Orden de transferencia ejecutada según identificador único (IBAN), no coincidente con el nombre del beneficiario de la transferencia. La indicación, por parte del ordenante, de información adicional al identificador único (IBAN) no entraña nuevas obligaciones para el proveedor de servicios de pago ni el deber de éste de realizar otras comprobaciones. El proveedor de servicios de pago no es responsable por no comprobar que el nombre del destinatario no coincide con el titular de la cuenta de destino.

Sentencia del Tribunal Supremo de 27 de noviembre de 2025 (D. FERNANDO CERDÁ ALBERO).

[Ver esta resolución completa en Tirant Prime. https://www.tirantonline.com/tol/documento/show/10806414?index=0&searchtype=substring]

PRIMERO. Cuestión controvertida y resumen de antecedentes

1.En la presente controversia se trata de dirimir si, en atención al régimen jurídico aplicable ratione temporis,el proveedor de servicios de pago es o no responsable cuando una orden de transferencia se ejecuta según el identificador único (IBAN) facilitado por el usuario de servicios de pago (ordenante), y este IBAN no coincide con el nombre del beneficiario de la transferencia en la cuenta de destino; nombre del beneficiario que, como información adicional, ha sido también indicado en la orden de transferencia. En el caso debatido, el error del ordenante respecto del identificador único facilitado fue provocado por la recepción de un email de un tercero, que suplantó la identidad del destinatario e indicó el IBAN de la cuenta a la que había de transferirse el importe.

2.Para la resolución del recurso de casación interpuesto por la parte demandada, debemos partir de la relación de hechos relevantes acreditados en la instancia o no discutidos o admitidos por las partes.

(i)El 18 de octubre de 2019 la sociedad Enrique Gómez Hevia S.L. (en adelante, la «sociedad ordenante») ordenó a través de Banco Santander S.A. (entidad proveedora de servicios de pago del ordenante) dos transferencias (por importes de 12.237,80 € y 3.576,79 €) a favor de su proveedor, la sociedad Bormioli Rocco S.A., que tenía una cuenta en la Caixa Popular-Caixa Rural Coop. de Crédito V. (en lo sucesivo, «Caixa Popular» o la entidad proveedora de servicios de pago del beneficiario).

En esta orden de pago, la sociedad ordenante indicaba el país de destino (España), la moneda (euros), el importe de las dos transferencias (12.237,80 € y 3.576,79 €), la cuenta de origen y la cuenta de destino, con sus correspondientes IBAN, la identidad del beneficiario (Bormioli Rocco S.A.) y el concepto.

Normativa comunitaria y nacional en materia de servicios de pago. Obligaciones del usuario -en particular, la notificación sin demora tan pronto tenga conocimiento de la utilización no autorizada del instrumento de pago- y del proveedor de servicios de pago. Régimen de responsabilidad cuasi objetiva del proveedor de servicios de pago. Supuesto de estafa "SIM phishing". Cuando un usuario (cliente) niegue haber autorizado una operación de pago ya ejecutada o alegue que se ejecutó de manera incorrecta, recae sobre el proveedor de servicios de pago la carga de probar que la operación fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio prestado. El mero hecho del registro no basta para acreditar que la operación de pago fue autorizada por el ordenante, ni que éste ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave sus obligaciones, extremo cuya prueba corresponde al proveedor.La expresión "deficiencia del servicio" abarca cualquier falta de diligencia o mala praxis en la prestación del servicio. Las buenas prácticas pasan por adoptar las medidas de seguridad necesarias para garantizar el correcto funcionamiento del sistema de servicios de pago, entre las cuales destacan las orientadas a detectar de forma automática la concurrencia de indicios de que puede tratarse de una operación anómala y generar una alerta o un bloqueo temporal (v.gr. reiteración de transferencias sin solución de continuidad, horario en que se producen, importe de las mismas, destinatarios, antecedentes en el uso de la cuenta...), y las dirigidas a incrementar el control y vigilancia cuando se han recibido noticias o alertas de un posible aumento del riesgo.

Sentencia del Tribunal Supremo de 9 de abril de 2025 (D. MANUEL ALMENAR BELENGUER).

[Ver esta resolución completa en Tirant Prime. https://www.tirantonline.com/tol/documento/show/10495958?index=0&searchtype=substring]

PRIMERO.- Resumen de antecedentes.

1.- Son antecedentes fácticos no discutidos o declarados acreditados en la instancia y de interés para la resolución del recurso los siguientes:

i) D. Martin es titular, junto con sus padres, D. Torcuato y D.ª Raquel, de la cuenta corriente y/o depósito n.º NUM000, y, con su esposa Dña. Sonia, de la cuenta corriente n.º NUM001, ambas abiertas en la entidad Unicaja Banco S.A. Asimismo, D. Martin y Unicaja Banco S.A. suscribieron en fecha 31 de agosto de 2004 un contrato de banca a distancia nº NUM002***.

ii) En fecha 24 de febrero de 2021, a las 06:31 horas, D. Martin recibió un aviso de Google, en el que se le informaba que se había detectado una vulneración de su cuenta de correo electrónico @gmail, comprobándose un acceso no autorizado, ante lo cual, minutos después y como medida de prevención, a las 06:37 horas procedió al cambio de contraseña de la cuenta de correo.

iii) El mismo 24 de febrero, a las 06:37, D. Martin recibió en su teléfono móvil, n.º NUM003*****, varios mensajes SMS con códigos para la materialización a través del sistema digital de transferencias que no obedecían a órdenes emitidas por él, lo que puso en conocimiento del personal de la sucursal del banco.

iv) En fechas 27 de febrero y 2 y 12 de marzo de 2021, Google Play y Google Ads realizaron varios cargos no autorizados en la cuenta n.º NUM001, por valor de 464,98 €, utilizando su tarjeta VISA n.º NUM004 ****, lo que D. Martin comunicó a la entidad bancaria, reiterando su preocupación por los SMS recibidos, al tiempo que presentaba la pertinente reclamación a Google, que la rechazó el 15 de marzo, al no haber podido confirmar que se hubiera producido algún tipo de actividad fraudulenta.

v) El 16 de marzo, D.ª Estefanía recibió un email de Google en su dirección de correo de @gmail con el siguiente mensaje: «Alerta de seguridad crítica, se ha bloqueado un intento de inicio de sesión. Alguien acaba de usar tu contraseña para intentar iniciar sesión en tu cuenta». Inmediatamente, procedió a cambiar la contraseña, y, al día siguiente, 17 de marzo, el actor acudió a la oficina bancaria, donde informó sobre lo sucedido y solicitó la cancelación de la tarjeta y la emisión de otra nueva.

vi) Entre la noche del 17 y la mañana del 18 de marzo de 2021 se realizaron quince transferencias bancarias desde la cuenta corriente n.º NUM000, de las cuales diez lo fueron a través de la plataforma Bizum (por importe de 500 € cada una) y cinco a través de la plataforma de banca electrónica «Ibercaja Directo» (por importes de 28.970 €, 19.870 €, 9.876 € y dos de 9.870 € cada una -78.456,20 € en total-), devengando 236,53 € en comisiones, lo que suma un cargo total de 83.692,73 €.

vii) La mayoría de las mencionadas transferencias se efectuaron a favor de delincuentes conocidos por la Policía, a través de la línea de móvil NUM003*****, titularidad de D.ª Estefanía, para lo cual se utilizó una tarjeta SIM que había sido duplicada el 17 de marzo, a las 17:29 horas, sin autorización de la titular, en el distribuidor Remedios (Murcia), lo que permitió al autor/es acceder a la información almacenada en la tarjeta, y recibir y utilizar el código solicitado para las sucesivas operaciones.

viii) El demandante no supo lo sucedido hasta la mañana del día 18 de marzo, cuando el personal de la sucursal, alertado por una llamada del personal del Banco Santander S.A., que había detectado el ingreso realizado en una cuenta sospechosa, le preguntó si durante la noche había hecho transferencias por valor de 83.000 €, a lo que respondió que no. Al acceder a la banca electrónica y comprobar la realidad de la información, el mismo día 18 presentó la correspondiente denuncia en la comisaría de la Policía Nacional, lo que motivó la incoación de las diligencias previas n.º 1017/21021 por el Juzgado de Instrucción n.º 11 de Zaragoza.

ix) En atención a la reclamación del actor, Ibercaja Banco S.A. solicitó la restitución de las cantidades dispuestas a las distintas entidades de destino, consiguiendo la devolución de 27.218,10 €, que fueron reintegrados al actor.

Mercantil. Banca. Contrato de cuenta corriente. La Sala confirma la sentencia de instancia que estima una acción de reclamación de daños y perjuicios por incumplimiento contractual con motivo de operaciones de pago no autorizadas fundamentada en la Ley 16/2009, de 13 de noviembre, de Servicios de Pago (Ley Sepa).

Sentencia de la Audiencia Provincial de Valencia (s. 9ª) de 26 de noviembre de 2014 (Dª. María Luz de Hoyos Flórez).

Conócenos en Facebook Notas de Jurisprudencia, y síguenos pulsando Me Gusta

[Ver resolución completa en Tirant On Line Premium. http://www.tirantonline.com/tol]

CUARTO.- Continuando con el estudio de los restantes motivos en los que se sustenta la apelación, la Sala, en su estimación y en revocación de la Sentencia dictada en la Primera Instancia, conviene con la parte recurrente en que, la entidad demandada, intervino en los hechos objeto del proceso como proveedora de servicios de pago y dado que tales operaciones están regidas por la Ley 16/2009, de 13 de noviembre de servicios de pago, Ley SEPA, debe de estarse a lo dispuesto en el artículo 25, Capitulo II, que, en materia de Autorización de operaciones de pago, dispone. "Consentimiento y retirada del consentimiento.

1. Las operaciones de pago se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución. A falta de tal consentimiento la operación de pago se considerará no autorizada."

En el presente supuesto las operaciones bancarias denunciadas por la parte actora no fueron por ella autorizadas y, no constando que la Sra. ACB prestase su consentimiento para la ejecución de las transferencias que generaron un saldo deudor en su cuenta corriente, debe de estimarse que tales operaciones no han sido autorizadas en la forma legalmente exigida. Como prueba de tal autorización ya ha sido rechazado el documento analizado en el Fundamento Jurídico precedente, siendo que tal validación tampoco puede deducirse de los poderes que la actora otorgó a su sobrino, Sr. CM, por cuanto que, aún conferían a este amplísimas facultades de administración, disposición, comparecencia y firma, fueron dados cuatro meses después, (el 16 de septiembre de 2.010), de aperturarse la cuenta corriente afecta por la reiterada emisión de transferencias TARGET (tal apertura se realizóel anterior 7 de julio) y siendo que estas emisiones se empezaron a ejecutar el mismo día de la suscripción del contrato de cuenta corriente.