Introducción
Desde BBS Abogados analizamos con detalle qué implica una sentencia por phishing contra ING y cómo puede usted —como cliente bancario— reclamar a la entidad si ha sido víctima de fraude bancario, ciberdelincuencia o phishing.
Antecedentes: fraude bancario, ciberdelincuencia y la sentencia por phishing contra ING
Una vez más, la sentencia por phishing contra ING dictada por el Juzgado de Primera Instancia nº 57 de Barcelona de 3 de octubre de 2025, ha supuesto un referente en materia de responsabilidad bancaria.
En España, los servicios de pago online están regulados por el Real Decreto-ley 19/2018, de 23 de noviembre de servicios de pago y otras medidas urgentes en materia financiera
Este Real Decreto-ley transpone la Directiva (UE) 2015/2366 (PSD2) y fija las obligaciones y límites de responsabilidad entre usuarios y bancos ante operaciones no autorizadas.
Además, la jurisprudencia reciente, en especial la Sentencia del Tribunal Supremo 571/2025 (Sala Primera, de 9 de abril de 2025), ha reforzado la protección de los consumidores frente a la banca digital.
Hechos: cómo se produjo el fraude analizado en la sentencia por phishing contra ING
El procedimiento se inició a instancia de una afectada contra ING BANK NV Sucursal en España, solicitando la devolución de 11.500.-€, más intereses y costas, por un fraude de phishing.
Secuencia de hechos
En primer lugar, la afectada recibió dos SMS aparentemente emitidos por ING, alertando de supuestas compras fraudulentas.
Posteriormente, recibió una llamada desde el número oficial del banco, donde un supuesto gestor le pidió acceder a un enlace para cancelar las operaciones.
A continuación, la clienta introdujo sus claves en una web fraudulenta, creyendo estar en el sitio oficial de ING. Seguidamente, los delincuentes realizaron ¡¡ 16 disposiciones de efectivo !! por valor total de 11.500.-€
La demandante alegó que el banco no había aplicado límites de seguridad eficaces, ni verificación reforzada, permitiendo la suplantación de identidad corporativa. Por el contrario, ING sostuvo que la usuaria actuó con falta de diligencia.
Finalmente, el juzgado estimó la demanda y condenó a ING al pago de 11.500.-€, intereses legales e incremento de dos puntos desde la sentencia, además de las costas procesales.
Fundamentos de Derecho: responsabilidad del banco en la sentencia por phishing contra ING
El régimen legal del RDL 19/2018
El Real Decreto-ley 19/2018 regula la responsabilidad en las operaciones de pago no autorizadas.
En concreto
- El usuario debe proteger sus credenciales.
- El el proveedor (el banco) debe garantizar la seguridad del instrumento de pago.
- El usuario dispone de 13 meses para notificar operaciones no autorizadas.
- La carga de la prueba recae sobre el banco, que debe acreditar que la operación fue debidamente autenticada.
- Salvo fraude o negligencia grave del usuario, el banco debe reintegrar el importe indebidamente cargado.
Por tanto, la sentencia por phishing contra ING confirma que este régimen impone una responsabilidad casi objetiva al banco, que solo se exime si demuestra dolo o negligencia grave del cliente (BKETL).
Doctrina del Tribunal Supremo sobre phishing y responsabilidad bancaria
El Tribunal Supremo, en su Sentencia 571/2025, consolidó que los bancos deben probar que:
- El sistema de seguridad era eficaz.
- No existió fallo técnico.
- El usuario actuó con culpa grave o fraude.
Además, estableció que no basta con alegar que el cliente introdujo sus claves. El banco debe demostrar que aplicó una autenticación reforzada y sistemas de alerta ante movimientos atípicos (SEPIN).
Por consiguiente, los tribunales están reforzando la idea de que el banco asume una posición de garante de la seguridad digital.
Advertencias de ING sobre phishing: su valor jurídico en la sentencia
ING publica en su web diversas advertencias y consejos de seguridad para evitar el fraude bancario, como no pinchar enlaces desconocidos o no compartir contraseñas.
Sin embargo, la sentencia por phishing contra ING deja claro que esas advertencias no eximen de responsabilidad. El deber del banco no es solo informativo, sino técnico y preventivo.
Por tanto, aunque ING advierta a sus clientes, debe implementar mecanismos que impidan o limiten la ejecución de operaciones fraudulentas.
En consecuencia, los tribunales interpretan que las simples advertencias no sustituyen la obligación legal de garantizar la seguridad de las operaciones.
Si el banco no demuestra negligencia grave del cliente, la sentencia será estimatoria.
Gracias a esta estrategia, muchos consumidores han logrado recuperar sus fondos.
Contacte con nuestros Abogados especializados en derecho bancario y financiero para valorar su caso. Su reclamación puede prosperar con base a las sentencias por phishing conseguidas hasta ahora y en el RDL 19/2018
BBS Abogados . Teléfono : +34 93 760.53.77
