El gancho
El teléfono suena. Un SMS idéntico al de tu banco te avisa de un «acceso no autorizado» a tu cuenta. Haces clic en el enlace, introduces tus claves para solucionar el problema y, en cuestión de minutos, tus ahorros desaparecen. Es el pan de cada día: phishing, smishing o técnicas más sofisticadas que ya utilizan Inteligencia Artificial para clonar voces.

Durante años, la respuesta automática de las entidades financieras ante estos fraudes ha sido la misma: «Usted facilitó las claves, la culpa es suya por negligencia». Sin embargo, la justicia está cambiando las reglas del juego. Hoy en día, la ley y los tribunales están del lado del usuario más de lo que la banca quiere admitir.

El núcleo jurídico: El principio de responsabilidad cuasi-objetiva
La regla general es sencilla: si una operación de pago no ha sido autorizada por el cliente, el banco debe reembolsar el importe de inmediato. La excepción existe, pero no basta con invocarla: la entidad debe probar que el usuario actuó fraudulentamente o con negligencia grave.

¿Qué se considera «negligencia grave»?
Los bancos intentan estirar el concepto de «negligencia grave» a cualquier descuido del usuario. Pero los jueces están siendo muy claros: que una operación se haya ejecutado con claves, SMS o códigos de validación no prueba por sí solo que el cliente autorizara realmente el pago ni que actuara con negligencia grave. La entidad debe aportar algo más: indicios claros de que el usuario incumplió de forma especialmente intensa sus deberes de custodia.

El talón de Aquiles de la banca: La falta de seguridad
La ley exige a los bancos implementar sistemas de «seguridad reforzada». Si los ciberdelincuentes consiguen saltarse o duplicar esa seguridad (por ejemplo, mediante el SIM swapping o duplicado de tarjeta SIM), el fallo es del sistema de seguridad del banco, que no fue capaz de detectar que la operación era fraudulenta. El riesgo tecnológico debe asumirlo la empresa que gana dinero con esa tecnología, no el consumidor.

A veces el debate no es que el sistema “fallara” técnicamente, sino si el banco tenía mecanismos suficientes para detectar una operación anómala: importe inusual, destinatario desconocido, acceso desde dispositivo nuevo, transferencias encadenadas, cambios de límites, etc.
El punto débil de muchas defensas bancarias está en que la entidad no puede limitarse a decir “se introdujeron las claves”. También debe explicar por qué sus sistemas antifraude no detectaron una operación anómala, urgente, inusual o claramente alejada del comportamiento ordinario del cliente.
Conclusión y Recomendación

Ante una ciberestafa bancaria, resignarse ya no debería ser la primera respuesta. Hay que actuar rápido: bloquear cuentas y tarjetas, denunciar ante la policía, reclamar por escrito al banco y conservar todos los mensajes, llamadas, justificantes y comunicaciones.

La banca digital ha trasladado al consumidor una parte importante del riesgo tecnológico, pero la ley no permite que ese riesgo recaiga automáticamente sobre la víctima. Si el banco ofrece servicios digitales, obtiene beneficios de ellos y controla sus sistemas de seguridad, también debe asumir las consecuencias cuando esos sistemas no bastan para proteger el dinero de sus clientes.

Déjanos tu comentario o contacta con nosotros para una consulta personalizada en www.llorca-abogados.com o llorca-abogados@llorca-abogados.com