Responsabilidad del banco por phishing

El phishing es una forma de fraude digital cada vez más sofisticada que plantea no solo desafíos tecnológicos, sino también interrogantes profundos en los ámbitos sociológico y jurídico. Este delito, que consiste en la suplantación de identidad para obtener información confidencial de usuarios, ha evolucionado al punto de convertirse en una amenaza constante para los sistemas financieros y la confianza social en la digitalización.

El phishing y las ciberestafas: una amenaza creciente en la era digital

Vivimos en una era donde la digitalización transforma nuestras vidas y, en especial,  la manera en que interactuamos con instituciones como los bancos. Sin embargo estas transformaciones implican nuevos riesgos.

La dependencia de sistemas digitales para la gestión financiera ha creado un entorno en el que la confianza es clave, pero también frágil. En tiempos pasados los clientes de los bancos enfrentaban riesgos que eran tangibles, palpables: un ladrón enmascarado entrando por la puerta, el extravío de una libreta de ahorros, o la incertidumbre de confiar los ahorros de una vida en una caja fuerte que prometía inviolabilidad. Hoy los riesgos se han metamorfoseado en sombras invisibles que acechan desde los rincones del ciberespacio. Donde antes la amenaza era el ruido de un cristal roto, ahora es el silencio inquietante de un servidor caído o la fría notificación de una contraseña comprometida. La confianza, antes cimentada en el apretón de manos con el gerente del banco, ahora flota en un espacio etéreo, tan frágil como el código que la sostiene.

El phishing, y las ciberestafas en general, explota esa confianza. Al suplantar la identidad de bancos y otras instituciones los delincuentes apuntan a lo que el sociólogo Niklas Luhmann denomina «confianza sistémica»: la creencia en la fiabilidad de las estructuras sociales como los sistemas bancarios.

Desigualdad digital y el rol de una educación digital inclusiva

La sofisticación de los ataques de phishing pone de manifiesto una brecha importante en la alfabetización digital. Mientras los ciberdelincuentes utilizan técnicas avanzadas, muchos usuarios carecen de la formación necesaria para identificar fraudes. Esto refleja una desigualdad digital que deja en una situación de vulnerabilidad a ciertos grupos poblacionales, como personas mayores o de menor nivel educativo.

Desde una perspectiva sociológica esta desigualdad refuerza la necesidad de enfoques inclusivos en la educación tecnológica. No se trata solo de dotar a los usuarios de herramientas, sino de transformar el acceso a la tecnología en una oportunidad equitativa. En este sentido, la educación tecnológica inclusiva no puede ser vista como un lujo o un esfuerzo secundario, sino como una pieza central para reducir las brechas que separan a quienes dominan las tecnologías avanzadas de aquellos que apenas logran comprenderlas. Si el acceso a los conocimientos tecnológicos sigue estando restringido por factores socioeconómicos o generacionales, lo único que hacemos es perpetuar desigualdades y vulnerabilidades en un mundo cada vez más dependiente de lo digital.

Responsabilidad patrimonial de las entidades financieras

El phishing ha generado un debate significativo en torno a la responsabilidad de los proveedores de servicios de pago. Normativas como el Real Decreto Ley 19/2018 en España han comenzado a abordar este problema estableciendo que los bancos deben implementar medidas de seguridad avanzadas y demostrar que los usuarios actuaron con negligencia grave en caso de fraude.

En este punto, la jurisprudencia más reciente subraya que no basta con emitir recomendaciones o alertas generales. Los bancos tienen la obligación de garantizar que sus sistemas de comunicación, como mensajes SMS y correos electrónicos, sean inquebrantables frente a la suplantación de identidad.

La carga de la prueba y el usuario medio

Un aspecto fundamental de este debate jurídico es la carga de la prueba. Además de demostrar que sus sistemas son seguros, las entidades financieras se enfrentan a un desafío adicional: evaluar si el usuario actuó de manera negligente. Aquí surge un dilema clave que está ganando protagonismo en los tribunales: ¿qué se entiende por un «usuario medio»? ¿Cómo se determina la diligencia esperada cuando los métodos de phishing son cada vez más sofisticados?

¿Qué dicen los tribunales?

Las respuestas a estas cuestiones son esenciales para establecer un equilibrio justo en la asignación de responsabilidades entre las partes. Un ejemplo es la sentencia emitida por el Juzgado de Primera Instancia n.º 7 de Las Palmas de Gran Canaria (n.º 8/2024, de 16 de octubre de 2024), que, como otras que le preceden, se adentra en el análisis de estos aspectos, aportando criterios clave sobre cómo interpretar la negligencia y las obligaciones de seguridad en casos de fraude por phishing.

En este supuesto en particular la víctima recibió mensajes SMS maliciosos, aparentemente legítimos, que la llevaron a una página web falsa idéntica a la de la entidad bancaria. Posteriormente recibió llamadas de personas haciéndose pasar por empleados del banco quienes le solicitaron la transferencia de su dinero a una nueva cuenta para proteger sus fondos, lo que resultó en el robo total de sus ahorros.

El fallo concluye que la entidad bancaria es responsable de reembolsar la cantidad extraviada debido a su falta de medidas de seguridad adecuadas. Según el tribunal, no es suficiente con informar sobre riesgos: los bancos deben implementar mecanismos efectivos de seguridad adaptados a las amenazas tecnológicas actuales.

Responsabilidad bancaria cuasi-objetiva: un nuevo enfoque jurídico

Este pronunciamiento encuentra un respaldo sólido en el Fundamento Jurídico Segundo de la sentencia que contiene un razonamiento detallado sobre las obligaciones y responsabilidades de las partes involucradas en casos de fraude mediante phishing. Dicho razonamiento se alinea con el marco regulatorio establecido por el Real Decreto Ley 19/2018, que define claramente los deberes tanto de los usuarios como de las entidades financieras que operan estos servicios.

1.- En cuanto a los primeros, según el artículo 41 estos están obligados a proteger adecuadamente sus credenciales de seguridad y notificar de manera inmediata cualquier uso no autorizado del instrumento de pago. En este caso específico la sentencia concluye que la clienta no incurrió en una negligencia grave, dado que el fraude al que fue sometida se basó en técnicas sofisticadas de suplantación de identidad que resultaban difíciles de identificar incluso para una persona razonablemente diligente. El phishing empleó mecanismos que simulaban con alto grado de verosimilitud los canales oficiales del banco, como el envío de mensajes SMS integrados en el hilo de comunicaciones habituales del banco y la realización de llamadas telefónicas que parecían legítimas. Estos elementos generaron una confianza razonable en la actora quien actuó conforme a las indicaciones recibidas y en la creencia por tanto de que sus datos estaban protegidos

2.- Por su parte, en cuanto a las obligaciones del proveedor de servicios de pago, el artículo 42 les impone garantizar que las credenciales de seguridad solo sean accesibles al usuario autorizado y adoptar medidas suficientes para prevenir el acceso indebido. En este propósito, según el artículo 44 corresponde al proveedor la carga de demostrar que la operación de pago fue autenticada correctamente y que no estuvo afectada por fallos técnicos o deficiencias del servicio. En este caso la entidad financiera no pudo aportar pruebas concluyentes que respaldaran la ausencia de fallos en sus sistemas o que demostraran una negligencia grave por parte de la usuaria. Por el contrario, la sentencia subraya que la sofisticación del fraude pone de manifiesto un déficit en las medidas de seguridad implementadas por el banco que no desplegó mecanismos adicionales que pudieran haber prevenido el acceso fraudulento a la cuenta de la actora.

Al hilo de esto último, no es ajeno a los razonamientos de la sentencia la naturaleza del fraude y el grado de sofisticación tecnológica empleado que por su alto nivel de complejidad hacía difícil su detección. Los mensajes fraudulentos no solo replicaban las comunicaciones habituales del banco, sino que también llevaron a la clienta a interactuar con una página web idéntica a la oficial del banco en un contexto de aparente legitimidad y confianza. La sentencia no pasa aquí por alto la naturaleza del fraude y el elevado grado de sofisticación tecnológica empleado, que por su complejidad hacía extremadamente difícil su detección. En este sentido, subraya que no es razonable exigir al usuario medio una actitud permanentemente sospechosa o un nivel avanzado de conocimientos técnicos para identificar este tipo de fraude financiero. Esto es particularmente relevante cuando las comunicaciones maliciosas están diseñadas específicamente para engañar incluso a usuarios que actúan con diligencia.

Como se advierte, la sentencia introduce y desarrolla con claridad el concepto de responsabilidad cuasi objetiva del banco en la idea de que las entidades financieras no solo deben asumir los riesgos inherentes a la operativa tecnológica, sino también desplegar acciones concretas para garantizar la seguridad de los usuarios frente a fraudes sofisticados, como el phishing. Desde esta perspectiva, los bancos no solo están obligados a asumir los riesgos inherentes a la operativa tecnológica, sino que también deben implementar medidas concretas y efectivas para garantizar la seguridad de los usuarios frente a amenazas sofisticadas, como el phishing.

Este enfoque, que está en consonancia con precedentes relevantes de varias Audiencias Provinciales (Lleida, 29 de junio de 2023; La Rioja, 17 de febrero de 2023; Almería, 31 de enero de 2023; y Madrid, 13 de enero de 2023), responde jurídicamente al principio qui sentit commodum, sentire debet et onus, ampliamente reconocido en el derecho como una regla de equidad que impone a quienes obtienen un beneficio derivado de una actividad la obligación de asumir las cargas y riesgos inherentes a la misma. Se trata, en fin, de equilibrar las ventajas derivadas de la digitalización de los instrumentos de pago —que benefician tanto al dinamismo económico como a la operativa de las propias entidades financieras— con la obligación de proteger de manera eficaz a los usuarios frente a los riesgos inherentes al entorno digital. Todo lo cual, puede a su vez añadirse, encuentra su respaldo normativo en el artículo 8 de la Ley General para la Defensa de los Consumidores y Usuarios (Real Decreto Legislativo 1/2007, de 16 de noviembre), que viene a consagrar el principio de que los derechos de los consumidores deben garantizarse mediante un elevado nivel de protección, especialmente frente a situaciones que puedan desequilibrar la relación contractual o exponerlos a riesgos no razonables, especialmente si se trata de personas vulnerables.

Aunque cada fallo responde a particularidades propias, hay en todas estas sentencias un denominador común: la carga de prevención recae principalmente sobre las entidades financieras, las cuales deben anticiparse a la creciente sofisticación de las tácticas fraudulentas mediante la adopción de medidas de seguridad proporcionadas al nivel de riesgo.

Estas sentencias vienen en definitiva no solo a fortalecer la posición del usuario al establecer un marco de protección frente a los riesgos del fraude, sino que elevan significativamente el estándar de diligencia exigible a las entidades financieras. Se las insta a asumir un rol proactivo en la seguridad digital, obligándolas a implementar tecnologías de vanguardia, procesos de autenticación más robustos y mecanismos que refuercen la confianza del usuario en un entorno tecnológico seguro.