DESCARGAR ARTÍCULO COMPLETO EN PDF.
El phishing, el smishing, el vishing o el SIM swapping ya no son palabras extrañas. Cada vez más personas reciben mensajes de texto, correos electrónicos o llamadas que imitan con una precisión inquietante la comunicación de su banco, y muchas acaban cediendo sus credenciales o autorizando transferencias que nunca habrían querido hacer. Cuando esto ocurre, la pregunta que inevitablemente se plantea es: ¿quién soporta las pérdidas?
La respuesta, afortunadamente, es clara en nuestro ordenamiento jurídico: la legislación española y europea ofrece una protección sólida al consumidor. En este artículo explicamos cómo funciona y por qué, en la mayoría de los casos, es el banco quien debe hacerse cargo.
1. El punto de partida: la carga de la prueba recae sobre el banco
El principio estructural del sistema europeo es contundente: cuando se produce una transferencia no autorizada, es el banco quien debe demostrar que la operación era legítima, no el consumidor.
El artículo 44 del Real Decreto-ley 19/2018, que transpone la Directiva europea PSD, establece que, cuando el cliente niega haber autorizado una operación, corresponde al proveedor de servicios de pago acreditar que la operación fue autenticada correctamente y que no hubo ningún fallo técnico o deficiencia del servicio. El simple hecho de que el sistema informático del banco haya registrado la operación como completada no es suficiente para demostrar ni que el cliente la autorizó ni que actuó con negligencia grave.
Así lo ha ratificado el Tribunal Supremo en la Sentencia 571/2025, de 9 de abril, que es hoy el pronunciamiento de referencia en la materia. Y el mismo principio es compartido, con matices, por la jurisprudencia francesa, italiana y de otros ordenamientos europeos: el proveedor de servicios de pago no puede limitarse a invocar el registro informático de la transacción para negar el reembolso.
2. Un régimen de responsabilidad cuasi objetiva
El sistema europeo establece lo que la doctrina denomina responsabilidad cuasi objetiva del banco. Cuando un cliente niega haber autorizado una operación, la presunción legal es que, efectivamente, no lo hizo. La entidad bancaria tiene la obligación de reembolsar el importe, como máximo, el día hábil siguiente a tener conocimiento, salvo que pueda demostrar que el cliente actuó fraudulentamente o con negligencia grave.
Además, el Tribunal Supremo ha aclarado que la “deficiencia del servicio” va mucho más allá de los errores técnicos estrictos: incluye no reaccionar ante señales evidentes de fraude, como transferencias de importe inusual realizadas de forma repetitiva en un periodo muy breve, accesos desde dispositivos desconocidos, o modificaciones de claves en horarios atípicos. El banco debe actuar con la diligencia propia de un “ordenado y experto comerciante”, un estándar muy superior al del ciudadano medio, y las advertencias genéricas en la página web o los mensajes informativos estereotipados no satisfacen esta exigencia.
El Reglamento Delegado (UE) 2018/389, que complementa la PSD2 en materia de autenticación reforzada de cliente, es igualmente exigente: los proveedores de servicios de pago deben implementar mecanismos de supervisión que analicen el comportamiento transaccional habitual del usuario, el dispositivo utilizado, el importe de las operaciones y los patrones de fraude conocidos. Si un banco no detecta que un cliente que nunca ha realizado transferencias internacionales envía repentinamente miles de euros al extranjero, incumple su deber de supervisión técnica.
3. La negligencia grave: un concepto interpretado de forma muy restrictiva
La negligencia grave es casi la única excusa que puede alegar el banco para no reembolsar. Y los tribunales la interpretan de forma muy restrictiva, prácticamente equiparándola al dolo o al descuido inexcusable.
La propia Directiva PSD2 ya lo anticipa: la negligencia grave “debe significar algo más que la mera negligencia”, y el ejemplo que ofrece el texto normativo es ilustrativo: guardar las credenciales de acceso junto al dispositivo de pago, en un formato abierto y fácilmente detectable por terceros.
Los tribunales españoles han descartado la negligencia grave en supuestos como: hacer clic en un enlace recibido por SMS en el mismo hilo de mensajes legítimos del banco, introducir credenciales en una página web que reproduce fielmente la apariencia de la entidad, proporcionar un código OTP a quien se hace pasar por empleado bancario desde un número aparentemente oficial, o acceder a la aplicación del banco desde un dispositivo desconocido en un momento de alarma fabricado por el estafador.
El parámetro de referencia es el de una persona ordinaria que confía en el entorno digital que su banco le ha facilitado, no el de un experto en ciberseguridad. Solo en supuestos verdaderamente extremos, como podrían ser entregar voluntaria y conscientemente las claves a un tercero de forma reiterada, sin ningún elemento de engaño o con un engaño burdo, los tribunales han apreciado negligencia grave.
Cabe destacar, además, que este estándar no es uniforme para todos: se adapta al perfil real de cada víctima. La edad avanzada, la falta de formación tecnológica o la poca familiaridad con la banca digital son factores que los tribunales toman en consideración para valorar si la reacción ante el engaño era la que cabría esperar de esa persona concreta.
Una persona mayor sin conocimientos informáticos que sigue las instrucciones de quien se presenta como empleado de su banco no puede ser juzgada con el mismo criterio que un profesional del sector tecnológico.
4. Reflexión final
El marco jurídico español y europeo sitúa al banco, como arquitecto y beneficiario del sistema de pagos digitales, en la posición de garante último de su integridad. Esta no es una opción, sino una obligación legal que dimana directamente de la Directiva PSD2 y de su transposición al ordenamiento interno.
El diseño del sistema parte de una premisa razonable: las entidades financieras son las que desarrollan, mantienen y lucran de una infraestructura tecnológica compleja que el consumidor utiliza pero no controla. Por tanto, deben ser ellas quienes implementen los mecanismos de detección y prevención del fraude, y quienes asuman las consecuencias cuando estos mecanismos fallan o resultan insuficientes. El riesgo tecnológico no puede trasladarse sistemáticamente al usuario.
Ahora bien, este marco normativo, por sólido que sea sobre el papel, no siempre se traduce en una respuesta inmediata y satisfactoria por parte de las entidades bancarias. En la práctica, no es infrecuente que los bancos denieguen las reclamaciones alegando la negligencia del cliente o simplemente invocando que la operación consta como autenticada en sus sistemas. Que la normativa y la jurisprudencia se inclinen por ofrecer mayores garantías a la posición del consumidor no significa que el proceso de reclamación sea siempre sencillo o automático.
El presente artículo es meramente divulgativo y no supone asesoramiento ni compromiso de actualización.
Para más información, contacte con info@fernandezadvocats.es
