Cuidado con la estafa del SMS: así suplantan la identidad a Deutsche Bank para estafar a sus clientes

Una sentencia reciente del Juzgado de Primera Instancia nº 22 de Valencia ha condenado a Deutsche Bank a devolver 5.055 euros a una clienta que fue víctima de una estafa digital a través de un mensaje de texto fraudulento. El caso pone sobre la mesa una técnica en auge conocida como smishing, y abre un nuevo frente sobre la responsabilidad de los bancos en fraudes online.

La estafa se ejecutó en agosto de 2024 y sigue un patrón cada vez más frecuente: el uso de ingeniería social para suplantar la identidad de entidades bancarias y manipular a los clientes hasta conseguir que autoricen transferencias bajo engaño.

Un SMS y una llamada

La víctima, una mujer de mediana edad, recibió un SMS que simulaba proceder de Deutsche Bank y que, como ocurre en estos casos, se integró en el mismo hilo de mensajes legítimos con su banco. El contenido del mensaje alertaba de un supuesto acceso no autorizado a su cuenta.

Minutos después, recibió llamadas desde el número oficial del Servicio de Atención al Cliente del banco (spoofing telefónico), donde un supuesto gestor le dio detalles personales, como su nombre y movimientos recientes, para ganarse su confianza. Le indicó que debía aceptar unas transferencias etiquetadas como “reembolsos” para evitar un robo de fondos.

Siguiendo esas instrucciones, la clienta terminó autorizando dos movimientos por un total de 5.055 euros, creyendo que estaba poniendo su dinero a salvo.

Francisco José Quevedo Redondo, abogado especializado en delitos digitales y responsable del Departamento de Fraudes Online de Asoban Abogados, explica que este caso no es un incidente aislado: “Nuestra clienta actuó en todo momento de buena fe. Fue manipulada emocional y técnicamente por delincuentes que simularon ser su entidad. Pero lo más grave es que el banco no reaccionó ante una operativa absolutamente inusual para ese perfil de cuenta”.

Quevedo recuerda que los bancos están obligados por ley a conocer la operativa habitual de sus clientes (principio KYC, Know Your Client) y a activar alertas ante movimientos sospechosos: “Estas transferencias, por importe, rapidez y destino, rompían por completo con el historial de la usuaria. Era una cuenta de ahorro con apenas actividad, por lo que estos movimientos deberían haber activado mecanismos de prevención automática del fraude”.

Una brecha de seguridad

La sentencia, dictada el 16 de julio de 2025, califica como “deficiente” el sistema de seguridad de la entidad bancaria. El magistrado señala que, pese a la activación de las transferencias por parte del usuario, el consentimiento se obtuvo mediante engaño deliberado y que el banco tenía obligación de detectar la anomalía de la operativa.

Además, el auto destaca que el beneficiario de ambas transferencias aparecía bajo el nombre de la propia clienta, algo “del todo incoherente” en una operación bancaria real. “No consta titular diferente, ni verificación del destino. La entidad no activó ninguna alerta preventiva a pesar de contar con medios para hacerlo”, reza el documento. En consecuencia, el juez ordena al banco devolver la cantidad estafada junto con intereses legales desde la fecha de reclamación.

Llega el verano y aumentan las estafas

El letrado confirma que este tipo de estafa se están multiplicando: “Durante los meses de verano, los fraudes de suplantación de identidad bancaria aumentan exponencialmente. La gente viaja, desconecta y es más proclive a confiar en comunicaciones urgentes, sobre todo si vienen de su banco”.

Estas campañas de estafa digital se apoyan en técnicas de spoofing, phishing y manipulación psicológica, y suelen ir dirigidas a perfiles que utilizan servicios de banca electrónica sin una gran familiaridad con los riesgos digitales.

Aunque las transferencias hayan sido validadas desde el móvil de la víctima, no todo está perdido. El letrado de Asoban recomienda actuar de forma inmediata: denunciar ante Policía Nacional o Guardia Civil; comunicar el fraude al banco lo antes posible para intentar bloquear las operaciones; recopilar pruebas (mensajes, llamadas, capturas); pedir asesoramiento jurídico especializado para iniciar una reclamación formal.

“En muchos casos, si se actúa rápido, es posible bloquear los fondos antes de que salgan del circuito bancario. Pero sobre todo, es fundamental saber que autorizar una transferencia bajo engaño no exime al banco de responsabilidad si no ha actuado con la diligencia debida”, subraya Quevedo. Este fallo contra Deutsche Bank no solo repara una pérdida individual. También abre el debate sobre la adecuación real de los sistemas antifraude de las entidades financieras.

La estafa digital

Según la normativa europea vigente, los bancos están obligados a implementar sistemas de detección de patrones anómalos, verificar los comportamientos inusuales y bloquear preventivamente operaciones potencialmente fraudulentas para evitar todo tipo de estafas.

La sentencia pone el foco en que una autenticación técnica (doble factor, código OTP, etc.) no es suficiente si el contexto de la operación es incoherente con el perfil del cliente. La seguridad bancaria no puede descansar únicamente en el usuario final, mucho menos si ha sido manipulado bajo una falsa identidad.

Este caso sienta un precedente relevante en el ecosistema de la banca digital y deja una advertencia clara: la responsabilidad de proteger al cliente frente a estafas no puede delegarse totalmente en él. Los bancos, al manejar datos sensibles y herramientas de verificación, deben actuar de forma proactiva para evitar que el engaño prospere. Porque si los sistemas antifraude no saltan cuando deberían, entonces no hay autenticación reforzada que valga.