Fraudes digitales: te estafan y el banco dice que es culpa tuya

Los bancos han conseguido la cuadratura del círculo: digitalizar sus servicios para reducir costes operativos mientras externalizan la responsabilidad por fraudes a los consumidores.

Con 97.348 incidentes de ciberseguridad registrados en 2024 —un incremento del 16,6% respecto al año anterior— y 21.571 casos de phishing bancario, las entidades financieras han convertido cada estafa en un «problema del cliente» que debe demostrar su inocencia ante un sistema que presupone su negligencia.

El Real Decreto-ley 19/2018, de 23 de noviembre, establece una responsabilidad cuasi-objetiva de las entidades, pero la práctica judicial demuestra que son los consumidores quienes cargan con el peso de la prueba en un ecosistema digital diseñado más para la eficiencia bancaria que para la protección del usuario.

La gran paradoja de la banca digital

En 2024 se registraron 97.348 incidentes de ciberseguridad relacionados con servicios financieros, un 16,6% más que en 2023. Paralelamente, los bancos cerraron 1.247 oficinas adicionales y redujeron en un 23% el personal dedicado a atención presencial. La ecuación es perfecta: menos seguridad, menos atención, mismo problema trasladado al cliente.

Los bancos digitalizaron sus servicios, pero no su responsabilidad: cada estafa es un ‘problema del cliente’

Las entidades financieras han vendido la digitalización como una evolución natural hacia la comodidad y la eficiencia. La realidad es que han encontrado la excusa perfecta para reducir costes operativos mientras trasladan los riesgos de seguridad a usuarios que jamás pidieron convertirse en expertos en ciberseguridad.

El Real Decreto-ley 19/2018, de 23 de noviembre, por el que se adoptan medidas urgentes en materia de protección de consumidores en relación con operaciones de pago no autorizadas, establece en su artículo 3 que «el proveedor de servicios de pago reembolsará inmediatamente al usuario de servicios de pago el importe de la operación de pago no autorizada». Pero la letra pequeña es devastadora: salvo que exista «negligencia grave» del usuario.

(Imagen: E&J)

Bizum: de la comodidad al caos

El sistema Bizum, presentado como la revolución de los pagos instantáneos entre particulares, se ha convertido en el terreno de juego favorito de los estafadores. Con 30,2 millones de usuarios activos y 2.100 millones de euros transferidos mensualmente, Bizum representa el 67% de las estafas de ingeniería social en España.

La estafa del «Bizum inverso» ilustra perfectamente cómo la usabilidad puede convertirse en vulnerabilidad. Los estafadores contactan con la víctima haciéndose pasar por compradores de productos anunciados en plataformas de segunda mano, solicitan el «envío de un Bizum para verificar la cuenta» y aprovechan la confusión de la interfaz para que la víctima, creyendo que va a recibir dinero, termine enviándolo.

La responsabilidad de Bizum, gestionado por la sociedad Bizum, S.L. (participada por las principales entidades bancarias españolas), se diluye en un laberinto de términos y condiciones que exoneran a las entidades de cualquier responsabilidad por uso «indebido» del sistema. Como si la víctima de una estafa fuera responsable de la sofisticación del engaño.

Bizum se diseñó para la comodidad entre amigos y se ha convertido en el mejor amigo de los estafadores

‘Phishing’ bancario: 21.571 casos de «negligencia» del cliente

El phishing bancario registró 21.571 casos confirmados en 2024, según datos del Centro Criptológico Nacional. Las técnicas se han sofisticado hasta límites insospechados: páginas web idénticas a las entidades oficiales, SMS con remitentes falsificados que aparecen en la misma conversación que los mensajes legítimos, y aplicaciones móviles maliciosas que replican perfectamente la interfaz de la banca online.

Sin embargo, para las entidades financieras, ser víctima de phishing sigue siendo sinónimo de «negligencia grave» del usuario. La jurisprudencia ha establecido de forma reiterada que no puede presumirse negligencia grave del usuario por el mero hecho de haber introducido sus credenciales en una página web de apariencia idéntica a la oficial cuando la sofisticación del engaño impide a una persona de diligencia media detectar el fraude.

Pero esta jurisprudencia pro-consumidor contrasta con la práctica habitual de las entidades, que sistemáticamente alegan negligencia del cliente como primera línea de defensa ante cualquier reclamación por fraude.

(Imagen: BBVA)

La autenticación reforzada que no refuerza nada

La Directiva (UE) 2015/2366 sobre servicios de pago (PSD2) introdujo la obligación de autenticación reforzada de clientes (SCA) para operaciones superiores a 30 euros. En teoría, este doble factor de autenticación debería reducir drásticamente los fraudes. En la práctica, se ha convertido en una herramienta más para trasladar responsabilidades al usuario.

El SCA requiere al menos dos de estos tres elementos: algo que el usuario sabe (PIN, contraseña), algo que el usuario posee (móvil, tarjeta) y algo que el usuario es (huella, reconocimiento facial). El problema surge cuando los estafadores han conseguido suplantar uno o varios de estos factores mediante técnicas de social engineering.

Las entidades argumentan que, si se ha producido una autenticación reforzada «exitosa», la operación es legítima por definición. Como si la sofisticación de las técnicas de estafa fuera irrelevante y la responsabilidad recayera exclusivamente en el usuario que «permitió» el acceso a sus credenciales.

La autenticación reforzada que no refuerza nada: cuando la seguridad es puro teatro

La inversión perversa de la carga de la prueba

El artículo 3.3 del Real Decreto-ley 19/2018 establece que «corresponderá al proveedor de servicios de pago demostrar que la operación de pago ha sido autenticada, debidamente registrada y contabilizada, y que no se ha visto afectada por una deficiencia técnica o de otro tipo». En teoría, la carga de la prueba corresponde al banco.

En la práctica, las entidades han desarrollado un sistema defensivo que invierte completamente esta carga. Su argumentario es siempre el mismo: «La operación se realizó con las credenciales correctas del cliente, por tanto, o la autorizó él o fue negligente en su custodia». Como si las técnicas de phishing, smishing, vishing y social engineering no existieran.

La jurisprudencia ha sido contundente al establecer que no puede trasladarse al consumidor la carga de demostrar que no autorizó una operación cuando existen indicios de que pudo ser víctima de técnicas de ingeniería social, correspondiendo a la entidad acreditar que adoptó las medidas de seguridad adecuadas y que la operación fue realmente autorizada por el titular.

(Imagen: E&J)

El mito de la educación financiera como solución

Las entidades financieras han encontrado en la «educación financiera» la coartada perfecta para justificar su desresponsabilización. Campañas publicitarias que alertan sobre los peligros del phishing, guías sobre cómo detectar fraudes, y webinars sobre ciberseguridad que trasladan sutilmente el mensaje de que la prevención es responsabilidad exclusiva del usuario.

Esta estrategia ignora deliberadamente que los ciberdelincuentes disponen de recursos tecnológicos y conocimientos técnicos muy superiores a los de un usuario medio. Pretender que un jubilado de 75 años detecte un SMS de phishing que replica perfectamente los mensajes oficiales de su banco es tan realista como exigirle que detecte billetes falsos mediante análisis químico.

La educación financiera es importante, pero no puede convertirse en el mecanismo para exonerar a las entidades de sus obligaciones legales de seguridad y reembolso.

Si te estafan, la culpa es tuya: la nueva doctrina bancaria del siglo XXI

Jurisprudencia consolidada, práctica divergente

La jurisprudencia española ha consolidado una doctrina claramente pro-consumidor en materia de fraudes digitales. Las Audiencias Provinciales han establecido de forma reiterada que la mera alegación de negligencia del usuario requiere una prueba específica y detallada por parte de la entidad, no pudiendo presumirse por el simple hecho de que se hayan utilizado las credenciales del cliente.

Sin embargo, la práctica habitual de las entidades sigue siendo la negativa sistemática inicial, obligando a los consumidores a iniciar procedimientos judiciales para hacer valer sus derechos. Una estrategia de desgaste que resulta especialmente efectiva contra usuarios de menor poder adquisitivo que no pueden permitirse un procedimiento judicial.

(Imagen: E&J)

La responsabilidad cuasi-objetiva que no se aplica

El Real Decreto-ley 19/2018 establece un régimen de responsabilidad cuasi-objetiva para las entidades financieras en casos de operaciones no autorizadas. Solo pueden eximirse de responsabilidad demostrando «negligencia grave» del usuario, un concepto que la jurisprudencia ha interpretado de forma muy restrictiva.

Los tribunales han definido la negligencia grave como aquella conducta que supone un desprecio absoluto de las más elementales precauciones que una persona de diligencia media adoptaría en circunstancias similares. No basta con haber sido víctima de una estafa sofisticada; debe demostrarse una conducta gravemente imprudente.

Pero las entidades siguen interpretando como «negligencia grave» situaciones que, analizadas objetivamente, constituyen estafas sofisticadas que habrían engañado a cualquier persona diligente.

97.348 incidentes de ciberseguridad en 2024: alguien se está forrando y no son precisamente los clientes

El coste oculto de la digitalización bancaria

Los bancos han reducido sus costes operativos en un 34% desde 2019 gracias a la digitalización masiva de servicios. Paralelamente, los costes por fraudes digitales se han multiplicado por 2,7% en el mismo período. La diferencia es que ahora estos costes se trasladan mayoritariamente a los usuarios a través de negativas de reembolso justificadas en supuestas negligencias.

Es la perfecta externalización de costes: los bancos obtienen los beneficios de la digitalización mientras la sociedad asume los riesgos. Una privatización de beneficios y socialización de pérdidas que se ejecuta transacción a transacción.

Tecnología de vanguardia para los bancos, paleolítico para la seguridad

Las entidades financieras presumen de usar inteligencia artificial para análisis crediticio, blockchain para operaciones internacionales, y big data para marketing personalizado. Pero sus sistemas de detección de fraudes siguen basándose en reglas rígidas que un estafador medio puede eludir con facilidad.

La paradoja es evidente: tecnología punta para generar beneficios, tecnología de los años 90 para proteger a los clientes. Como si la innovación fuera un recurso limitado que debe reservarse exclusivamente para la cuenta de resultados.

Hacia un cambio de paradigma: la responsabilidad real

La protección efectiva del consumidor en el ecosistema digital requiere un cambio de paradigma que reconozca que la ciberseguridad no es responsabilidad individual sino sistémica. Las entidades que obtienen beneficios de la digitalización deben asumir también sus riesgos.

La jurisprudencia ha comenzado a establecer que las entidades financieras tienen la obligación de implementar sistemas de seguridad acordes con el estado de la técnica y proporcionales al riesgo que asumen al digitalizar sus servicios. No basta con cumplir mínimos normativos; debe adoptarse una seguridad adecuada al riesgo real.

(Imagen: E&J)

Una responsabilidad que no admite excusas

El ecosistema de fraudes digitales no es un fenómeno natural inevitable. Es la consecuencia directa de decisiones empresariales que priorizan la eficiencia sobre la seguridad y trasladan los riesgos a los usuarios más vulnerables.

Los 97.348 incidentes de ciberseguridad registrados en 2024 no son 97.348 casos de negligencia del consumidor. Son 97.348 evidencias de que el sistema actual no funciona y de que la responsabilidad debe recaer donde corresponde: en las entidades que diseñan, implementan y se benefician de estos sistemas.

La digitalización financiera puede ser una herramienta de progreso, pero no a costa de convertir a cada usuario en víctima potencial de un sistema que socializa riesgos y privatiza beneficios. Es hora de que los bancos asuman que digitalizaron sus servicios, pero no pueden digitalizar su responsabilidad.

Cuadro de legislación

• Real Decreto-ley 19/2018, de 23 de noviembre, por el que se adoptan medidas urgentes en materia de protección de consumidores en relación con operaciones de pago no autorizadas
• Directiva (UE) 2015/2366, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior (PSD2)
• Reglamento (UE) 2015/751, de 29 de abril de 2015, sobre las tasas de intercambio aplicables a las operaciones de pago con tarjeta
• Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico
• Directiva (UE) 2019/771, de 20 de mayo de 2019, relativa a determinados aspectos de los contratos de compraventa de bienes