‘Phishing’ y compromiso bancario: los bancos deben asumir la responsabilidad

Las cifras del Ministerio del Interior y del Ministerio para la Transformación Digital muestran que los fraudes por phishing aumentan cada año, no solo en términos numéricos sino en la complejidad de las técnicas utilizadas por los ciberdelincuentes, quienes cada vez están más estructurados y profesionalizados, convirtiéndose en verdaderas mafias especializadas en este tipo de delitos. Los criminales conservan una ventaja sobre los usuarios, quienes raramente pueden ajustarse con anticipación a las nuevas estrategias delictivas utilizadas, cada vez más novedosas y tecnológicas.

De acuerdo con el artículo 45 de la Ley de Servicios de Pago (LSP), cuando se lleve a cabo una transacción de pago no autorizada por el titular, las instituciones financieras y los bancos tienen la obligación de restaurar la cuenta bancaria del cliente a la condición y ahorros que tenía antes del fraude. La única excepción a esta norma es si el cliente ha incurrido en fraude o en una negligencia severa en su responsabilidad de proteger las claves personales, como facilitarlas a terceros (art. 46 LSP).

En la actualidad, el criminal, phisher, fusiona métodos como el smishing, fraude digital que combina SMS con phishing, y el vishing, mediante llamadas de voz y phishing, que implican el empleo de programas informáticos e ingeniería social para suplantar la identidad del banco y ganar la confianza del usuario. Mediante estos métodos indetectables para un usuario medio, e incluso para las propias redes telefónicas, logran robar al usuario sus claves de seguridad personales.

Si se considera que las artimañas de phishing no cesan de incrementarse anualmente, (de acuerdo con los datos del Ministerio de Interior, las fraudes bancarios —con tarjeta e informática— han ascendido de 28.246 delitos en 2017 a 100.461 delitos en 2021 y a 274.776 delitos en 2023), resulta complicado afirmar que la persona afectada por un delito de phishing ha actuado sin el mínimo de cuidado para resguardarse del fraude.

La legislación sobre servicios de pago persigue la salvaguarda del consumidor en este aspecto. Así pues, de acuerdo con la jurisprudencia, la cuestión radica en determinar si el usuario se comportó conforme a unos estándares razonables de conducta, es decir, si era consciente o no de que era una estafa o cayó en sus redes de manera totalmente accidental.

(Imagen: E&J)

En los casos de fraude por phishing, la legislación vigente en materia de servicios de pago es clara y contundente: la entidad financiera está obligada a reembolsar de forma inmediata la totalidad del dinero sustraído, sin importar el monto ni las circunstancias del ataque, salvo que se demuestre que el cliente actuó con negligencia grave o dolo (fraude deliberado). Esta obligación incluye no solo el importe principal defraudado, sino también los intereses legales, las comisiones indebidas y cualquier otro gasto que se haya generado como consecuencia directa del fraude.

Este principio responde al objetivo fundamental de la normativa: garantizar la protección del consumidor financiero y restituir su situación patrimonial al estado exacto en que se encontraba antes de que ocurriera el fraude. No se trata solo de devolver una cantidad de dinero, sino de reparar íntegramente el perjuicio económico sufrido. En este sentido, la ley prohíbe expresamente las restituciones parciales, dado que ello implicaría trasladar al cliente parte del daño sufrido por fallos de seguridad que corresponden a la entidad proveedora del servicio.

Además, la jurisprudencia ha reiterado que el deber de diligencia recae principalmente en el proveedor de servicios de pago, que debe garantizar mecanismos eficaces de autenticación y protección. En cambio, al cliente solo se le exige un comportamiento razonable, sin esperar que cuente con conocimientos técnicos avanzados para detectar fraudes cada vez más sofisticados. Por tanto, mientras no se pruebe que el usuario facilitó voluntariamente sus claves o ignoró de forma evidente medidas básicas de seguridad, la responsabilidad recae en la entidad bancaria.

En definitiva, ante un escenario en el que los delitos de phishing no solo aumentan en número sino también en sofisticación, resulta esencial que tanto las instituciones financieras como los marcos regulatorios se alineen con la realidad en la que nos encontramos. La ley está del lado del consumidor, y no puede invertirse la carga de la prueba ni atribuirle una negligencia que difícilmente podría evitar, dadas las estrategias cada vez más elaboradas y profesionales de los delincuentes. Reforzar la educación digital y exigir a las entidades financieras sistemas de verificación más robustos es necesario, pero no suficiente: lo urgente es asegurar que las víctimas no queden desprotegidas por fallos del sistema que deberían haberlas resguardado desde el principio.