El cas s’origina l’octubre de 2024, quan una clienta va rebre un SMS que aparentava ser del seu banc, en el qual se li indicava que havia d’actualitzar el sistema de seguretat per continuar utilitzant la banca online. El missatge es va rebre des del mateix fil habitual de comunicacions de l’entitat, amb una aparença totalment versemblant.
A partir d’aquest moment, es va desplegar un mecanisme d’engany especialment elaborat: la clienta va accedir a una web que replicava la del banc, va rebre comunicacions per WhatsApp i trucades telefòniques de persones que es feien passar per gestors, i se li va indicar la instal·lació d’una aplicació aparentment oficial. En realitat, es tractava d’un programari maliciós que va permetre als ciberdelinqüents accedir a la seva banca online i efectuar una transferència fraudulenta de 15.000€, sense que la clienta autoritzés l’operació ni facilités credencials sensibles.
Tot i que la clienta va actuar amb immediatesa —contactant amb l’entitat el mateix dia, bloquejant els comptes i interposant denúncia— el banc va rebutjar la devolució de l’import, al·legant que la transferència havia estat correctament autenticada.
Davant aquesta situació, es va interposar demanda en base al Reial decret llei 19/2018 de serveis de pagament. La Sentència núm. 40/2026 del Jutjat de Primera Instància núm. 6 de Vic ha estimat íntegrament la demanda i ha condemnat al banc a retornar els 15.000€, amb interessos i costes.
La resolució aplica la doctrina del Tribunal Suprem (STS 571/2025), i reforça el criteri que quan una operació no ha estat autoritzada pel client, és l’entitat financera qui ha d’assumir la responsabilitat, excepte que pugui acreditar una negligència greu.
En aquest cas, el jutjat conclou que la clienta va ser víctima d’un engany sofisticat i que no va actuar amb negligència greu, mentre que l’entitat no va adoptar les mesures de seguretat suficients per evitar el frau.