phising bancario

BBVA condenado a devolver más de 52.000 € por ciber fraude a empresas: ¿Puede el banco ser responsable también ante sociedades mercantiles?

  • Importe conseguido 52.956 €
  • Reclamación contra BBVA
  • Fecha 22/04/2026
  • Juzgado Primera Instancia núm. 7 de Terrassa

Sí. Los bancos pueden ser responsables de los ciber fraudes sufridos por sociedades mercantiles, S.L., SA, SLL, SLP, incluso cuando el fraude se produce mediante SMS, llamadas de un falso empleado del banco y transferencias aparentemente autorizadas.

Así lo ha establecido recientemente sentencia del Juzgado de Primera Instancia núm. 7 de Terrassa (abril de 2026), que ha condenado a BBVA a devolver a un cliente nuestro 52.956 € (más intereses y costas) a tres empresas de Terrassa víctimas de un sofisticado ataque de phishing.

Esta resolución es especialmente relevante porque desmonta el mito de que las empresas tienen menos protección de la Ley de servicios de pago que los consumidores en casos de ciber fraude bancario.

¿Puede una sociedad mercantil reclamar al banco un ciberfraude?

Sí. La normativa de servicios de pago (RDL 19/2018, que transpone la Directiva PSD2) se aplica también a empresas como las que eran clientes nuestros, no sólo a consumidores.

Según esta normativa:

  • Las operaciones no autorizadas deben ser reintegradas por el banco.
  • El banco sólo puede eximirse de responsabilidad si prueba fraude o negligencia grave del cliente. En nuestro caso BBVA, intentó repetidamente trasladar la negligencia a la trabajadora de las tres empresas, pero el Banco fracasó y el juez no le dio la razón.
  • La carga de la prueba recae sobre la entidad bancaria

El juzgado recuerda que se trata de un régimen de responsabilidad casi objetiva del banco.

¿Cuál fue el modus operandi del ciberfraude?

En este caso, el juez considera probado un fraude altamente sofisticado, articulado por varios canales:

1. SMS insertado en el hilo habitual de BBVA Empresas, advirtiendo de un acceso sospechoso.

2. Enlace aparentemente legítimo (https://bbvaempresa.com), con https y sin errores evidentes.

Ciberfraude BBVA

3. Llamada de un falso empleado del departamento de fraude de BBVA, desde un número que correspondía realmente a BBVA

4. El falso empleado:

  • Conocía datos internos de las empresas.
  • Informaba de transferencias “recuperadas”.
  • Presionaba para actuar con urgencia.

5. Se ordenaron varias transferencias consecutivas, en domingo por la noche, a cuentas extranjeras.

¿El hecho de facilitar códigos al falso empleado o clicar un enlace es negligencia grave?

No necesariamente. Ésta es una de las partes más importantes de la sentencia. El juzgado declara que no existe negligencia grave cuando:

  • El cliente no actúa por iniciativa propia.
  • Facilita códigos arrastrado por un engaño profesional, creíble y coherente.
  • Utilizando canales que aparentan ser oficiales del banco.

En nuestro caso la empleada de la empresa en 45 minutos recibió 17 mensajes SMS y los códigos los facilitó al empleado falso de BBVA, con engaño, haciendo creer a la trabajadora que las transferencias se iban anulando con éxito, cuando era al revés, es decir que se iban consumando las transferencias.

La sentencia que entiende la difícil situación en la que se encontro la trabajadora de las empresas estafadas, diferencia claramente entre:

• “Negligencia leve” o confianza inducida.

• "Negligencia grave”, que exige una conducta claramente imprudente y voluntaria.

El fraude por phishing y vishing actual es considerado: "dificilísimo de detectar por una persona de formación media, incluidas empresas".

¿Qué reprochó el juez al BBVA?

El juzgado considera acreditada la falta de diligencia del banco, especialmente porque:

  • No detectó patrones claramente anómalos
  • Se permitieron: Transferencias de importe elevado en horas intempestivas en domingo por la noche en cuentas extranjeras de forma seguida y desde dispositivos diferentes
  • No consta ningún:
    • Bloqueo preventivo
    • Alerta inmediata al cliente
    • Verificación adicional

El juez destaca que no es suficiente con avisos genéricos en la web o recibidos en el móvil ni con decir que el sistema “no falló técnicamente”: la diligencia exigible en el banco es la de un profesional experto.

Caso real resuelto contra BBVA (abril 2026)

  • Afectados: tres sociedades mercantiles
  • Importe total recuperado: 52.956 €
  • Banco condenado: BBVA
  • Juzgado: Primera Instancia núm. 7 de Terrassa
  • Resolución: estimación íntegra de la demanda + intereses + costas
  • Sistema utilizado por los estafadores: SMS + llamada falsa + transferencias

Si soy empresa y el banco me dice que es mi culpa, ¿Qué puedo hacer?

Muchas entidades bancarias niegan inicialmente cualquier responsabilidad, alegando:

  • Introducción de códigos
  • Accesos con credenciales correctos
  • Doble factor de autenticación

Ésta y otras sentencias demuestran que esto no es suficiente para evitar la responsabilidad del banco, si:

  • No prueba una negligencia grave real
  • No acredita una actuación diligente y proactiva

Experiencia de nuestros Abogados especialistas en Reclamaciones Bancarias

Nuestro despacho de abogados en Reclamaciones Bancarias está especializado en ciberfraude bancario, tanto para consumidores como para empresas, con numerosas sentencias favorables contra entidades como BBVA, ING, Banco Sabadell, Caixabank, Banco Santander y otros.

Analizamos cada caso en profundidad y sólo reclamamos cuando existe base jurídica sólida.
Cuando el asunto es viable, trabajamos a éxito: es decir, sólo cobramos al final.

Lluís Ferrer De Nin

Abogado y socio de Ferrer Advocats.
Especializado en defensa del consumidor, derecho penal y responsabilidad civil, con amplia experiencia en litigios judiciales y casos contra abusos financieros.
+34 93 727 59 65
crossmenu