La creciente digitalización de los servicios financieros ha traído consigo una innegable eficiencia, pero también ha abierto la puerta a un desafío de primer orden para la seguridad jurídica y patrimonial de los usuarios: las ciberestafas. El notable incremento de incidentes como el phishing, el smishing o el spoofing no es solo una estadística preocupante, sino una realidad que interpela directamente al marco de responsabilidad de los proveedores de servicios de pago. Ante una operación fraudulenta, la cuestión fundamental, desde una perspectiva legal, es clara: ¿sobre quién debe recaer la carga económica del fraude?

La legislación española, en plena sintonía con las directrices europeas, ha establecido un sistema que, en la práctica, se configura como un régimen de responsabilidad cuasi objetiva para las entidades bancarias. La norma angular en esta materia es el Real Decreto-ley de servicios de pago y medidas urgentes en materia financiera, que transpone la Directiva (UE) 2015/2366 (PSD2).

Este texto legal invierte la carga probatoria tradicional, situándola del lado del proveedor de servicios de pago. Conforme al artículo 45, relativo a la Responsabilidad del proveedor de servicios de pago en caso de operaciones de pago no autorizadas, cuando se da esta circunstancia, la entidad está obligada a devolver de inmediato al ordenante el importe íntegro.

La única vía de exención para la entidad es demostrar que la operación fue debidamente autenticada y que no existió fallo técnico alguno. Más importante aún, para imputar la totalidad de las pérdidas al cliente, la entidad debe probar que este actuó de manera fraudulenta o incurrió en negligencia grave en el cumplimiento de sus obligaciones de custodia de las credenciales, según lo dispuesto en el artículo 46.

Es precisamente en la interpretación del concepto de “negligencia grave” donde la jurisprudencia ha desempeñado un papel crucial y marcadamente tuitivo. La mera condición de víctima de un engaño, por sofisticado que sea, no equivale automáticamente a una negligencia grave que exonere de responsabilidad a la entidad bancaria.

Doctrina que protege al usuario

Diversas Audiencias Provinciales han consolidado una línea doctrinal que protege al usuario. Por ejemplo, la Sentencia de la Audiencia Provincial de Alicante 107/2018, de 12 de marzo, califica la responsabilidad de la entidad titular de la banca online como de naturaleza “cuasi objetiva”, estableciendo que, salvo que se acredite la negligencia grave del usuario, la entidad financiera debe responder del reintegro. Esta resolución, en línea con la normativa de servicios de pago, invierte la carga de la prueba, exigiendo al proveedor del servicio demostrar que la operación fue autenticada correctamente y no se vio afectada por un fallo de seguridad.

Asimismo, la jurisprudencia ha puesto el foco en el deber de vigilancia reforzado de la entidad bancaria. La Sentencia de la Audiencia Provincial de Madrid 178/2015, de 3 de mayo, es un claro ejemplo, al considerar que el banco debió detectar patrones anómalos como “cambios abruptos en la cuenta”, la realización de “tres o cuatro transferencias diarias” cuando el historial era de inactividad, o el hecho de que los destinatarios fueran “muleros”, un procedimiento habitual en este tipo de fraudes. La omisión de estas alertas y la falta de una verificación adicional con el cliente antes de autorizar operaciones sospechosas evidencia un incumplimiento del deber de diligencia de la entidad, reforzando su responsabilidad en la pérdida sufrida por el cliente.

La ausencia o ineficacia de estos sistemas de seguridad no es una cuestión baladí; constituye un incumplimiento del deber de diligencia profesional que neutraliza la posible negligencia leve del usuario y activa la responsabilidad objetiva del proveedor.

Esta distribución de la responsabilidad no es casual, sino que responde a la evidente asimetría informativa y tecnológica entre la entidad financiera y el consumidor. El banco no es un mero intermediario, sino el arquitecto y custodio del sistema de pagos. Dispone de recursos multimillonarios, equipos de ciberseguridad y acceso a tecnologías de inteligencia artificial y análisis de datos masivos para la detección de anomalías en tiempo real.

Por tanto, la obligación de garantizar la seguridad del sistema es una contraprestación inherente al servicio que ofrece y al lucro que obtiene. Permitir que se ejecuten operaciones manifiestamente sospechosas sin una capa adicional de verificación se considera una falta de la diligencia exigible a un profesional del sector. La implementación de herramientas como la “Confirmation of Payee”, que verifica la correspondencia entre el IBAN y el titular de la cuenta de destino, no debería ser una opción, sino un estándar de seguridad exigible.

Aunque la responsabilidad principal en la prevención del fraude recae en el proveedor de servicios financieros, la seguridad no puede reducirse a una mera obligación individual del usuario. Se trata de un ecosistema complejo que exige la implicación activa y coordinada de todas las partes: entidades financieras, reguladores, fuerzas de seguridad y, por supuesto, los propios clientes. Sin embargo, las soluciones no pueden limitarse a apelar una y otra vez a la “diligencia” de un usuario cada vez más expuesto, desinformado y vulnerable ante técnicas de ingeniería social cada vez más sofisticadas.

Modelo de responsabilidad proactiva

Por ello, es necesario avanzar hacia un modelo de responsabilidad proactiva que coloque a las entidades en el centro de la prevención. En primer lugar, los proveedores de servicios financieros deben asumir un rol mucho más comprometido en la educación y concienciación de sus clientes. En segundo lugar, la regulación debe evolucionar hacia la imposición de estándares mínimos de seguridad dinámicos y obligatorios, que se actualicen continuamente ante la rápida evolución de las amenazas. Tercero, resulta imprescindible fortalecer la colaboración institucional entre entidades financieras, fuerzas y cuerpos de seguridad, unidades de inteligencia financiera y autoridades supervisoras. Por último, es urgente avanzar hacia mecanismos de compensación ágiles y efectivos para las víctimas. Solo con este enfoque integral se podrá construir un sistema financiero verdaderamente resiliente frente al fraude, en el que la responsabilidad no recaiga desproporcionadamente sobre el eslabón más débil de la cadena.

En definitiva, el ordenamiento jurídico español ha optado por un modelo en el que la seguridad del sistema de pagos es una obligación primordial de quien lo gestiona y obtiene grandes rendimientos económicos con él: la entidad financiera. La responsabilidad por las pérdidas derivadas de ciberestafas debe recaer, por defecto, sobre el banco por su deber legal y ético de garantizar un entorno de transacciones seguro. Atribuir la carga al usuario, salvo en supuestos de dolo o negligencia grave

Carlos González Serna
IBIDEM Abogados