Fraude financiero y protección del consumidor: cuando el sistema falla y el cliente paga

En estos últimos años se ha vuelto común y les ocurre a miles de ciudadanos a diario el acceder a su cuenta bancaria y verla vaciada sin previo aviso. Esta nueva forma de delinquir, conocida como phishing, consiste en que los ladrones suplantan al banco con técnicas cada vez más sofisticadas, vaciando las cuentas de las víctimas.

No es necesario que el usuario comparta imprudentemente sus claves, realice compras en comercios de dudosa legalidad o lo realice por un despiste. Con datos oficiales del Ministerio del Interior en la mano —más de 270.000 delitos informáticos en 2023 y 3.500 millones de euros sustraídos anualmente— lo que supone una auténtica amenaza y que puede afectar a cualquier ciudadano.

Ante estas amenazas, las entidades bancarias continúan salvaguardando su entidad basando su defensa jurídica en la negligencia del cliente. Este argumento, utilizado sistemáticamente para denegar la devolución del dinero robado, presupone que el usuario ha actuado de forma imprudente, casi cómplice de su propio fraude. Pero ¿podemos continuar sosteniendo esta premisa en un contexto en el que el engaño está concebido por auténticas organizaciones delictivas que reproducen con exactitud meticulosa los mensajes, canales e incluso los procedimientos de los propios bancos?

La ley europea Directiva PSD2, la Ley de Servicios de Pago y el Reglamento Delegado 2018/389 asignan a las instituciones bancarias el deber de establecer sistemas sólidos de autenticación y análisis de riesgo en tiempo real. No obstante, la realidad nos revela que numerosos bancos continúan empleando sistemas vulnerables, como los códigos OTP transmitidos por mensaje de texto, que desde hace tiempo entidades como el NIST o el Centro Criptológico Nacional han desaconsejado debido a su inseguridad.

(Imagen: E&J)

Lo que defendemos desde despachos como dPG Legal —y que hemos sostenido en más de 1,3 millones de euros recuperados para víctimas de fraude— es que la responsabilidad del banco debe entenderse como cuasi objetiva. En otras palabras, si el sistema de seguridad falla y el fraude es tan sofisticado que puede engañar a un usuario común, la entidad tiene la obligación de actuar, a menos que pueda demostrar que el cliente actuó con una negligencia grave no provocada.

Casos como el que se desarrolló en Audiencia Provincial de Lleida (sentencia Sec. 2ª, n.º 303/2024) marcan jurisprudencia: no basta con alegar que el cliente “debió sospechar”. Es necesario acreditar que la conducta fue verdaderamente temeraria y consciente, y no fruto de una manipulación llevada a cabo por delincuentes expertos en estos delitos.

No nos encontramos frente a situaciones aisladas y poco frecuentes. Muy al contrario, los datos oficiales y la experiencia acumulada en los tribunales demuestran que estamos ante una verdadera anomalía estructural del sistema financiero digital. No se trata de errores puntuales ni de casos excepcionales, sino de un patrón repetido que evidencia fallos graves en los mecanismos de prevención, detección y respuesta frente al fraude en línea.

Esta realidad exige una reacción firme y coordinada, que no puede limitarse únicamente a la acción de los juzgados, sino que debe extenderse a todos los niveles: desde la actuación diligente de las entidades financieras hasta la adopción de políticas públicas efectivas, pasando por una transformación en la conciencia colectiva. Porque mientras el discurso siga responsabilizando a las víctimas por no haber detectado un engaño perpetrado por delincuentes profesionales, estaremos perpetuando una injusticia intolerable. En el fraude digital, la víctima no puede —ni debe— ser tratada como culpable.

La banca, que ha obtenido un gran beneficio de la digitalización, ahora no puede liberarse de sus riesgos. No se tolera que los habitantes abonen con sus ahorros la ausencia de inversión en seguridad o la negligencia en identificar enlaces malintencionados que se propagan por medios tan elementales como un correo electrónico o un mensaje de texto. Las organizaciones poseen los medios, la tecnología y el deber jurídico de resguardar a sus clientes. Lo que a menudo falta es la voluntad.