La sentència del Tribunal Suprem nº136/2025 resol un recurs de cassació presentat per GAMBOA AUTOMOCIÓN S.A., condemnat com a responsable civil subsidiari per una estafa informàtica que va afectar l’empresa CYASA (Comerç i Assistència S.A.).
L’estafa es va produir a l’abril de 2018 quan tercers van suplantar el correu d’un empleat de Gamboa per a induir a CYASA a realitzar una transferència per més de 32.000 euros a un compte fraudulent. El Tribunal confirma la responsabilitat subsidiària de Gamboa per ometre mesures de prevenció després d’una bretxa de seguretat detectada el dia anterior als fets.
La qüestió clau que analitza el Suprem gira entorn de si els requisits de l’article 120.3 del Codi Penal es compleixen per a imposar aquesta responsabilitat civil. Aquest article exigeix que: el delicte es cometi en un «establiment» de l’entitat; existeixi infracció de normes reglamentàries o disposicions de l’autoritat atribuïble als seus administradors o empleats; i que aquesta infracció estigui relacionada causalment amb el delicte.
El Tribunal assenyala que el sistema informàtic—com mitjà habitual i necessari—forma part de l’entorn funcional del negoci, per la qual cosa, malgrat que el delicte no va ocórrer físicament en un local, sí que va ocórrer en un «entorn operatiu» de l’empresa.
Així mateix, l’empresa va incórrer en una omissió rellevant, doncs, malgrat a haver detectat un incident similar amb una altra empresa (Romauto Motion S.A.) el matí del 10 d’abril de 2018, Gamboa no va avisar als seus altres socis comercials ni va prendre mesures per a prevenir un nou atac.
Per tot l’exposat, el Tribunal va considerar provat que va haver-hi una bretxa de seguretat en el seu sistema informàtic i que la falta de comunicació i inacció de l’empresa va ser clau perquè el frau a CYASA es consumés.
Lliçons clau per a les empreses
Aquesta sentència marca un precedent important:
- No actuar davant una bretxa de seguretat equival a assumir riscos legals.
- Les empreses tenen un deure proactiu de protecció i de comunicació quan detecten vulnerabilitats que poden afectar tercers.
- No és necessari identificar a l’empleat culpable perquè s’imposi responsabilitat civil a l’empresa.
- Les mesures preventives no són opcionals. Són una obligació legal i operativa.
Conclusió
Aquesta sentència és un advertiment clar per a totes les empreses: si una empresa detecta una incidència de seguretat i no informa ni actua amb rapidesa, pot acabar condemnada, encara que no hagi participat en el delicte.
Avui més que mai, la gestió de riscos digitals és part essencial del compliment legal i del deure de diligència empresarial. I quan aquest deure s’incompleix, els costos van molt més allà del tecnològic: impacten en la reputació, les finances i la responsabilitat jurídica de l’empresa.
Com sempre, cuideu les dades i cuideu-vos!
Per llegir la resolució, fes clic aquí.
