplicó controles adicionales ante el acceso desde un dispositivo desconocido.
Si recibiste un SMS de Santander informando del bloqueo de tu cuenta que resultó ser falso, y el banco rechaza devolverte el dinero, esta sentencia de Coslada establece que el banco debe responder. El SMS spoofing — mensajes fraudulentos en el mismo hilo del banco — es un riesgo que el banco debe gestionar con sistemas de detección, no trasladar al cliente. Si el banco no detectó el acceso desde un dispositivo desconocido, eso ya es suficiente incumplimiento para que responda.
| Órgano | Juzgado de Primera Instancia e Instrucción nº 6 de Coslada |
| Referencia | Sentencia 19/12/2024 |
| Fecha | 19/12/2024 |
| Entidad | Santander |
| Condena | 2.310,00 € |
| Materia | Fraude digital |
| Artículos vulnerados | Arts. 44-46 RDL 19/2018 (PSD2) |
📄 Fuente oficial (dominio público):
Fuente oficial →El Juzgado de Primera Instancia nº 6 de Coslada condenó a Santander en diciembre de 2024 a devolver 2.310 euros a un cliente víctima de SMS spoofing. El 1 de enero de 2022, el afectado recibió un SMS aparentemente enviado por Banco Santander informando del bloqueo de su cuenta y pidiéndole acceder a un enlace para reactivarla. Confiando en que era el banco, siguió el enlace. La web no cargó y el cliente accedió directamente a su banca online — pero para entonces los atacantes ya habían capturado sus credenciales y realizaron transferencias no autorizadas por 2.310 euros.
El juzgado destacó que no cumplió con sus obligaciones de seguridad: el banco debía haber detectado accesos desde dispositivos nuevos y operaciones inusuales. La sentencia destacó que la suplantación del canal SMS (SMS spoofing) hace imposible para el cliente distinguir el mensaje fraudulento del legítimo — es un riesgo tecnológico del sistema bancario que el banco debe gestionar, no el cliente. El banco no aplicó controles adicionales ante el acceso desde un dispositivo desconocido.
Si recibiste un SMS de Santander informando del bloqueo de tu cuenta que resultó ser falso, y el banco rechaza devolverte el dinero, esta sentencia de Coslada establece que el banco debe responder. El SMS spoofing — mensajes fraudulentos en el mismo hilo del banco — es un riesgo que el banco debe gestionar con sistemas de detección, no trasladar al cliente. Si el banco no detectó el acceso desde un dispositivo desconocido, eso ya es suficiente incumplimiento para que responda.
Cuéntanos qué te ha pasado. Consulta gratuita y sin compromiso.