El auge de la banca digital ha traído consigo un alarmante incremento de los fraudes electrónicos. Uno de los más frecuentes es el «phishing«: un mensaje —aparentemente legítimo— que simula proceder de la entidad bancaria y solicita al cliente que verifique datos personales o acceda a su cuenta. Tras este engaño, el cliente descubre que su cuenta ha sido vaciada.
Lo más desconcertante llega cuando la víctima acude a su banco y recibe una respuesta estandarizada: «Usted autorizó la operación. No podemos hacer nada».
Sin embargo, esta afirmación no se sostiene jurídicamente.
El Real Decreto-ley 19/2018, de servicios de pago, es claro: si una operación de pago no ha sido autorizada por el usuario, el proveedor de servicios de pago —es decir, el banco— debe reembolsar de inmediato el importe (artículo 45.1).
Para eximirse de esa obligación, la entidad financiera debe probar —y no simplemente alegar— que la operación fue correctamente autenticada, registrada, no se vio afectada por fallos técnicos, y que el cliente actuó con negligencia grave. El hecho de facilitar las credenciales bajo el efecto de un engaño como el phishing no constituye, salvo circunstancias excepcionales, un supuesto de negligencia grave imputable al cliente.
Los bancos tienen además el deber de aplicar mecanismos de autenticación reforzada y sistemas capaces de detectar operaciones sospechosas.
Si se efectúa una transferencia desde un dispositivo no habitual, a un país extranjero o en un horario inusual, y especialmente si ocurre tras la recepción de un mensaje fraudulento, es razonable exigir una respuesta preventiva por parte de la entidad. Los medios técnicos existen, y no emplearlos adecuadamente implica responsabilidad.
La jurisprudencia reciente está alineándose con esta interpretación: los jueces reconocen cada vez más que el cliente es víctima de un engaño sofisticado, y que la banca debe actuar con diligencia proactiva.
Esto se traduce en resoluciones que obligan a las entidades financieras a asumir las consecuencias de su falta de previsión y a restituir los fondos sustraídos.
El fenómeno del phishing no puede descargarse exclusivamente sobre el consumidor. Es un fallo del sistema de protección bancaria. La legislación es clara y la práctica judicial lo está confirmando: los usuarios tienen derecho a reclamar y recuperar su dinero.
