En los últimos años, los ciberataques se han convertido en un fenómeno creciente. La geopolítica actual (con conflictos internacionales, cibercriminalidad organizada y campañas de desestabilización) ha multiplicado su frecuencia y, sobre todo, su impacto en empresas cuya actividad depende de sistemas informáticos (que son prácticamente todas). Precisamente esto hace que la sentencia del Tribunal Supremo que analizamos sea especialmente importante. El asunto gira en torno a una pregunta muy sensible para las empresas y para la Administración laboral:
¿Puede una empresa aplicar un ERTE por fuerza mayor cuando sufre un ciberataque que paraliza totalmente la actividad y deja a las personas trabajadoras sin posibilidad real de prestar servicios?
La STS 683/2025 responde que sí, y lo hace aplicando de manera actualizada el concepto tradicional de fuerza mayor a las nuevas realidades tecnológicas. La sentencia analiza si un ataque ransomware, que inutiliza servidores y sistemas clave, puede considerarse un hecho externo, inevitable y extraordinario, habilitando la suspensión temporal de contratos prevista en el art. 47 ET.
Fundamentos jurídicos
La STS 683/2025 argumenta de la siguiente forma
Concepto jurisprudencial de fuerza mayor
El Tribunal recuerda su propia doctrina (especialmente la STS de 22/07/2015) sobre el significado de fuerza mayor:
- Históricamente se entendía que la fuerza mayor eran hechos imprevisibles e inevitables, sin embargo, la doctrina actual admite que será fuerza mayor los hechos previsibles si son inevitables, esto es, insuperables e irresistibles.
- Deben ser externos a la voluntad de la empresa.
- Se trata de sucesos extraordinarios que rebasan lo previsto en la vida normal de la empresa.
- La imprevisibilidad no es exigida estrictamente: basta con la inevitabilidad.
El Tribunal subraya que un ciberataque es externo a la empresa y que aunque pertenece a la categoría de hechos previsibles son, en ocasiones, inevitables.
Un ciberataque no es causa técnica
El Tribunal rechaza expresamente que un ataque de ciberseguridad deba calificarse como “causa técnica o productiva”.
- El tribunal argumenta que el hecho de que la empresa opere con medios informáticos no convierte un ataque informático en algo en ordinario del devenir de la empresa.
- La diferencia clave es:
– Fuerza mayor: suceso exterior, extraordinario e inevitable.
– Causa técnica/organizativa: situación creada o favorecida por la propia empresa en su actividad ordinaria.
Inevitabilidad y excepcionalidad del hecho
El Tribunal analiza el ataque concreto sufrido:
- Fue masivo, paralizó servidores, bases de datos y aplicaciones esenciales.
- Afectó a más de 1200 equipos, inutilizando por completo la infraestructura digital.
- Se desconocía el vector de entrada del malware por más que existían sistemas de seguridad avanzados (ISO 27001, antivirus, cortafuegos, auditorías, procedimientos).
Este nivel de afectación demuestra, según la Sala, que el suceso rebasó cualquier previsión razonable en el curso normal de la vida empresarial, cumpliendo así el estándar de inevitabilidad.
Conclusión jurídica:
El Tribunal sintetiza su decisión en tres ideas principales:
- El ciberataque fue externo, extraordinario e inevitable, pese a que fuera un riesgo conocido.
- El ataque causó una imposibilidad objetiva y generalizada de prestar servicios.
- Habían sistemas de protección, solo que el ciberataque fue tan masivo que los superó
VALORACIÓN: no todo ciberataque será fuerza mayor
En mi opinión, esta sentencia, con la cita a anteriores sentencias que siguen el mismo criterio, es muy relevante por varias razones.
La primera porque establece los criterios dando seguridad jurídica. De esta forma, como regla general ya sabemos que aunque sea previsible, en la geopolítica actual, que haya ciberataques esto no impide que pueda ser FM.
Los criterios determinantes será la inevitabilidad. Así, en mi opinión, la clave está en que no cualquier ciberataque será FM. Sino solamente aquellos extraordinarios de tal magnitud que realmente sean inevitables. Para ello, el Tribunal nos recuerda que la empresa debe haber tomado medidas protectoras suficientes y que solamente en caso de que el ciberataque sea de tal magnitud que supere las mismas, en tal caso habrá fuerza mayor.
Aquí os dejo la sentencia para que la podáis leer
Y no olvidéis suscribiros al blog si os interesa el Derecho del Trabajo.
Muchas gracias por el aporte.
Trabajo en Apostilla Mundial para la legalización de documentos
La STS 683/2025 responde que sí, y lo hace aplicando de manera actualizada el concepto tradicional de fuerza mayor a las nuevas realidades tecnológicas Sprunki
Your post on such an teresting subject has left me speechless. I regularlyly check out your blogs and stay current by reading the material that you offer; nevertheless, the blog that you have posted today is the one that I appreciate the most.
Really impressed with TonyBet Canada ! The platform feels fresh and well-organized. Betting on my favorite teams is seamless, odds are competitive, and cash-out feature saves me in tense moments. Casino section is loaded with exciting slots and live dealer games that run smoothly. Promotions are frequent and fair. Security is solid, and I never worry about my funds. TonyBet keeps getting better — definitely one of the top choices for online gaming right now.
Excellent analysis on the landmark Supreme Court ruling (STS 683/2025) regarding cyberattacks as a force majeure event for ERTE purposes. pokemon overlord The court’s nuanced interpretation provides much-needed clarity on the matter, highlighting the importance of inevitability and preparedness in determining force majeure.
Esto de los ciberataques es un lío total. Si una empresa no está preparada, se queda en la calle. Puedes leer más al respecto aquí Text to Song AI.