Miguel Ángel Marqués, el abogado que ganó a la banca un caso de ‘phishing’ en el Supremo: “La doble autenticación genera aún más problemas”

De abogado en entidades financieras como Caja Rural Aragón o Bantierra en 1994 a trabajar como abogados en distintas firmas hasta crear su despacho propio, Axio Abogados en Zaragoza sobre reclamaciones bancarias del que es socio.  En los últimos años Miguel Ángel Marqués se ha especializado en temas de phishing bancario, revolving y otras reclamaciones bancarias. Su mejor tarjeta de visita es la web operativa que hay con su nombre.

Al leer el reportaje que publicamos en Economist & Jurist sobre la sentencia del Tribunal Supremo, aquel cliente suyo llamado Sergio, contacta por LinkedIn con el medio de comunicación. Es el preámbulo de una conversación con un letrado experto en la materia que avanza otra noticia que destacamos en esa información “los otros dos asuntos que hay en el Supremo son de Ibercaja, la entidad desiste, se le condena en costas, con lo cual no habrá pronunciamiento de la Sala ni se creará jurisprudencia sobre el asunto”.

Desde su punto de vista “hay que leer con calma la sentencia del Juzgado de Instrucción número 7 de Zaragoza, del magistrado Francisco de Paula. Trabajo muchísimo el tema tras el juicio. Fue el inicio del asunto que en cinco años llegó al Supremo. Ese juez, que esa semana estuvo de guardia hizo un desarrollo claro de cuál es la problemática de los bancos y de la falta de medidas tecnológicas. Deben invertir más y mejor en medidas de seguridad porque hay carencias importantes. Ahora sabemos que ha sido promocionado a la Audiencia Provincial de Barcelona. Un magistrado que hace bien las cosas”, aclara Marqués.

Este especialista en reclamaciones bancarias ha gestionado los cuatro asuntos que han llegado a la Sala Civil por phishing. Todos relacionados con Ibercaja: “El primero que se resolvió fue el de la sentencia última de 9 de abril del 2025. Antes tuve otro que el Supremo inadmitió a tramite el recurso de casación de Ibercaja.  Al final según explicaban ustedes en su reportaje, el ser un tema novedoso es lo que le llevó a los magistrados del Gabinete Técnico de la Sala Civil a admitir este recurso por el alcance social de la resolución”.

La Sala Civil del Supremo ya ha resuelto un asunto sobre ‘phishing’; en otro desestimó el recurso de casación de Ibercaja; y en los otros dos la entidad financiera desistió en el procedimiento. (Imagen: Poder Judicial)

En su opinión, ambas sentencias —la del magistrado de primera instancia, De Paula, y la del Supremo, de Manuel Almenar— son importantes porque “con estos fallos judiciales se contribuye a que las entidades financieras mejoren sus medidas de seguridad relacionadas con la banca online. Tienen que se proporcionadas a los riesgos que existen hoy en día. Deben seguir la normativa de servicios de pago y la de prevención de blanqueo de capitales. La realidad es que se utiliza el sistema financiero para blanquear el dinero de estos grupos que están detrás de estos fraudes bancarios en muchas ocasiones”.

A su juicio, “la principal alegría de este fallo de la Sala Civil del Supremo es generar estos cambios en las medidas de seguridad de los bancos. Mantengo buenas relaciones con abogados de entidades financieras, ellos son conscientes que hay que mejorar esas medidas de seguridad porque el sistema de doble autenticación que se ha desarrollado estos años no ha ayudado a frenar la expansión del fraude online bancario. Esta sentencia habla del duplicado de la tarjeta SIM, pero hay otros fraudes de phishing como la suplantación de identidad, envió SMS maliciosos o llamadas que te hacen pasándose por la sucursal de tu banco. Todo es muy peligroso y contundente para el usuario”.

El fraude ‘online’ crece

“Sin embargo, en todos estos supuestos tanto la normativa de servicios de pagos como la jurisprudencia en estos últimos cinco años de las audiencias provinciales refuerza los derechos de los consumidores. La expansión del fraude online bancario es notable y en este escenario faltaba un pronunciamiento como el realizado por Manuel Almenar, magistrado de la Sala Civil del Supremo. Sobre los otros tres asuntos en los que desiste Ibercaja, dos eran de particulares de mayor de edad y otro de una gran empresa del Puerto de Barcelona que sufrieron dicho fraude online. En este primer caso se inadmitió el recurso de casación de Ibercaja. Hubo robo de datos y credenciales, eran dos hermanas. Una noche les sacaron 60.000 euros de trece transferencias”.

En cuanto a la solución de esta lacra, phishing o fraude online que está creciendo de forma notable en los últimos años, algunos expertos creen que estas reclamaciones van a hacer pequeñas aquellas otras de cláusulas suelo generalizadas en muchos despachos. “Es necesario mejorar las medidas de seguridad existentes. Cuando surgió la sentencia del Juzgado número 7 de Zaragoza me la pidieron algunas entidades bancarias para intentar mejorar la seguridad de algunas oficinas, en función de lo que decía el magistrado. Sé que alguna entidad ha hecho caso al magistrado y cambiado la forma de acceso a la banca electrónica”.

Los casos de ‘phishing’ crecen de forma notable porque las medidas de seguridad de los bancos no son las idóneas. (Imagen: E&J)

Sobre estas medidas, “en dicho fallo judicial se indica limitar a un dispositivo móvil el acceso a la aplicación de banca electrónica. En muchos asuntos que he llevado he pedido información de las conexiones IP donde se estaban efectuando los movimientos. Cuando entras en banca electrónica haces un mapeo con tus movimientos. Se puede ver esos movimientos de un usuario en esa banca online y ver desde donde entra. Eso es importante porque cambiaria el patrón de uso. Si una persona utiliza la banca electrónica en un 95% en una serie de sitios, hay medios para detectar quién hace esos movimientos. Con estos fallos judiciales se fuerza a las entidades bancarias a mejorar sus medidas de seguridad”, aclara Marqués.

La eclosión de estos asuntos ha sido en estos últimos cinco años con la llegada de los sistemas de doble autenticación “no han servido para nada y generan aún más problemas. Antes teníamos las tarjetas de coordenadas y la normativa europea de servicios de pago obligó a incluir dicho factor de autenticación. Hemos ido a peor. Ha incrementado el riesgo de las operaciones online, cuestión que antes del 2019 no era significativo en número. Hay que mejorar por ello, la autenticación de los usuarios porque hay forma de mejorarlo. Es importante trabajar en ello porque mejoraría la seguridad de los clientes en sus operaciones en banca online”.

La identificación del usuario es la clave

Para este jurista, cuando se acusa a las reclamaciones masivas contra la banca de atascar los tribunales de justicia, tiene claro cuál es su punto de vista sobre esta cuestión, ahora de nuevo actualidad “el problema es que los banco quieren litigar. Como abogado de consumidor estoy obligado como primer paso a interponer una reclamación extrajudicial previa contra la entidad financiera, antes de ir a pleito. La verdad es que hacen caso omiso y la mayor parte de los asuntos acaban en los tribunales. Ellos se aprovechan de la lentitud de los juzgado para apurar al máximo en vía judicial. En temas de phishing, no quieren saber nada. Te dicen que la operación se ha hecho con el doble factor de autenticación, para luego tildar al cliente como negligente, aunque no lo sea”.

Miguel Ángel Marqués: «Siempre he pensado que en algunas situaciones la comercialización de la banca electrónica podría ser una práctica abusiva». (Imagen: cesión propia)

Miguel Ángel Marqués recuerda en el primer juicio que tuvo sobre estos asuntos de phishing en el 2020 tuve el interrogatorio del área de seguridad del banco de Ibercaja. Aun me acuerdo la respuesta que me dio. Casi literalmente me dijo que habría que sacrificar la seguridad por la experiencia de usuario. Da la sensación que para ellos es más importante colocarle a una señora de 80 años una banca online que meter dinero para mejorar estas medidas de seguridad. Al final la justicia ha colocado a cada uno en su sitio, como puede verse por este fallo judicial del Tribunal Supremo y otros de distintos tribunales que cada vez más respaldan los derechos de los consumidores”.

El efecto de esta sentencia del Supremo está generando reuniones en los principales bancos de nuestro país. “Es posible que veamos algunos cambios técnicos en materia de seguridad y acceso a las aplicaciones de banca electrónica. Sin embargo, insisto en que hay que poner el foco en las medidas de seguridad. Si al final son ellos los que nos ofrecen un modelo de banca electrónica para convertirnos en una especie de pseudoempleados y así reducir los costes que tiene el banco, lo suyo es que ellos asuman el riesgo por colocar ese producto financiero. Siempre he pensado que en algunas situaciones la comercialización de la banca electrónica podría ser una práctica abusiva”.

Para defender esas tesis, Marqués cree que “no es normal que se obligue a una señora de mayor edad, sin formación sobre estos temas, a tener un contrato de banca electrónica, el hecho de tenerlo abre la puerta a que terceros desde fuera puedan entrar en sus cuentas bancarias. Tienen que invertir mucho más de lo que dicen las entidades bancarias. Mientras haya casos de phishing o fraude online es que hay posibilidad de mejoras en las entidades bancarias. Si ofrecen este servicio deben hacerlo con toda la seguridad para que no se genere este tipo de fraudes online. Los poderes públicos deben sancionar con más rigor estas infracciones y exigir un sistema de autenticación más seguro. El uso de blockchain podría ser útil para una mejor autentificación del usuario”.