Las estafas digitales son, sin duda, un tema de máxima actualidad. En esta ocasión, lo analizamos desde una perspectiva distinta: la responsabilidad civil subsidiaria que puede surgir para la empresa que ha sufrido la brecha de seguridad, en caso de no actuar con la diligencia debida una vez detectada dicha brecha. Lo hacemos a través del análisis de la STS núm. 136/2025, de 19 de febrero, una sentencia dictada por de la Sala de lo Penal que, al abordar una cuestión de naturaleza civil, puede ser tratada desde el departamento de Litigación Civil.
El caso
La sentencia en cuestión examina un supuesto en el que la empresa A sufrió una brecha de seguridad en su sistema informático. A raíz de ello, se empezaron a remitir correos fraudulentos a la empresa B, con quien mantenía una relación comercial. Aunque la empresa A detectó el incidente, no alertó a otras empresas con las que también tenía vínculos comerciales. Al día siguiente, se repitió el fraude con la empresa C, que a diferencia de la empresa B, cayó en el engaño y realizó una transferencia a una cuenta que no pertenecía a la empresa A.
En primera instancia, se eximió a la empresa A de la responsabilidad civil subsidiaria solicitada en el procedimiento penal. Sin embargo, esta decisión fue revocada en segunda instancia, condenándola como responsable civil subsidiaria del pago de la indemnización. El Tribunal Supremo confirmó este pronunciamiento, desestimando el recurso de casación interpuesto por la empresa A, mediante los argumentos que analizamos a continuación.
El marco legal
El artículo 120.3 del Código Penal (CP) establece que serán responsables civilmente, en defecto de los responsables penales:
“3. Las personas naturales o jurídicas, en los casos de delitos cometidos en los establecimientos de los que sean titulares, cuando por parte de los que los dirijan o administren, o de sus dependientes o empleados, se hayan infringido los reglamentos de policía o las disposiciones de la autoridad que estén relacionados con el hecho punible cometido, de modo que éste no se hubiera producido sin dicha infracción”.
La empresa A formuló dos motivos de recurso, centrados en los requisitos exigidos por el artículo 120.3 CP para determinar la responsabilidad civil subsidiaria:
- Que el delito se haya cometido en el “establecimiento” de la empresa, argumentando que el entorno digital no puede considerarse como tal.
- Que se haya infringido un “reglamento de policía o disposiciones de la autoridad”, otro requisito esencial del precepto.
La interpretación del Tribunal Supremo
El Alto Tribunal resolvió ambos motivos con claridad, declarando, tras recordar los requisitos legales para el nacimiento de la responsabilidad civil subsidiaria, lo siguiente:
- Sobre el concepto de “establecimiento”, señala que el Código Penal no lo define con precisión, pero la jurisprudencia lo ha interpretado de forma amplia, incluyendo establecimientos públicos y privados dedicados a cualquier tipo de actividad. En la actualidad, el sistema informático es un elemento imprescindible en el desarrollo de cualquier actividad empresarial, por lo que “resulta difícil negar que el sistema informático y los medios tecnológicos utilizados (…) no queden abarcados por el término establecimiento”. En este contexto, recuerda que la Sala siempre ha interpretado de manera amplia los requisitos de la responsabilidad que se dirime. Así, se deja muy claro que el entorno digital que la recurrente alegaba que no se podía relacionar con el elemento locativo exigido por el art. 120.3 CP es totalmente apto para considerarse como tal.
- Respecto a la infracción de reglamento, la Sala recuerda que la jurisprudencia ha extendido este concepto a las normas de actuación profesional, incluyendo “cualquier violación de un deber impuesto por ley o por cualquier norma positiva de rango inferior, incluso el deber objetivo de cuidado que afecta a toda actividad para no causar daños a terceros”. Ante la detección de una incidencia previa, con la empresa B, la empresa A no adoptó ninguna medida para alertar a otras empresas, de tal modo que se reprodujo el fraude al día siguiente y la empresa C cayó en el engaño. Esta omisión se considera una infracción reglamentaria en los términos del artículo 120.3 CP. Además, la Sala también recuerda que la relación entre la infracción y el daño debe ser simplemente adecuada, de manera que el resultado dañoso se vea propiciado por ella.
Conclusión práctica
De este análisis podemos extraer una conclusión relevante: las empresas deben actuar con diligencia tan pronto detecten una brecha de seguridad, adoptando medidas como informar a sus clientes o terceros con los que exista riesgo de replicación del fraude. En caso contrario, podrían incurrir en responsabilidad civil subsidiaria, al considerarse que se han desatendido las normas debidas como profesionales y que, por ende, la empresa debe responder subsidiariamente de la indemnización de daños, que equivaldrá al importe sustraído por el estafador.
Soobre la autora
Clara Carrera Soler, abogada área Litigación y Arbitraje. AGM Abogados
