phising bancario

BBVA condemnat a retornar més de 52.000 € per ciberfrau a empreses: pot el banc ser responsable també davant de societats mercantils?

  • Importe conseguido 52.956 €
  • Reclamación contra BBVA
  • Fecha 22/04/2026
  • Juzgado Primera Instancia núm. 7 de Terrassa

Sí. Els bancs poden ser responsables dels ciberfraus patits per societats mercantils, S.L., SA, SLL, SLP, fins i tot quan el frau es produeix mitjançant SMS, trucades d’un fals empleat del banc i transferències aparentment autoritzades.

Així ho ha establert recentment una sentència del Jutjat de Primera Instància núm. 7 de Terrassa (abril de 2026), que ha condemnat BBVA a retornar a un client nostre 52.956 € (més interessos i costes) a tres empreses de Terrassa víctimes d’un sofisticat atac de phishing.

Aquesta resolució és especialment rellevant perquè desmunta el mite que les empreses tenen menys protecció de la Llei de serveis de pagament que els consumidors en casos de ciberfrau bancari.

Pot una societat mercantil reclamar al banc un ciberfrau?

Sí. La normativa de serveis de pagament (RDL 19/2018, que transposa la Directiva PSD2) s’aplica també a empreses com les que eren clientes nostres, no només a consumidors.

Segons aquesta normativa:

  • Les operacions no autoritzades han de ser reintegrades pel banc.
  • El banc només pot eximir-se de responsabilitat si prova frau o negligència greu del client. En el nostre cas, BBVA va intentar repetidament traslladar la negligència a la treballadora de les tres empreses, però el banc va fracassar i el jutge no li va donar la raó.
  • La càrrega de la prova recau sobre l’entitat bancària.

El jutjat recorda que es tracta d’un règim de responsabilitat gairebé objectiva del banc.

Quin va ser el modus operandi del ciberfrau?

En aquest cas, el jutge considera provat un frau altament sofisticat, articulat per diversos canals:

1. SMS inserit en el fil habitual de BBVA Empreses, advertint d’un accés sospitós.

2. Enllaç aparentment legítim (https://bbvaempresa.com), amb https i sense errors evidents.

Ciberfraude BBVA


3. Trucada d’un fals empleat del departament de frau de BBVA, des d’un número que corresponia realment a BBVA.

4. El fals empleat:

  • Coneixia dades internes de les empreses.
  • Informava de transferències “recuperades”.
  • Pressionava per actuar amb urgència.

5. Es van ordenar diverses transferències consecutives, en diumenge a la nit, a comptes estrangers.

    El fet de facilitar codis al fals empleat o clicar un enllaç és negligència greu?

    No necessàriament. Aquesta és una de les parts més importants de la sentència. El jutjat declara que no existeix negligència greu quan:

    • El client no actua per iniciativa pròpia.
    • Facilita codis arrossegat per un engany professional, creïble i coherent.
    • Utilitza canals que aparenten ser oficials del banc.

    En el nostre cas, l’empleada de l’empresa en 45 minuts va rebre 17 missatges SMS i va facilitar els codis al fals empleat de BBVA, sota engany, fent creure a la treballadora que les transferències s’anaven anul·lant amb èxit, quan era al revés, és a dir, que s’anaven consumant.

    La sentència, que entén la difícil situació en què es va trobar la treballadora de les empreses estafades, diferencia clarament entre:

    • “Negligència lleu” o confiança induïda.
    • “Negligència greu”, que exigeix una conducta clarament imprudent i voluntària.

    El frau per phishing i vishing actual és considerat: “dificilíssim de detectar per una persona de formació mitjana, incloses empreses”.

    Què va retreure el jutge al BBVA?

    El jutjat considera acreditada la manca de diligència del banc, especialment perquè:

    • No va detectar patrons clarament anòmals.
    • Es van permetre transferències d’import elevat en hores intempestives, en diumenge a la nit, a comptes estrangers de manera consecutiva i des de dispositius diferents.
    • No consta cap:
      • Bloqueig preventiu
      • Alerta immediata al client
      • Verificació addicional

    El jutge destaca que no és suficient amb avisos genèrics al web o rebuts al mòbil ni amb dir que el sistema “no va fallar tècnicament”: la diligència exigible al banc és la d’un professional expert.

    Cas real resolt contra BBVA (abril 2026)

    • Afectats: tres societats mercantils
    • Import total recuperat: 52.956 €
    • Banc condemnat: BBVA
    • Jutjat: Primera Instància núm. 7 de Terrassa
    • Resolució: estimació íntegra de la demanda + interessos + costes
    • Sistema utilitzat pels estafadors: SMS + trucada falsa + transferències

    Si sóc empresa i el banc em diu que és culpa meva, què puc fer?

    Moltes entitats bancàries neguen inicialment qualsevol responsabilitat, al·legant:

    • Introducció de codis
    • Accessos amb credencials correctes
    • Doble factor d’autenticació

    Aquesta i altres sentències demostren que això no és suficient per evitar la responsabilitat del banc si:

    • No prova una negligència greu real
    • No acredita una actuació diligent i proactiva

    Experiència dels nostres advocats especialistes en reclamacions bancàries

    El nostre despatx d’advocats en reclamacions bancàries està especialitzat en ciberfrau bancari, tant per a consumidors com per a empreses, amb nombroses sentències favorables contra entitats com BBVA, ING, Banc Sabadell, Caixabank, Banc Santander i altres.

    Analitzem cada cas en profunditat i només reclamem quan existeix base jurídica sòlida. Quan l’assumpte és viable, treballem a èxit: és a dir, només cobrem al final.

    Lluís Ferrer De Nin
    crossmenu