Las estafas digitales se han convertido en un desafío constante para las empresas, no solo por sus consecuencias económicas, sino también por las responsabilidades legales que pueden derivarse. Un reciente fallo del Tribunal Supremo (STS n.º 136/2025, de 19 de febrero) confirmó que una empresa puede ser considerada responsable civil subsidiaria si, tras detectar una brecha de seguridad, no adopta las medidas de diligencia debida para evitar nuevos fraudes.
El caso
La empresa A sufrió una intrusión en su sistema informático que permitió el envío de correos fraudulentos a empresas con las que mantenía vínculos comerciales. Aunque detectó el incidente tras un intento de estafa a la empresa B, no advirtió a otros socios comerciales. Al día siguiente, la empresa C cayó en el engaño y realizó una transferencia a una cuenta fraudulenta.
En primera instancia, la compañía fue eximida de responsabilidad civil subsidiaria, pero la decisión fue revocada en apelación y confirmada por el Tribunal Supremo, que la condenó a indemnizar los daños.
Fundamentos jurídicos
El fallo se apoya en el artículo 120.3 del Código Penal, que establece la responsabilidad civil subsidiaria de personas jurídicas cuando, en sus establecimientos, se cometen delitos debido al incumplimiento de normas o deberes de cuidado.
El Supremo sostuvo que:
- El concepto de “establecimiento” abarca no solo espacios físicos, sino también los sistemas informáticos y tecnológicos, hoy esenciales para cualquier actividad empresarial.
- La infracción reglamentaria incluye la omisión de deberes profesionales, como alertar a terceros ante una brecha de seguridad que pueda replicar el fraude.
Conclusión práctica
La sentencia deja una enseñanza clara: ante una brecha de seguridad, las empresas deben reaccionar de inmediato, informar a sus clientes y adoptar medidas preventivas. De lo contrario, podrían ser condenadas a responder civilmente por los perjuicios ocasionados, incluso cuando el fraude sea cometido por terceros.
Diario Juridico
