(Cinco Días, 01-06-2026) | Mercantil, civil y administrativo
La banca, pendiente del fallo europeo que puede cambiar las “reglas del juego” sobre quién paga las ciberestafas
En septiembre del año pasado, un hombre de 70 años, identificado como Luis Gómez (nombre ficticio para preservar su anonimato), sufrió una estafa tras un incidente en su ordenador. En la pantalla apareció un aviso que alertaba de un supuesto riesgo en el equipo e incluía un número de teléfono de asistencia técnica. Después de reiniciar el dispositivo varias veces sin éxito, decidió llamar. Al otro lado respondió un falso técnico que se hacía pasar por Microsoft y que terminó sustrayéndole 50.000 euros, además de solicitar a su nombre un préstamo de 29.000 euros. El afectado reconoce su vulnerabilidad: "No sé cómo, pero caí como un tonto", lamenta. Tanto instituciones públicas como fuerzas de seguridad, organismos de supervisión y entidades financieras insisten de forma reiterada en la necesidad de extremar la precaución ante fraudes telefónicos y digitales, recordando que nunca deben facilitarse datos personales o claves bancarias. A pesar de estas advertencias, los datos muestran un fuerte incremento de este tipo de delitos: en la última década, las estafas informáticas han aumentado un 513,4%, según el Balance de Criminalidad del Ministerio del Interior. La Ley de Servicios de Pago, en vigor desde 2009, junto con la jurisprudencia del Tribunal Supremo -especialmente la sentencia del 9 de abril de 2025- establece que, en principio, los bancos deben asumir la responsabilidad por operaciones no autorizadas derivadas de suplantación de identidad. Sin embargo, existen excepciones, como la negligencia grave del usuario o la falta de comunicación del fraude en un plazo razonable, en las que las entidades financieras se apoyan para no devolver el dinero. Según la abogada experta en ciberfraudes Vanesa Fernández, la doctrina del Supremo indica que no basta un simple error humano ante un engaño complejo para considerar que existe negligencia grave, sino que debe acreditarse una conducta claramente inexcusable. Añade además que corresponde a los bancos demostrar en sede judicial que el cliente actuó de forma negligente para poder denegar la devolución de los fondos. No obstante, este criterio podría verse modificado. El Tribunal de Justicia de la Unión Europea (TJUE) estudia, a raíz de una cuestión prejudicial planteada desde Polonia, si las entidades financieras pueden retener los importes estafados hasta que un tribunal determine si el usuario actuó con negligencia. El abogado general del TJUE, en sus conclusiones del 5 de marzo, señaló que la directiva europea sobre servicios de pago obliga a la devolución inmediata de las operaciones no autorizadas. Aunque admite que el usuario puede perder el derecho al reembolso si se demuestra que no protegió adecuadamente sus credenciales, no notificó el fraude o hizo un uso incorrecto del sistema de pago, el abogado general considera que ello no autoriza a los bancos a denegar o retrasar la devolución del dinero. Si el tribunal de Luxemburgo sigue esta línea -como suele ser habitual-, el cambio sería relevante. En ese caso, explican expertos como Fernández, se modificaría por completo el esquema actual: el cliente no tendría que soportar inicialmente la pérdida ni asumir la carga de litigar para recuperar su dinero, sino que sería la entidad bancaria la que debería devolverlo de inmediato y, posteriormente, reclamar si acredita que existió negligencia grave. En la práctica, primero se reembolsa y después se discute la responsabilidad. El caso de Luis Gómez ilustra este debate. Su entidad bancaria ha aceptado cancelar el préstamo de 29.000 euros solicitado fraudulentamente a su nombre y ha devuelto las dos primeras cuotas de 600 euros que él decidió pagar para evitar intereses y posibles consecuencias crediticias. Sin embargo, el banco mantiene su negativa a reintegrar los 50.000 euros transferidos, al considerar que fue el propio cliente quien autorizó las operaciones. La estafa se desarrolló durante varios meses. En un primer momento, el falso técnico logró acceder al ordenador mediante control remoto a través del programa AnyDesk, convenciéndole de que su equipo estaba infectado por un virus. Bajo esa presión, el afectado llegó a pagar 2.000 euros por un supuesto antivirus con actualizaciones incluidas durante una década. Posteriormente, el estafador volvió a contactar con él en enero, alegando una actualización del servicio y la necesidad de acudir a un centro técnico. En ese contexto, le hizo creer que la empresa le había ingresado 500 euros para cubrir una revisión. A partir de ahí, construyó un engaño más complejo: aseguró que se había producido una transferencia errónea de 50.000 euros y mostró en la pantalla una simulación de su cuenta bancaria que reforzaba la manipulación. Bajo esa presión, y creyendo que debía corregir el supuesto error, Luis realizó varias transferencias hasta devolver la totalidad del importe. "No fui consciente de la estafa hasta que me llegó un aviso de que estaba en números rojos", explica. Aunque los bancos están obligados a vigilar operaciones sospechosas, en este caso la entidad llegó a contactar con el cliente al detectar transferencias inusuales a cuentas en el extranjero. Sin embargo, el afectado aseguró que lo aclararía más adelante, lo que el banco utiliza ahora como argumento para negar la devolución del dinero. La defensa del afectado sostiene que la normativa exige a las entidades implementar sistemas eficaces de autenticación y detección de fraude. En palabras del abogado Diego Zapatero, socio de Asoban Abogados, si un tercero consigue controlar el dispositivo, significa que los sistemas de verificación han fallado. Añade que, salvo que se demuestre una negligencia grave del cliente, ser víctima de un engaño sofisticado no puede considerarse una conducta negligente. Mientras tanto, el perjudicado aún no ha recuperado las primeras cuotas del préstamo y prevé un proceso judicial largo, precedido por una fase de mediación obligatoria. "Me encuentro en una situación muy complicada porque tengo que pagar los abogados y lo estoy haciendo con los pocos ahorros que me quedan", lamenta. Las entidades financieras, por su parte, aseguran que han reforzado sus sistemas de control y sus campañas de prevención frente al fraude digital. En diciembre de 2025, la Asociación Española de Banca (AEB), la CECA y el Ministerio de Economía pusieron en marcha la denominada 'Brigada Antifraude' para mejorar la coordinación en la lucha contra este tipo de delitos. El Banco de España, en su última Memoria de Supervisión, recuerda que los fraudes se concentran especialmente en transferencias bancarias, al permitir mover importes elevados en comparación con otros medios de pago. Según el Ministerio del Interior, en 2025 se registraron 430.493 estafas informáticas, lo que supone el 88% de toda la cibercriminalidad y el 17,4% del total de delitos. Las fuerzas de seguridad advierten además de que el uso de inteligencia artificial está incrementando la sofisticación de estos fraudes, facilitando la creación de contenidos engañosos y ataques automatizados en múltiples idiomas.
LEER MÁS