El auge de los delitos informáticos ha vuelto a poner a los bancos en el punto de mira judicial. La Audiencia Provincial de Cáceres ha sido clara: una entidad deberá devolver 4.587,98 euros a una clienta que cayó en una estafa de phishing durante el confinamiento.
La resolución, el 22 de mayo de este año, destaca que el banco no supo prevenir ni detectar una operación anómala ejecutada por un tercero y obliga a la entidad al pago de los intereses legales y las costas del proceso.
El phishing bancario y cómo se cometió el fraude
Todo comenzó durante los días más duros del confinamiento. La afectada recibió dos correos electrónicos que aparentaban provenir del Banco Santander. En ellos se le advertía de un supuesto bloqueo de su cuenta, con un enlace para verificar su identidad. El mensaje no era real, pero la web a la que redirigía sí lo parecía. Introdujo sus claves sin sospechar que estaba dando acceso a su cuenta a un estafador.
Minutos después, su teléfono móvil recibió mensajes de texto que alertaban de un cambio en el número vinculado a la cuenta. Cuando accedió a la banca online, ya habían sido ejecutadas dos transferencias por un total de 4.587,98 euros a través de un servicio de envío de dinero externo, que permite realizar transferencias sin necesidad de una vinculación bancaria directa.
La víctima acudió a su entidad, denunció los hechos ante la Policía Nacional y presentó una reclamación formal a través de la Unión de Consumidores de Extremadura. Aun así, el banco negó toda responsabilidad.
¿Puede un banco negarse a devolver el dinero robado por fraude?
La entidad financiera argumentó que su clienta había incurrido en negligencia grave, al facilitar sus datos a través de un enlace externo. La clave estaba, según su tesis, en que las operaciones se autorizaron mediante los mecanismos habituales, lo que, a su juicio, exoneraba al banco de culpa, pero la Audiencia de Cáceres no lo vio así.
Basándose en la Directiva (UE) 2015/2366 sobre servicios de pago en el mercado interior y en el Real Decreto-ley 19/2018 de servicios de pago y otras medidas urgentes en materia financiera, el tribunal recuerda que no basta con acreditar que una operación fue autenticada técnicamente.
La norma establece expresamente que el uso del instrumento de pago (como introducir usuario y contraseña) no es suficiente por sí solo para demostrar que la operación fue autorizada por el cliente. Además, es el banco quien debe demostrar que el usuario actuó con dolo o negligencia grave, lo que no se probó en este caso.
El fallo recalca que caer en una trampa sofisticada de phishing no equivale a actuar con imprudencia grave. Más bien, refleja la complejidad de estas estafas, que han evolucionado para engañar incluso a usuarios razonablemente diligentes.
Error del cliente vs. negligencia grave
Un error del cliente puede ser confiar en un correo falso, pensar que la web a la que accede es la oficial o no darse cuenta de que ha sido engañado. Son fallos humanos. La negligencia grave, sin embargo, implica una falta total de precaución: por ejemplo, compartir tus claves con un tercero sin verificar nada. Los tribunales distinguen entre un descuido comprensible y una conducta que pone en serio riesgo la seguridad bancaria.
Obligaciones del banco ante operaciones no autorizadas
Desde hace años, la normativa europea ha reforzado la protección del consumidor frente a fraudes financieros. Ahora las reglas son claras, y el banco debe proteger los datos del cliente y asegurar que las credenciales de acceso solo las utilice su titular.
Cuando el cliente niega haber autorizado una operación, la ley impone al banco la carga de probar que hubo consentimiento válido y que no existió fraude ni negligencia grave por parte del usuario, como determina el artículo 44.3 del Real Decreto-ley 19/2018.
De hecho, el apartado 2 del mismo artículo señala que la mera utilización del instrumento de pago no basta para acreditar la autorización del cliente. Por eso, si el usuario fue víctima de una técnica de suplantación bien diseñada y actuó con la diligencia que se espera de un consumidor medio, el banco debe reembolsar el importe sustraído, tal como establece el artículo 45.1, salvo que acredite que el cliente actuó con dolo o negligencia grave.
El banco no aplicó medidas eficaces de prevención ni alertas ante el fraude
La sentencia pone el foco en algo que va más allá del acto puntual de introducir una contraseña. Subraya que las transferencias fraudulentas no encajaban con el patrón de uso habitual de la clienta, pues ella no solía realizar operaciones de más de 300 euros ni enviaba dinero al extranjero. ¿Por qué entonces no se activó ningún mecanismo de verificación adicional?
El tribunal señala que el sistema antifraude del banco falló. No solo no bloqueó las operaciones, sino que tampoco detectó que el número de teléfono asociado había sido modificado poco antes. Además, no se probó que la entidad aplicara un análisis de riesgo en tiempo real, como exige el Reglamento Delegado (UE) 2018/389.
¿Qué hacer si eres víctima de phishing bancario?
La víctima de este caso actuó correctamente: notificó rápidamente el fraude, denunció ante las autoridades y reclamó formalmente. Su actuación fue decisiva para que el tribunal reconociera su derecho a recuperar el dinero.
Recuerda: salvo que se demuestre negligencia grave, el banco está obligado a reembolsar las operaciones no autorizadas. Si te encuentras en una situación similar, los pasos clave que debes dar son:
- Contactar de inmediato con tu banco y dejar constancia del incidente.
- Presentar denuncia en comisaría, especificando todos los detalles del fraude.
- Conservar pruebas como correos electrónicos, SMS, pantallazos o confirmaciones de operaciones.
- Buscar asesoramiento legal especializado en derecho bancario para iniciar el proceso de reclamación.
Más protección para los consumidores frente al fraude bancario
Este fallo vuelve a poner en el centro del debate la responsabilidad del banco frente al avance del fraude digital. La jurisprudencia avanza en una dirección clara: los clientes deben ser protegidos frente a técnicas sofisticadas de suplantación de identidad, y no puede exigírseles un nivel técnico de experto en ciberseguridad.
Cada vez más sentencias reconocen que las entidades bancarias deben proteger proactivamente a sus clientes. Los jueces valoran el contexto, el perfil del usuario y la tecnología empleada en el fraude para determinar si la entidad actuó con la diligencia debida. Recordemos que la confianza del cliente también se protege con prevención eficaz y sistemas de detección a la altura de los riesgos actuales.
Sigue toda la información inmobiliaria y los informes más novedosos en nuestra newsletter diaria y semanal. También puedes seguir el mercado inmobiliario de lujo con nuestro boletín mensual de lujo.
Phishing: cómo actuar si te llega un mail o sms disfrazado de idealista
El ‘phishing’ o la suplantación de identidad es un problema creciente. Básicamente consiste en que ciberdelincuentes mandan un correo electrónico o un sms a usuarios de algún determinado servicio on line haciéndose pasar por alguna empresa conocida, aunque en realidad no es más que una trampa. Este tipo de envíos sólo tienen la intención de engañar al usuario para que les revele o les permita acceso a su información personal o bancaria.
Para poder comentar debes Acceder con tu cuenta