En un escenario donde la ciberdelincuencia se vuelve cada vez más sofisticada, la justicia española ha emitido un fallo, al que ha tenido acceso EL PAÍS, que marca un precedente fundamental para la protección de los consumidores en la era digital. El Juzgado de Primera Instancia número 44 de Madrid ha dictado una sentencia de gran calado jurídico al condenar a la operadora Vodafone (a través de su marca Lowi) y a la entidad bancaria WiZink a resarcir de forma solidaria a un usuario que fue víctima de un fraude financiero. La cuantía de la condena asciende a más de 4.000 euros, correspondientes al dinero sustraído de sus cuentas mediante la técnica conocida como SIM swapping o duplicado fraudulento de la tarjeta telefónica.
La relevancia de este caso, impulsado por la Asociación de Usuarios Financieros (Asufin), reside en la determinación de la responsabilidad compartida. Hasta hace poco, la jurisprudencia solía poner el foco principal en la responsabilidad de los bancos como custodios del capital de sus clientes. Sin embargo, esta sentencia refuerza la tesis que no solo las entidades financieras deben responder ante el fraude, sino también cualquier intermediario tecnológico cuya negligencia en los protocolos de seguridad facilite la comisión del delito. En este caso, la operadora de telefonía se convierte en una pieza clave del engranaje que permitió el robo.
Un agujero de seguridad
El fraude sufrido por el demandante se basó en una falsa portabilidad. Según los hechos probados, un tercero ajeno al titular consiguió que Lowi emitiera un duplicado de la tarjeta SIM del usuario sin su consentimiento. Con el control de la línea telefónica en sus manos, el delincuente pudo interceptar los mensajes de texto (SMS) que el banco envía para autorizar operaciones, logrando así vaciar las cuentas del afectado.
La magistrada de la instancia 44 de Madrid ha sido especialmente dura en su argumentación contra la operadora de telefonía. En el texto de la sentencia, se afea de forma explícita a la compañía el hecho de imponer unos requisitos “realmente laxos” para la tramitación de portabilidades y la emisión de duplicados de tarjetas SIM. La jueza subraya que, a diferencia de otras operadoras con protocolos más estrictos, en este caso las exigencias se limitaron a una simple indicación de una dirección postal. Al no exigirse una identificación fehaciente en la entrega, cualquier persona podía recibir la nueva tarjeta, lo que la sentencia califica como una “enorme falta de seguridad”.
Este descuido es crítico en la actualidad, ya que casi la totalidad de la operativa bancaria moderna está vinculada al dispositivo móvil como segundo factor de autenticación. Por tanto, la sentencia establece un nexo causal evidente entre la conducta negligente de la operadora y el éxito del fraude bancario. Cabe recordar que Vodafone ya arrastra un historial de sanciones por este motivo; la Agencia Española de Protección de Datos (AEPD) ya le impuso en el pasado una multa de cuatro millones de euros por casos similares de suplantación de identidad.
Por su parte, WiZink tampoco queda exenta de culpa. El tribunal indica que la entidad bancaria incumplió sus obligaciones en materia de autenticación reforzada de servicios de pago. La normativa vigente exige que, para validar una operación, se cumplan varios elementos de seguridad independientes. En este caso, el banco pasó por alto que fallaba el elemento de “posesión”, es decir, que el terminal que estaba validando las operaciones no era el del titular legítimo. Al no detectar esta anomalía en el proceso de verificación, el banco permitió que se realizaran cargos fraudulentos por un valor total de 4.047 euros, cantidad que ahora deberá devolver al cliente junto con los intereses correspondientes.
Este fallo judicial llega en un momento de gran agitación política y social respecto a la ciberseguridad financiera. Desde Asufin, se ha aprovechado este éxito judicial para instar al Foro de buenas prácticas financieras, creado por el Ministerio de Economía, Comercio y Empresa en 2022, a que sitúe el fraude como uno de los problemas más acuciantes para los ciudadanos. La magnitud del problema ha escalado hasta tal punto que el propio ministro de Economía, Carlos Cuerpo, anunció el pasado 10 de diciembre la creación de una brigada antifraude específica. Esta nueva unidad contará con la implicación directa del sector de las telecomunicaciones, reconociendo así que el problema no es meramente bancario, sino transversal.
La sentencia del juzgado madrileño envía un mensaje claro a las grandes corporaciones: la seguridad de los datos y de las líneas de comunicación no es un aspecto secundario, sino una obligación legal. La condena solidaria obliga a que tanto bancos como operadoras refuercen sus muros de seguridad, so pena de tener que asumir el coste económico de los delitos que su falta de rigor permita cometer. Para el usuario, este fallo representa un rayo de esperanza y una vía de protección ante la creciente vulnerabilidad en el entorno digital.
Multas a Digi, Orange y O2
Pero Vodafone no es la única condenada por no vigilar este tipo de fraude. La Agencia Española de Protección de Datos (AEPD) ha multado recientemente a Digi, Orange y O2 (Telefónica) imponiéndole diversas sanciones que ya superan el millón de euros acumulados debido a deficiencias en sus protocolos de seguridad.
Entre las resoluciones más destacadas de este año 2025, resalta una multa de 200.000 euros a Digi motivada por un caso de SIM swapping, donde la operadora permitió a un tercero obtener un duplicado de tarjeta sin verificar adecuadamente su identidad. Esta negligencia facilitó que los delincuentes accedieran a la banca online de la víctima, un patrón de comportamiento que la Agencia ha calificado como reincidente, dado que la compañía ya arrastra un historial de multas previas por fallos idénticos en la custodia de los datos de sus clientes.
A estas sanciones se suma otra reciente de 150.000 euros tras confirmarse una infracción grave del Reglamento General de Protección de Datos relacionada con la suplantación de identidad. En este caso, la operadora permitió que se diera de alta un contrato fraudulento y, posteriormente, incluyó a la víctima en ficheros de morosidad por una deuda que nunca contrajo.
Asimismo, la Audiencia Nacional ha ratificado que Orange vulneró la normativa de protección de datos al emitir duplicados de tarjetas SIM sin verificar adecuadamente la identidad de los solicitantes en incidentes ocurridos entre 2019 y 2020. Aunque inicialmente la AEPD impuso una multa de 700.000 euros, la justicia ha rebajado la sanción a 300.000 euros al valorar la rápida reacción de la compañía, que eliminó los quioscos de autoservicio y reforzó sus protocolos de activación para evitar nuevas brechas.
Por su parte, la operadora O2 también ha sido señalada por la AEPD tras registrarse en 2023 el primer caso de eSIM swapping en su red. En este incidente, un cliente denunció la pérdida total de servicio después de que unos atacantes lograran modificar su correo electrónico de contacto y solicitaran un duplicado virtual de su línea. Al tratarse de una tecnología eSIM, los delincuentes pudieron activar el número de forma remota sin necesidad de una tarjeta física, explotando la escasa seguridad de los procesos de validación de la compañía para tomar el control administrativo de la cuenta del usuario.
