Redactado por la abogada especialista en delitos informáticos, Belén Rincón Pérez.

📝 Introducción: un nuevo caso que refuerza la protección del consumidor frente al phishing bancario

La Sección Civil del Tribunal de Instancia de Málaga ha dictado la Sentencia nº xx/2026, que vuelve a confirmar algo que ya venimos defendiendo desde este despacho:👉 los bancos deben asumir su responsabilidad cuando fallan los sistemas de autenticación y seguridad, incluso aunque el cliente haya sido engañado mediante técnicas muy avanzadas de vishing o smishing.

Este caso, en el que se condena a Unicaja Banco S.A. a devolver 2.000€ sustraídos de forma fraudulenta, marca otra pieza más dentro de la creciente jurisprudencia favorable al usuario y contra la insuficiente seguridad de la banca digital.

Para casos similares, puedes leer nuestra entrada sobre phishing bancario y cómo reclamar tu dinero.

Encabezamiento de la sentencia ganada a Unicaja Banco por fraude de phishing en Málaga.

🔍 Resumen del caso: SMS fraudulento, llamada suplantada y operaciones no autorizadas

La afectada recibió:

• Un SMS que imitaba a Unicaja, advirtiendo un inicio de sesión sospechoso.

• Una llamada que suplantaba al servicio de atención al cliente, aportando datos reales de la clienta.

• Tras esa llamada se ejecutaron:

  • una transferencia inmediata de 1.000€, y

  • dos Bizum de 500€ cada uno.

    
    

Pese a que no pinchó enlaces fraudulentos y actuó con prudencia, los estafadores realizaron operaciones que superaban los límites de seguridad establecidos en su banca digital.

Para aprender más sobre cómo protegerte de transferencias y Bizum fraudulentos, visita la guía oficial de INCIBE sobre phishing y fraudes móviles.

⚖️Fundamentos jurídicos clave: por qué el banco es responsable

La sentencia se basa en el Real Decreto-Ley 19/2018, que regula la seguridad en los servicios de pago. En especial:

• Art. 45: si una operación no está autorizada, el banco debe devolverla inmediatamente, salvo negligencia grave del cliente.

• Art. 68: la entidad debe aplicar autenticación reforzada.

• Art. 42: el banco debe garantizar que las credenciales son seguras y no accesibles a terceros.

  
  

La Magistrada destaca varios fallos del banco:

🛑 1. Superación del límite máximo de operaciones

Los cargos superaron el límite semanal de 1.000€ establecido como medida de seguridad.

🛑 2. Alta repentina de un Bizum en un número desconocido

Una señal clara de riesgo que debió activar avisos o bloqueos automáticos.

🛑 3. Operaciones en día y hora críticas

Operaciones en Nochebuena/Nochebuena a última hora → típico patrón de fraude.

🛑 4. La clienta actuó con diligencia

No hubo negligencia grave:

• No pinchó enlaces.

• Accedió por la app del banco.

• Denunció de inmediato.

  
  

Resultado: responsabilidad bancaria total.

Para casos similares y cómo los tribunales valoran la conducta del usuario, visita nuestra guía sobre responsabilidad bancaria por fraudes online.

📚 Jurisprudencia que refuerza esta decisión

La resolución cita y se apoya en decisiones relevantes:

• AP Pontevedra (Sent. 539/2021)

• JPI nº 5 Pamplona (2023)

• AP Zaragoza (2013, caso Barclays)

La línea es clara:👉 si el banco no detecta operaciones anómalas, fallan sus sistemas de seguridad y debe reintegrar el dinero.

🧩 ¿Qué aporta esta sentencia de Málaga? Un paso más hacia la protección integral del usuario

Esta resolución es especialmente importante porque:

• Refuerza que la carga de proteger la banca digital recae en el banco, no en el usuario.

• Reconoce que las técnicas actuales de phishing pueden engañar incluso a consumidores “razonablemente diligentes”.

• Recuerda que la digitalización beneficia principalmente a las entidades y ello exige mayores niveles de seguridad.

• 
  

💶 Fallo de la sentencia: devolución íntegra + intereses + costas

El Tribunal condena a Unicaja a:

• devolver 2.000€

• abonar intereses del art. 576 LEC

• pagar todas las costas del procedimiento

Y además señala que la resolución no es apelable por cuantía.

Fallo judicial donde se estima íntegramente la demanda y se condena al banco a la devolución de los 2.000€ más costas e intereses.

Si has sido víctima de una estafa por phishing bancario, puedes consultar tu caso con una abogada especializada en reclamaciones bancarias.

📌 ¿Qué significa para otros afectados por phishing bancario?

Esta sentencia confirma que:

✔ El banco debe responder si hay fallos en la autenticación reforzada

✔ Los SMS y llamadas suplantadas NO suponen negligencia grave

✔ El usuario está cada vez más protegido por los tribunales

✔ Incluso pequeñas cuantías pueden reclamarse con éxito

Para información oficial y consejos de seguridad, revisa los recursos de la Asociación Española de Banca.

💬 Conclusión

Esta nueva sentencia refuerza una tendencia que ya es imparable:👉 cuando los sistemas de seguridad del banco fallan, el consumidor no puede ser quien asuma el daño.

El phishing evoluciona, pero también lo hace la jurisprudencia y la defensa jurídica especializada en este tipo de fraudes.

📞 ¿Has sido víctima de phishing bancario?

Si necesitas asistencia legal, puedes contactar con Belén Rincón, abogada especializada en delitos informáticos y fraudes bancarios:

• 🌐 Web: www.belenrinconabogada.com

• 📧 Email: infobelenrinconabogada@gmail.com

• ☎️ Teléfono: 696803927

• 📲 WhatsApp: https://wa.me/34623038087