¿Quién responde ante el phishing bancario? Claves sobre responsabilidad y restitución
Carga de la prueba, negligencia del usuario y configuración europea del sistema de responsabilidad
El crecimiento de los fraudes digitales y, en particular, del phishing bancario ha alterado de forma profunda el terreno de juego de la responsabilidad de las entidades financieras. Ya no hablamos de engaños rudimentarios. Los ataques de phishing bancario actuales combinan correos electrónicos, SMS y páginas web casi indistinguibles de las originales. El resultado es claro: más fraudes y, también, más litigios.
Pero el verdadero debate va más allá de quién debe soportar el daño. La clave está en cómo se reparte el riesgo y, sobre todo, en cómo se construye jurídicamente esa responsabilidad. Aquí entran en escena el Real Decreto-ley 19/2018 y la Directiva (UE) 2015/2366. Su interpretación por los tribunales ha dado lugar a un modelo peculiar: no es estrictamente objetivo, pero se le parece bastante. Y, además, con una orientación claramente protectora del usuario.
Distribución del riesgo en los servicios de pago: un reparto desequilibrado en la práctica
El sistema parte de un reparto de responsabilidades que, sobre el papel, parece equilibrado. En la práctica, no siempre lo es tanto.
Por un lado, la entidad financiera debe garantizar que el sistema de pagos sea seguro. No es una obligación menor. Por otro, el usuario tiene el deber de custodiar sus credenciales con diligencia.
Ahora bien, cuando se produce una operación no autorizada, la regla general es contundente: el banco debe devolver el dinero. Solo puede evitarlo si demuestra algo más. Algo concreto: o bien que el cliente actuó de forma fraudulenta, o bien que incurrió en negligencia grave.
Dicho de otro modo: la restitución es la norma. La exoneración, la excepción.
La doctrina del Tribunal Supremo en phishing bancario: autenticación no es consentimiento
En materia de phishing bancario, la jurisprudencia del Tribunal Supremo introduce un matiz decisivo que cambia el enfoque.
El hecho de que se hayan utilizado credenciales correctas no implica, por sí solo, que el cliente haya consentido la operación. Puede parecer obvio, pero durante años no lo fue tanto. Tampoco basta con acreditar que el sistema de autenticación funcionó correctamente. Autenticación técnica no equivale a autorización real.
Esto obliga a la entidad financiera a ir un paso más allá: no le basta con defender su sistema; tiene que probar que el cliente autorizó efectivamente la operación. Una exigencia probatoria elevada y, en muchos casos, difícil de cumplir.
Carga de la prueba en el phishing bancario: el núcleo del conflicto
En los casos de phishing bancario, la carga de la prueba recae, en lo esencial, sobre la entidad financiera. Es el banco quien debe acreditar tres extremos: que la operación se autenticó correctamente, que el sistema funcionaba sin fallos y que existió fraude o negligencia grave por parte del cliente.
El usuario, en cambio, juega con una posición procesal más cómoda. No tiene que demostrar el fraude en sentido estricto. Le basta con negar que autorizó la operación.
El efecto es claro: en la práctica, se produce una inversión de la carga probatoria.
Negligencia grave del usuario en phishing: interpretación restrictiva de los tribunales
Uno de los terrenos más discutidos es el de la negligencia grave del usuario. ¿Cuándo existe realmente?
Los tribunales han optado por una interpretación restrictiva. No cualquier descuido ni error del usuario basta.
Para que haya negligencia grave se exige algo más: una conducta claramente imprudente, una desatención evidente a señales de fraude o un incumplimiento serio de los deberes de diligencia. No es fácil alcanzar ese umbral.
Y aquí entra en juego la realidad del phishing bancario actual. Los engaños son cada vez más sofisticados, más creíbles, más difíciles de detectar. Por eso, en muchos casos, los tribunales descartan la negligencia grave por parte del usuario.
Diligencia reforzada de la entidad financiera ante el fraude digital
Ante un ataque de phishing bancario, el sistema no se conforma con que el banco tenga medidas de seguridad. Exige que funcionen. Que sean eficaces.
Esto implica varias cosas: implementar herramientas adecuadas, sí, pero también vigilar las operaciones, analizarlas y detectar comportamientos anómalos. No es solo prevenir; es reaccionar a tiempo.
Si aparecen indicios de fraude, movimientos inusuales, operaciones repetidas en poco tiempo, y la entidad no actúa, el problema deja de ser del cliente y pasa a ser un fallo en la prestación del servicio.
Un sistema de responsabilidad cuasi objetiva en la banca digital
Si se observan todas las piezas del marco legal del phishing bancario en conjunto, el resultado es bastante revelador.
La obligación de devolver el dinero, la carga probatoria reforzada del banco y la interpretación restrictiva de la negligencia del cliente dibujan un modelo muy cercano a la responsabilidad objetiva. No lo es formalmente, pero en la práctica se aproxima.
El riesgo del fraude, en última instancia, se desplaza hacia la entidad financiera. Es ella quien asume el papel de garante del sistema de pagos.
Conclusión: la banca como garante del sistema frente al phishing
El régimen jurídico del phishing bancario, construido sobre la Directiva (UE) 2015/2366 y el Real Decreto-ley 19/2018, ha terminado configurando un sistema en el que las entidades financieras ocupan una posición central. No solo operan el sistema: responden por él.
La jurisprudencia del Tribunal Supremo ha consolidado esta línea, reforzando la protección del usuario y trasladando al banco el peso de la prueba.
Aunque no pueda hablarse de responsabilidad objetiva en sentido estricto, el modelo responde a una lógica de responsabilidad de riesgo, en la que la restitución del importe constituye la regla y la exoneración del banco, la excepción.
FAQ: Preguntas frecuentes sobre phishing bancario y responsabilidad
¿Qué ocurre si soy víctima de una operación no autorizada por phishing?
La regla general es que el banco debe restituir el importe. Solo puede negarse si demuestra que actuaste de forma fraudulenta o con negligencia grave. La restitución es la norma; la exoneración del banco, la excepción.
¿Es suficiente que el banco demuestre que su sistema de autenticación funcionó correctamente?
No. El Tribunal Supremo ha dejado claro que autenticación técnica no equivale a autorización real. El banco debe probar que tú autorizaste efectivamente la operación, no solo que el sistema registró las credenciales correctas.
¿Quién tiene que demostrar qué en un caso de phishing bancario?
La carga de la prueba recae sobre la entidad financiera. Es el banco quien debe acreditar que la operación se autenticó correctamente, que el sistema funcionaba sin fallos y que existió fraude o negligencia grave por tu parte. Al usuario le basta con negar que autorizó la operación.
¿Cuándo se considera que el usuario actuó con negligencia grave?
Los tribunales aplican una interpretación restrictiva. No basta cualquier descuido. Se exige una conducta claramente imprudente o una desatención evidente a señales de fraude. Dado el nivel de sofisticación de los ataques actuales, en la mayoría de casos los tribunales descartan la negligencia grave del usuario.
¿Qué obligaciones tiene el banco más allá de tener medidas de seguridad?
El banco no solo debe implementar sistemas de seguridad: debe vigilar las operaciones, detectar comportamientos anómalos y reaccionar a tiempo. Si existen indicios de fraude y la entidad no actúa, se convierte en un fallo en la prestación del servicio, no en un problema del cliente.
¿Cuál es la normativa que regula esta responsabilidad?
El marco legal se construye sobre la Directiva (UE) 2015/2366 y el Real Decreto-ley 19/2018. Su interpretación por los tribunales españoles ha configurado un sistema de responsabilidad muy próximo a la responsabilidad objetiva, en el que el banco actúa como garante del sistema de pagos.
¿Necesita asesoramiento? Acceda a nuestra área relacionada con el phishing bancario:
