El cumplimiento de la normativa es siempre una máxima que cualquier entidad debe perseguir. La normativa de ciberseguridad establece un régimen de responsabilidad administrativa bastante exigente. De este modo, la Directiva NIS-2 determina multas administrativas que pueden alcanzar los 10 millones de euros o del 2% del volumen de negocios anual total a nivel mundial de la organización. Todo ello, sin entrar en el daño reputacional que puede resultar para una entidad el hecho de las posibles publicaciones de sanciones en medios de comunicación o la pérdida de confianza por parte de clientes y socios comerciales.

La responsabilidad civil de las organizaciones

En el ámbito de la responsabilidad civil, cualquier organización también responde de un comportamiento negligente o culposo, conforme a las reglas previstas en el Código Civil.  La inobservancia de los controles previstos en la normativa de ciberseguridad puede llegar a suponer que se genere un daño a un cliente. Supone que el daño es imputable objetivamente a la entidad, en tanto que ha omitido su obligación de establecer medidas tendentes a proteger los sistemas de información.

Un caso práctico: la sentencia de Guadix

Recientemente, se ha publicado una sentencia de la Sección Civil y de Instrucción del Tribunal de Instancia de Guadix número 2 que examina el cumplimiento de la normativa de ciberseguridad. El juzgador examina el caso de un cliente de una entidad bancaria estafada con la técnica de smishing.  La Sentencia de 4 de julio de 2025 analiza las obligaciones legales en materia de ciberseguridad derivadas de la Directiva NIS-2 y del Reglamento DORA, además de las obligaciones que establece la normativa de servicios de pago. Con respecto a la normativa de servicios de pago, el juzgador considera que no queda probado que la persona estafada cometiera fraude o negligencia grave en el uso de la aplicación bancaria y que notificó la utilización no autorizada de sus claves en cuanto tuvo conocimiento. El juzgador analiza la procedencia de las operaciones considerando que las operaciones suplantadas se realizan desde cuatro dispositivos distintos en un espacio corto de tiempo y 24 operaciones de órdenes bancarias, solicitudes de altas de tarjetas de prepago, compas y pago en efectivo en cajeros. Esta situación, debería haber sido posible evitar por la entidad bancaria ya que denota un uso inusual por parte un cliente legítimo.

La Sentencia, respecto al Reglamento DORA detalla que «(…) no se ha aportado por la entidad bancaria sus políticas de gobernanza y control de ciberseguridad, su gestión de riesgos, sus medidas de supervisión continua, medidas de detección rápida de anomalías, las comunicaciones a los clientes en caso de incidente es de ciberseguridad, y sobretodo las políticas de la entidad bancaria que limiten el acceso físico o lógico a los activos de información y activos de TIC a lo que sea necesario únicamente para funciones y actividades legítimas y aprobadas, o las políticas y protocolos para mecanismos de autenticación fuerte, basados en estándares pertinentes y sistemas de control específicos, y medidas de protección de las claves criptográficas mediante las que se cifran los datos en función de los resultados de los procesos aprobados de clasificación de datos y evaluación de riesgos relacionados con las TIC» [el resaltado en negrita es del juzgador de instancia].

Además, según se detalla, la entidad se había visto involucrada en una campaña masiva, que se ha llegado a usurpar la identidad de la propia entidad y que no consta comunicación del ciber incidente al CERT competente o una comunicación a los clientes con las posibles medidas a adoptar.

En resumen, de una estafa, en la que se ve involucrado un cliente, también puede derivar en una responsabilidad de la entidad bancaria por este hecho delictivo. En el caso examinado, queda acreditado que deberían haberse aportado al procedimiento judicial por parte de la entidad evidencia de cumplimiento de las obligaciones de la normativa de ciberseguridad, en particular, de aquellos mecanismos que hubieran podido evitar el fraude; máxime cuando una organización se ha visto involucrada en brechas de seguridad con altas implicaciones para sus clientes. Es totalmente necesario cumplir con las obligaciones de notificación a las autoridades de control y comunicación a los afectados, de tal manera que estos últimos tengan conocimiento de los riesgos existentes y de las medidas de cautela que tienen que observar.

Santiago Cruz
Govertis, parte de Telefónica Tech