La banca, pendiente del fallo europeo que puede cambiar las “reglas del juego” sobre quién paga las ciberestafas
--Las entidades se aferran a la negligencia grave cometida por los usuarios al dar claves de acceso o hacer transferencias para evitar reembolsar el dinero perdido
Por Nuria Morcillo, Madrid - 01/06/2026
En septiembre del año pasado, Luis Gómez (70 años) tuvo un problema en su ordenador. En la pantalla, aparecía un mensaje que alertaba de que la terminal
estaba en riesgo e incorporaba un número de teléfono del servicio técnico. Tras reiniciar el equipo varias veces, Luis decidió llamar. Al otro lado, un
falso técnico de Microsoft, que le sustrajo 50.000 euros y pidió un préstamo de 29.000 euros bajo la identidad de su víctima. Luis Gómez es el nombre ficticio
del afectado, que prefiere guardar el anonimato: “No sé cómo pero caí como un tonto”, lamenta. Altas instituciones, autoridades policiales y de supervisión
e entidades bancarias advierten de
los diferentes tipos de estafa
que se comenten vía telefónica y por internet, haciendo especial hincapié en que nunca se debe facilitar datos ni claves personales que permitan a los
defraudadores acceder a las cuentas bancarias. La realidad es que en los últimos 10 años, las estafas informáticas crecieron un 513,4%, según el
último Balance de Criminalidad del Ministerio del Interior.
La Ley de Servicios de Pago, vigente desde 2009, y la jurisprudencia del Tribunal Supremo,
en especial la sentencia dictada el 9 de abril de 2025,
obliga a los bancos a asumir la responsabilidad por las operaciones no autorizadas, derivadas de la suplantación de identidad. Sin embargo, la normativa
plantea unas excepciones a las que la banca se aferra para no reintegrar los importes sustraídos, como es la negligencia grave del usuario o que este no
haya comunicado el fraude en un plazo razonable de tiempo.
“Según la sentencia del Supremo, no basta con un error humano ante un engaño sofisticado para calificarlo de negligencia grave, se requiere una conducta
inexcusable del usuario”, explica Vanesa Fernández, abogada experta en ciberfraudes, que añade que son los bancos los que, además, debe probar en un juicio
que el cliente no actuó de la forma adecuada y, por ello, no tiene derecho a recuperar el dinero defraudado.
Pero esto puede cambiar. El Tribunal de Justicia de la Unión Europea (TJUE) está analizando, a raíz de una cuestión prejudicial planteada por un órgano
judicial de Polonia, si una entidad financiera puede bloquear el importe estafado hasta que la justicia determine que el usuario no actuó de manera negligente.
El abogado general emitió su informe de conclusiones el pasado 5 de marzo y señaló que la Directiva Europea de servicios de pago en el mercado interior
impone la devolución inmediata del importe de la operación no autorizada.
Aunque reconoce que los usuarios estafados pueden perder el derecho al reembolsado si se demuestra que no protegió sus credenciales de seguridad, no comunicó
la estafa tras tener conocimiento de ello, o no utilizó los instrumentos de pago de forma correcta, el abogado general puntualizó que ello no habilita
a los bancos para denegar o aplazar el reintegro.
Si el tribunal con sede en Luxemburgo acoge la tesis del abogado general, como suele ser habitual, “esto cambiaría completamente las reglas del juego”,
afirma Fernández. “El efecto práctico sería que el perjudicado ya no tendría que soportar desde el inicio una pérdida, ni la carga de litigar para recuperar
el dinero, sino que tendría que ser la entidad bancaria la que acredite esa negligencia grave para recuperar el dinero que ya ha entregado”, apostilla.
Es decir, primero devolver el dinero, y luego discutir la responsabilidad.
Simulación de su cuenta bancaria
Luis Gómez se encuentra ahora a las puertas de la batalla judicial.
Su banco ha aceptado cancelar el préstamo de 29.000 euros que el estafador solicitó a su nombre mientras perpetraba el fraude, y devolver las dos primeras cuotas de 600 euros que decidió abonar para evitar que
le cargaran intereses y entrar en la lista de morosos. Sin embargo, la postura de la entidad no es la misma con respecto a los 50.000 euros sustraídos.
Esta cantidad fue transferida por el propio Luis, al pensar que había cometido un error.
La estafa se desarrolló a lo largo de varios meses. En septiembre, con el ordenador bloqueado, el falso técnico de Microsoft solicitó acceder por control
remoto al equipo, mediante el software AnyDesk, y le hizo creer que tenía un virus informático. Para evitar perder toda la información almacenada en la
máquina, Luis Gómez accedió a comprar el antivirus que le ofreció el supuesto técnico por un importe de 2.000 euros, que incluía actualizaciones gratuitas durante 10 años.
El estafador contactó otra vez con el perjudicado en enero de este año con la excusa de la actualización del programa de protección y convencerle de que
necesitaba acudir a un centro de la tecnológica. Debido a que le habían prometido mejoras gratuitas, el defraudador le comunicó que la compañía le ingresaba
en su cuenta bancaria 500 euros para poder costear la revisión presencial. Con este escenario, el delincuente puso en juego la manipulación, al persuadir
a la víctima de que había firmado una orden de pago incorrecta y que, por su culpa, le habían transferido 50.000 euros. Para rematar el engaño, le mostró
en su pantalla de ordenador, tomada por control remoto de nuevo, una simulación de su cuenta bancaria en el que aparecía dicho ingreso. Así, Luis Gómez
accedió a hacer varias transferencias bancarias hasta devolver los 50.000 euros. “No fui consciente de la estafa hasta que me llegó un aviso de que estaba
en números rojos”, relata.
Los bancos están obligados a monitorizar operaciones sospechosas. La gestora de la entidad bancaria en la que Luis Gómez tiene sus ahorros le llamó para
preguntar por qué estaba haciendo dichos traspasos a cuentas extranjeras, pero este le tranquilizó diciéndole que le explicaría lo sucedido en los días
siguientes. El banco se agarra a esto para no devolver los 50.000 euros. La defensa de la víctima, Diego Zapatero, socio de Asoban Abogados, recuerda que
la legislación obliga a los bancos a implementar mecanismos de autenticación eficaces: “Si un tercero toma el control del dispositivo, las barreras del
banco han fallado en comprobar la identidad real del ordenante y, salvo que la entidad demuestre una negligencia grave, dejarse engañar por un ciberdelincuente
no es negligencia sino ser víctima de un delito”.
Mientras tanto, la víctima de la estafa asegura que aún no ha recibido el dinero de las primeras cuotas del préstamo que afrontó y prevé
una larga batalla judicial, ya que antes tiene que intentar la mediación. “Ahora me encuentro en un dilema porque tengo que pagar los honorarios de los abogados y lo tengo que sacar
los pocos ahorros que quedan”, añade.
Refuerzo de controles
Las principales entidades bancarias del país aseguran en sus informes anuales que han reforzado el control destinado a contener el fraude y lanzado campañas
de sensibilización y de formación de sus empleados para prevenir esta lacra. En diciembre de 2025, las patronales bancarias, la Asociación Española de
Banca (AEB) y la Ceca, que agrupa las antiguas cajas de ahorros, y el Ministerio de Economía crearon la ‘Brigada Antifraude’ para impulsar medidas efectivas
de lucha contra el fraude digital y reforzar la ciberseguridad.
No obstante, el Banco de España en su última Memoria de Supervisión Bancaria subraya que los defraudadores ponen el foco en las transferencias porque permiten mover “elevados importes” frente a otros medios de pago, como las tarjetas
bancarias. El balance de criminalidad del Ministerio del Interior recoge que en 2025 las estafas informáticas aumentaron hasta los 430.493 casos, “lo que
representa el 88% de toda la cibercriminalidad y el 17,4% de toda la delincuencia registrada de enero a diciembre” del año pasado. Las Fuerzas y Cuerpos
de Seguridad prevén además que este tipo de delito crezca con la inteligencia artificial, debido al incremento de “generación de contenido fraudulento,
más sofisticado, para automatizar ataques y manipular víctimas en múltiples idiomas”.
__________
Saludos.
