El usuario bancario ante fraudes informáticos: El Supremo marca el camino de la protección. Una reciente sentencia refuerza la responsabilidad de las entidades financieras frente a estafas por suplantación de identidad y aclara cuándo debe responder el banco. En la era de la banca digital, la comodidad de gestionar nuestras finanzas desde cualquier lugar convive con una amenaza creciente: el fraude informático.
Usuario bancario ante fraudes informáticos
En la era de la banca digital, la comodidad de gestionar nuestras finanzas desde cualquier lugar convive con una amenaza creciente: el fraude informático. Las estafas como el phishing (suplantación de identidad a través de correos electrónicos o webs falsas), smishing (mediante SMS) o vishing (a través de llamadas telefónicas) se han sofisticado, poniendo en jaque la seguridad de los usuarios bancarios.
Ante esta realidad, surge una pregunta crucial: ¿Quién responde cuando un ciberdelincuente logra acceder a nuestra cuenta y realizar operaciones no autorizadas? Una reciente e importante sentencia del Tribunal Supremo arroja luz sobre esta cuestión, reforzando significativamente la protección del consumidor financiero.
El Supremo refuerza la protección del usuario bancario ante fraudes informáticos por suplantación de identidad
El Alto Tribunal ha sentado un precedente clave en un caso donde un cliente bancario fue víctima de una estafa de phishing. Los estafadores, haciéndose pasar por el banco, consiguieron las credenciales del usuario y realizaron transferencias fraudulentas. La entidad financiera se negó a reembolsar el dinero sustraído, alegando que el cliente había actuado con negligencia grave al facilitar sus claves.
Sin embargo, el Tribunal Supremo falló a favor del cliente, estableciendo que la responsabilidad principal recae sobre el proveedor de servicios de pago (el banco), salvo que este pueda demostrar de manera fehaciente que el usuario actuó con dolo (intención de defraudar) o cometió una «negligencia grave». Esta decisión no es un hecho aislado, sino que se alinea con la normativa europea y española diseñada para proteger a los consumidores en el ámbito de los servicios de pago digitales.
Rechazo del banco y defensa judicial del cliente: La carga de la prueba recae en la entidad
En el caso analizado por el Supremo, el recorrido del cliente afectado ilustra una situación lamentablemente común. Tras sufrir el fraude y ver cómo desaparecía dinero de su cuenta, el usuario acudió a su entidad, solicitando la restitución de los fondos. La respuesta del banco fue negativa, argumentando que el cliente había comprometido la seguridad de sus datos al caer en la trampa de los estafadores. Según el banco, el uso de las credenciales correctas (obtenidas fraudulentamente) validaba las operaciones.
El cliente, sintiéndose desamparado, decidió llevar su caso a los tribunales. El litigio escaló hasta el Tribunal Supremo, que finalmente le dio la razón. El punto central de la defensa y de la posterior sentencia fue que el banco no logró acreditar la existencia de negligencia grave por parte del usuario. Simplemente ser víctima de un engaño sofisticado no equivale automáticamente a una negligencia grave. Por tanto, al no poder probar dicha negligencia cualificada, el banco debía asumir las consecuencias económicas del fraude.
Claves jurídicas de la sentencia: Un análisis detallado
La sentencia del Tribunal Supremo se fundamenta en una interpretación rigurosa de la normativa vigente, en particular el Real Decreto-ley 19/2018, de servicios de pago y otras medidas urgentes en materia financiera, y la Directiva (UE) 2015/2366 sobre servicios de pago en el mercado interior (PSD2). Analicemos los puntos jurídicos clave que emanan de esta resolución:
Responsabilidad general del banco
El Supremo recuerda que, como norma general (artículos 44 y 46 del RDL 19/2018), las operaciones de pago no autorizadas deben ser íntegramente asumidas por el proveedor de servicios de pago. La excepción a esta regla es muy específica: que el banco demuestre fehacientemente que el usuario actuó con dolo (intención deliberada de defraudar) o incurrió en negligencia grave.
El consentimiento no se presume por credenciales válidas
El hecho de que una operación se realice utilizando las claves, contraseñas o sistemas de autenticación correctos del usuario no significa automáticamente que este haya consentido la operación. Si se demuestra que un tercero no autorizado accedió a la cuenta (por ejemplo, mediante phishing), el consentimiento es inexistente. El mero uso de credenciales válidas, si han sido obtenidas fraudulentamente, no valida la transacción frente al usuario legítimo.
El banco debe probar la seguridad y autenticación
La carga de la prueba recae sobre la entidad financiera. Es el banco quien debe demostrar no solo que la operación fue formalmente autenticada (es decir, que se usaron las claves correctas), sino también que sus sistemas de seguridad funcionaron correctamente y que la transacción no se vio afectada por fallos técnicos o brechas de seguridad. Debe probar, además, que el usuario incurrió en esa “negligencia grave» exigida por la ley.
Nulidad de cláusulas abusivas
El Supremo fue contundente al señalar que las cláusulas contractuales que los bancos puedan incluir en sus contratos para exonerarse de responsabilidad de forma genérica o que contradigan el régimen imperativo de protección al consumidor financiero son nulas. La protección legal del usuario prevalece sobre los pactos contractuales que intenten limitarla indebidamente. En el caso concreto, la cláusula invocada para eludir su responsabilidad fue considerada ineficaz.
Fallo en la detección de alertas y supervisión proactiva
Un aspecto especialmente crítico para el Tribunal fue que las alertas de seguridad relacionadas con las operaciones fraudulentas no fueran detectadas por los propios sistemas de la entidad afectada, sino por un tercer banco implicado en la recepción de los fondos. El Supremo reprochó la falta de mecanismos de supervisión y monitorización de transacciones en tiempo real por parte del banco, una obligación que deriva del Reglamento Delegado (UE) 2018/389, que complementa la directiva PSD2 exigiendo a los bancos implementar medidas robustas de seguridad y monitorización para prevenir el fraude. La falta de una detección productiva fue vista como un indicio de falta de diligencia por parte de la entidad.
¿Qué se considera Negligencia Grave?
Este es un punto crucial. La ley no exige al usuario ser un experto en ciberseguridad. La «negligencia grave» implica una desatención significativa y patente de las medidas de seguridad más básicas y elementales. Por ejemplo:
- Apuntar las claves junto a la tarjeta.
- Compartir voluntariamente las contraseñas o códigos de un solo uso (OTP) con terceros.
- Ignorar advertencias claras y explícitas del banco sobre no compartir datos.
- Utilizar redes Wi-Fi públicas no seguras para realizar operaciones bancarias sensibles de forma recurrente y sin precaución.
Sin embargo, ser víctima de un engaño bien elaborado, como un correo de phishing que imita perfectamente la comunicación del banco o un SMS convincente (smishing), generalmente no constituye negligencia grave, sino que se considera una falta de diligencia leve o, simplemente, ser víctima de un delito. El Supremo entiende que los usuarios pueden ser engañados por tácticas cada vez más sofisticadas.
Un usuario informado y un banco responsable
La sentencia del Tribunal Supremo representa un avance significativo para la protección de los usuarios bancarios frente al creciente problema del fraude informático. Establece de forma más clara que la responsabilidad principal recae en las entidades financieras, quienes deben garantizar la seguridad de sus sistemas y demostrar una diligencia exquisita en la prevención y detección del fraude.
Usuario bancario ante fraudes informáticos
Para usted, como usuario, esta decisión judicial supone un respaldo importante. No obstante, la prevención sigue siendo fundamental. Mantenerse alerta, aplicar buenas prácticas de seguridad y conocer sus derechos y los pasos a seguir en caso de ser víctima de una estafa son claves para navegar con mayor seguridad en el entorno de la banca digital. La tecnología ofrece grandes ventajas, pero exige una responsabilidad compartida: la del banco en protegerle activamente y la suya en ser un usuario prudente e informado.
No dude en comunicarse con nosotros, en Alvarez Abogados Tenerife llevamos años defendiendo y recuperando el dinero de nuestros clientes en muchos casos.
También le puede interesar:
- Cómo poner una Denuncia
- Estafas y Fraudes en Tenerife
- Vishing y estafas telefónicas
- Fraudes phishing y smishing Tenerife
- Estafas con criptomonedas
- Víctimas de estafas de phishing
- Abogados Delitos informáticos Tenerife
- Delitos contra el patrimonio en Tenerife
- Abogados Expertos Ciberdelitos Tenerife
- Defensa por delitos en Tenerife
- Abogados Derecho Penal y Delitos Económicos
- Mejor Abogado Penalista Canarias
- Defensa todo tipo de Delitos
- Delitos de Phishing
- Las falsas inversiones nunca fueron buenas
- Consejos ciberseguridad para su familia
- Abogados de Juicio en Tenerife
- Interponer querellas y denuncias en Tenerife
- Ofrecimiento de acciones al ofendido o perjudicado
- ¿Qué hacer ante una Citación Judicial?
- Lo importante del asesoramiento legal
- Abogados cerca de mí
